IPSEC ×××实验六:ASA SSL ×××
拓朴图
实验目的,PC2通过SSL×××能够访问到PC1
SSL×××服务端配置全在ASA上面,下面为配置步骤:
第一步:建立RSA密钥证书,名称为ssl***keypair
crypto key generate rsa label ssl***keypair
第二步:建立自我信任点CA,名称为localtrust。加载RSA密钥证书
crypto ca trustpoint localtrust
enrollment self
fqdn ssl***.luotao.com
subject-name CN=ssl***.luotao.com
keypair ssl***keypair
crypto ca enroll localtrust noconfirm
exit
第三步:将CA信任点localtrust应用到OUTSIDE口
ssl trust-point localtrust outside
第四步:将客户端上传到ASA并安装,开启SVC在outside口。
copy tftp disk0:
web***
svc p_w_picpath disk0:/sslclient.pkg 1
svc outside
svc enable
exit
第五步:建立clientpool,给客户端分配IP
ip local pool sslclientpool 10.10.10.10-10.10.10.50 mask 255.255.255.0
第六步:创建组策略名为sslclientpolicy,设置类型;组策略属性包括设置DNS,指定隧道协议SVC,设置域名,加载客户端pool
group-policy sslclientpolicy internal
group-policy sslclientpolicy attributes
dns-server value 202.96.134.133
***-tunnel-protocol svc
default-domain value luotao.com
address-pools value sslclientpool
exit
第七步:设计访问列表旁路,×××流量不受outside口ACL限制。
sysopt connection permit-***
第八步:创建tunnel-group隧道组sslclientprofile,组属性包括加载组策略sslclientpolicy,以及设置登陆时看到的组名称ssl***client
tunnel-group sslclientprofile type remote-access
tunnel-group sslclientprofile general-attributes
default-group-policy sslclientpolicy
tunnel-group sslclientprofile web***-attributes
group-alias ssl***client enable
exit
第九步:开启tunnel-group列表功能,开启则在SSL客户端显示GROUP名称,否则不显示。
web***
tunnel-group-list enable
exit
第十步:配置NAT免除,不让SSL×××的流量经过NAT
access-list nat0 extended permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0
nat (inside) 0 access-list nat0
第十一步:建立本地用户,供SSLCLIENT登陆时使用。
username cisco password cisco
username cisco attributes
service-type remote-access
exit
第十二步:配置隧道分离,用ACL匹配流量,应用到组策略中。作用是在访问SSL×××的同时,还可以访问internet与其它网络。
access-list splitssltunnel standard permit 192.168.1.0 255.255.255.0
group-policy sslclientpolicy attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splitssltunnel
exit
第十三步:保存配置
save
在PC2上输入 https://1.1.1.1 按照步骤配置客户端
客户端状态
隧道分离
测试:
ping 192.168.1.2 OK
访问PC1上的FTP OK
最后上全部配置文件:
ciscoasa(config)# sh run
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 1.1.1.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list nat0 extended permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list splitssltunnel standard permit 192.168.1.0 255.255.255.0
pager lines 24
mtu inside 1500
mtu outside 1500
ip local pool sslclientpool 10.10.10.10-10.10.10.50 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list nat0
route outside 0.0.0.0 0.0.0.0 1.1.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ca trustpoint localtrust
enrollment self
fqdn ssl***.luotao.com
subject-name CN=ssl***.luotao.com
keypair ssl***keypair
crl configure
crypto ca certificate chain localtrust
certificate 31
308201f0 30820159 a0030201 02020131 300d0609 2a864886 f70d0101 04050030
3e311a30 18060355 04031311 73736c76 706e2e6c 756f7461 6f2e636f 6d312030
1e06092a 864886f7 0d010902 16117373 6c76706e 2e6c756f 74616f2e 636f6d30
1e170d39 39313133 30303030 3630375a 170d3039 31313237 30303036 30375a30
3e311a30 18060355 04031311 73736c76 706e2e6c 756f7461 6f2e636f 6d312030
1e06092a 864886f7 0d010902 16117373 6c76706e 2e6c756f 74616f2e 636f6d30
819f300d 06092a86 4886f70d 01010105 0003818d 00308189 02818100 89432e7b
bde8efe4 c6bff55e 19dd1827 35004897 100afd21 dd0a975c 2c909111 1aca7622
d384dca2 ee5634de 40809693 d62c0b91 c5992176 791dd02e 33bbd56f d09ccb4c
b39f8d74 1edff436 51f9f759 2c01cb26 b2a70592 a7bbc4c2 793c2132 24d21e2d
94c87c76 487b8c76 c4c02696 f63a2758 abece6ff 47e9c4a5 d194e9cf 02030100
01300d06 092a8648 86f70d01 01040500 03818100 57296309 1982e43e 45185e2e
33768095 a30c414c ae6ad9d6 45f16bbc 728b0fd0 60185281 15a3226e 654ca746
d810ded1 5727fb17 808ef178 afa72a99 a1ed4863 99cf1356 a65574c7 3eecef34
6c99d087 04233074 26517e3d 48b838c6 9f0cb782 06d740cd 794aaa32 124f910f
095cdab1 66f1b848 f0285f1f 5a08b012 fb2f3815
quit
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
ssl trust-point localtrust outside
web***
enable outside
svc p_w_picpath disk0:/sslclient.pkg 1
svc enable
tunnel-group-list enable
group-policy sslclientpolicy internal
group-policy sslclientpolicy attributes
dns-server value 202.96.134.133
***-tunnel-protocol svc
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splitssltunnel
default-domain value luotao.com
address-pools value sslclientpool
username cisco password 3USUcOPFUiMCO4Jk encrypted
username cisco attributes
service-type remote-access
tunnel-group sslclientprofile type remote-access
tunnel-group sslclientprofile general-attributes
default-group-policy sslclientpolicy
tunnel-group sslclientprofile web***-attributes
group-alias ssl***client enable
prompt hostname context
Cryptochecksum:3aee551f153ae30800bfb0ef4362cac8
: end
转载于:https://blog.51cto.com/windows1009/698557
IPSEC ×××实验六:ASA SSL ×××相关推荐
- 清默网络——CISCO ASA SSL ***详解
CISCO ASA SSL ×××详解 清默网络 CCIE Team 制作清默网络 CCIE Team 制作oCisco ASAWebN××× 配置详解实验环境如拓朴图.在做实验之前让我们先来了解一下 ...
- 实验六 快速生成树配置
实验六 快速生成树配置 1.准备工作: 工具:1台3层交换机,1台2层交换机,网线 (1) 开始 --> 控制面板 --> 程序 --> 程序和功能 --> 打开或关 ...
- 建立计算机系学生视图,实验六 视图的操作.doc
实验六 视图的操作 实验六 视图的操作 一.实验目的 1.理解的概念. .掌握.SQL语句创建视图,掌握查询分析器的使用 1.语句格式 CREATE VIEW [( [,]-)] AS [WITH C ...
- mysql实验6语言结构_实验六 SQL语言数据查询语言DQL.pdf
实验六 SQL语言数据查询语言DQL 实验六 SQL 语言数据查询语言DQL 一.实验目的 数据查询语言指对数据库中的数据查询.统计.分组.排序等操作.查询语 句可以分为简单查询.连接查询.嵌套查询和 ...
- 滞后超前校正控制器的设计和matlab仿真 静态速度误差系数为10,自控实验六 基于频域的串联校正控制器设置 - GXUZF.COM - 林澈思的茶...
广西大学电气工程学院 <自动控制理论>实验报告 广西大学电气工程学院 <自动控制理论>实验报告 成绩 教师签字 学生姓名 赵帆 学号 17021***** 专业班级 电自171 ...
- 20155201 网络攻防技术 实验六 信息搜集与漏洞
20155201 网络攻防技术 实验六 信息搜集与漏洞 一.实践内容 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术:主机发现.端口扫描.OS及服务版本探测.具体服务的查点 漏洞扫描: ...
- java实验七输入输出流_实验六_Java的输入输出流
JAVA的输入输出流 实验六 Java的输入输出流 实验目的 1. 理解I/O流的概念,掌握其分类 2. 掌握文本文件读写.二进制文件读写 实验环境 JDK1.4以上版本, Eclipse集成开发环境 ...
- 计算机网络 实验六 静态路由配置,实验六-静态路由配置.doc
实验六-静态路由配置 实验报告书 课程名称 计算机网络技术与应用 实验题目 实验六:静态路由配置 专业班级 2010级信息管理与信息系统2班 学 号 37号 姓 名 肖丹妮 指导教师 赵圆圆老师 计算 ...
- 实验六 Linux进程编程,Linux系统编程实验六:进程间通信
<Linux系统编程实验六:进程间通信>由会员分享,可在线阅读,更多相关<Linux系统编程实验六:进程间通信(10页珍藏版)>请在人人文库网上搜索. 1.实验六:进程间通信l ...
最新文章
- adcclk最大_STM32 ADC转换时间
- Selenium Xpath元素无法定位 NoSuchElementException: Message: no such element: Unable to locate element
- 【渝粤题库】国家开放大学2021春1373特殊教育概论题目
- 【转载】ACM中矩阵乘法的应用
- swift项目 9.3以前版本模拟器运行出错
- MySQL表/视图/存储过程and函数/触发器/事件与数据库之间的关系
- java制作一个简单的画板_【Java】Thymeleaf一个简单示例
- OpenGL--------纹理处理
- 关于codeblock中一些常用的快捷键(搬运)
- MySQL空间索引简单使用
- Java从json串中获取某个值
- JAVA之CRC校验算法
- 汉字转拼音,多音字解决方案
- wd移动硬盘插电脑没反应_WD MY BOOK 桌面移动硬盘 插电脑不识别的解决办法。
- 有线网与无线网(WIFI)网速的限制因素与Wifi信道选择
- 十年前加入互联网改变世界,十年后加入顶级微信团队一起炸屎
- ubuntu16.04下利用ROS启动LPMS-CURS、CURS2等型号IMU;用imu控制turtlesim--教程
- java多表头导出excel表格_【每日一点】1. Java如何实现导出Excel单表头或多表头
- 神经网络中单层神经元表示逻辑运算
- Nautilus无法创建下列所需的文件夹:/home/user/Desktop 报错解决