功能介紹:
此功能用於用戶在外網進行域登錄。大家想想,只有用戶的終端設備處在企業內網時,用戶才能登錄域。那公司員工在外出差的情況下怎麼登錄域(員工肯定是沒有本地用戶的,只有域用戶)?那我們就要用到Anyconnect SBL 的功能,讓用戶登錄域之前通過***來接入企業內網。
應用場景拓撲:
如上圖所示,在圖一中用戶的電腦在內網中可以通過紅色線的路徑訪問DC服務器進行域登錄,在圖二中當用戶電腦處在外網時,用戶必須在進行域登錄之前先通過***接入企業內網。
實驗環境:
Server IP:10.1.1.100/24
ASA:Outside:202.100.1.254/24 Inside 10.1.1.254/24
內網PC:10.1.1.1/24 DNS:10.1.1.100
外網PC:202.100.1.100/24
軟件版本:asa804-k8.bin,anyconnect-win-2.5.6005-k9.pkg,anyconnect-win-3.1.00495-k9.pkg(因爲SBL 這個功能只有anyconnect 2.5及上版本才支持)
初始配置:
ASA:
----- ----------IP 初始化------------
ciscoasa(config)# sho run interface
interface GigabitEthernet0/0
nameif Inside
security-level 100
ip address 10.1.1.254 255.255.255.0
no shutdown
interface GigabitEthernet0/1
nameif Outside
security-level 0
ip address 202.100.1.254 255.255.255.0
no shutdown
----------基本SSL *** Anyconnect配置---------
ciscoasa# sho run web***
web***
enable Outside
svc image disk0:/anyconnect-win-2.5.6005-k9.pkg 1
svc enable
ciscoasa(config)# sho run ip local pool
ip local pool svc1 100.1.1.1-100.1.1.100
ciscoasa(config)# sho run group-policy
group-policy DfltGrpPolicy attributes
dns-server value 10.1.1.100
***-tunnel-protocol l2tp-ipsec svc web***
address-pools value svc1
-------------ASDM 連接配置------
因爲SBL 這個功能要用ASDM 配置,如果你硬要用CLI來做我也攔不到你,只要你做的到(通過CLI 來編寫XML文件,然後調用)
ciscoasa(config)# sho run http
http server enable 500
http 0.0.0.0 0.0.0.0 Outside
ciscoasa(config)# sho run aaa
aaa authentication http console LOCAL
ciscoasa(config)# sho run username
username svc1 password kRHNXQoFliPpegtM encrypted privilege 15
經上面的一系列配置已經完成了SSL *** anyconnect 的 配置,可以先用外網PC做一下連接測試:
(因爲我們用的默認group-policy ,認證方式默認是本地數據庫認證)
---------用ASDM進行SBL 功能配置------------
1、打開ASDM,連接到我們的ASA:
2、 打開configuration → Network (Client) Access → AnyConnect Clinet Profile,點擊右邊的Add:
3、 創建XML文件(高手可以在CLI中自己編,嘿嘿)。
現我們到CLI 中驗證一下:
①用dir 命令可以看到Flash下面多了一個sbl.xml的文件,這就是我們通過ASDM添加的。
②用show run group-policy,可以看到調用了一個叫sbl的策略文件:
③用more flash:/sbl.xml,在輸出中可以找到這樣一句代碼:
從顯示上來看這個就是關於SBL這個功能的,但是現在是fasle狀態,我們最後在來觀察這個地方的變化。
4、編輯剛纔創建的Anyconnect Client Profile :sbl
現在我們在用more flash:/sbl.xml,可以看到
5、在組策略中調用sbl.xml文件和開啓可選客戶端模塊下載:
打開configuration → Network (Client) Access → Group Policies,選中DfltGrpPolicy,點編輯:
點擊Advanced → AnyConnect Client在Optional Client Modules to Download 中選AnyConnect SBL
在Client Profile to Download 中選中我們剛纔創建的sbl:
應用、保存。至此在ASA上的配置已經完成。在下篇中將做電腦上的配置和測試。