SSL ***的胖客戶端模式配置操做全過程

時間  2020-07-29
標籤 ssl 客戶端 模式 配置 全過程 欄目 SSL 简体版
原文   原文鏈接

拓撲圖以下所示:ASA防火牆做爲企業內部的一臺出口網關兼硬件防火牆設備,內部服務器server 2008服務器提供web服務。web

中間是模擬ISP運行商,右邊是做爲公網上的一臺路由器,下面是公網上面的一臺普通客戶機,這裏使用的是XP系統。瀏覽器

wKiom1W90GTTm7RvAAGWJ3eTxAc801.jpg

首先若是是GNS3模擬器SW1須要關閉路由功能。安全

ISP運營商仍是隻須要配置IP地址便可(過程略)。bash

R3上面做爲公網上的一臺出口網關路由器,配置DHCP地址分配和NAT地址轉換功能。以下所示:服務器

R3(config)#int fa0/0
R3(config-if)#ip add 20.0.0.1 255.255.255.0
R3(config-if)#no shut
R3(config)#int fa0/1
R3(config-if)#ip add 192.168.20.1 255.255.255.0
R3(config-if)#no shut
R3(config-if)#ex
R3(config)#ip route 0.0.0.0 0.0.0.0 20.0.0.2
R3(config)#ip dhcp pool zhang
R3(dhcp-config)#network 192.168.20.0 255.255.255.0 
R3(dhcp-config)#default-router 192.168.20.1
R3(dhcp-config)#dns 8.8.8.8 
R3(dhcp-config)#lease 7
R3(dhcp-config)#ex
R3(config)#access-list 1 permit 192.168.20.0 0.0.0.255
R3(config)#ip nat inside source list 1 int fa0/0 overload 
R3(config)#int fa0/0
R3(config-if)#ip nat outside
R3(config)#int fa0/1
R3(config-if)#ip nat inside

ASA防火牆首先配置IP地址、默認路由等屬性。若是是GNS3須要設置能夠保存配置文件的功能屬性。ide

# /mnt/disk0/lina_monitor  //此時會從新加載防火牆數據
ciscoasa>  //加載完成從新啓動防火牆(右擊防火牆選擇stop 而後再選擇start)

ciscoasa>enable  //此時是重啓以後
Password:   //直接回車
ciscoasa# conf t 
ciscoasa(config)# hostname ASA  //這是修改主機名
ASA(config)# copy running-config disk0:/.private/startup-config //複製running-config中的運行文件到disk0中名稱爲starrtup-config
Source filename [running-config]?      //下面直接回車就好了
Destination filename [/.private/startup-config]? 
Cryptochecksum: d847d487 be2324f6 5058c694 ec96aba7 
1466 bytes copied in 2.400 secs (733 bytes/sec)open(ffsdev/2/write/41) failed
open(ffsdev/2/write/40) failed
ASA(config)# boot config disk0:/.private/startup-config //啓動文件生成以後,引導啓動配置文件,此時就能夠保存配置文件了。可使用write試試
ASA(config)# int e0/0
ASA(config-if)# ip add 192.168.10.1 255.255.255.0
ASA(config-if)# no shut
ASA(config-if)# nameif inside //配置inside區域端口IP地址
ASA(config-if)# ex
ASA(config)# int e0/1
ASA(config-if)# ip add 10.0.0.1 255.255.255.0
ASA(config-if)# no shut
ASA(config-if)# nameif outside //配置outside區域端口IP地址
INFO: Security level for "outside" set to 0 by default.
ASA(config-if)# ex
ASA(config)# route outside 0 0 10.0.0.2

以上準備工做配置完成,下面就可使用XP客戶端進行ping命令測試。進入虛擬機進行以下測試(固然是鏈接VMnet8網卡)。工具

wKioL1W90ljiR7t7AAIPsp_SxdU686.jpg

下面打開Server 2008虛擬機,配置IP地址以及搭建web服務器(鏈接VMnet1網卡)。測試

wKiom1W90GTCu82qAAMvy408i04732.jpg

打開服務器管理器,點擊添加角色,而後根據嚮導添加web服務便可。網站

wKioL1W90lmTbn0pAAO8vYn_A1E657.jpg

而後把下載好的安全控件和TFTP軟件拷貝到Server 2008服務器,打開TFTP終端軟件,準備上傳控件到ASA防火牆。spa

wKiom1W90GWioL95AAIi-NAsnA4524.jpg

下面繼續進行ASA配置,上傳X控件到ASA防火牆的disk0,其實也就是至關於硬盤中。

ASA(config)# copy tftp: disk0:  //準備上傳的命令
Address or name of remote host []? 192.168.10.2 //指定上傳的主機
Source filename []? sslclient-win-1.1.4.179-anyconnect.pkg  //這裏提示輸入須要上傳的文件名稱,複製粘貼文件名以後回車。
Destination filename [sslclient-win-1.1.4.179-anyconnect.pkg]? 確認回車
Accessing tftp://192.168.10.2/sslclient-win-1.1.4.179-anyconnect. pkg...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! //這裏是顯示的上傳進度

上傳成功之後使用show disk0進行查看,以下圖所示:其實作到這裏可使用write保存一下配置,再來作接下來的胖客戶端配置。

wKioL1W90lmxTZX-AAVSf7T23sg486.jpg

下面繼續作SSL ×××的胖客戶端的具體配置。

ASA(config)# access-list 110 permit ip 192.168.10.0 255.255.255.0 any //創建感興趣流量
ASA(config)# ip local pool vip 192.168.10.50-192.168.10.80 mask 255.255.255.0 //定義分給遠程鏈接客戶端的IP地址範圍
ASA(config)# web***  //進入SSL ×××配置視圖
ASA(config-web***)# enable outside //啓用在outside區域
ASA(config-web***)# tunnel-group-list enable //開啓下拉列表
ASA(config-web***)# svc p_w_picpath disk0:/sslclient-win-1.1.4.179-anyconnect.pkg //指定客戶端下載軟件
ASA(config-web***)# svc enable //開啓svc客戶端軟件
ASA(config)# group-policy gp internal //定義組策略屬性爲本地
ASA(config)# group-policy gp attributes //定義組策略各類屬性
ASA(config-group-policy)# ***-tunnel-protocol svc web*** //指定組策略隧道協議,開啓無客戶端和胖客戶端(基於無客戶端)
ASA(config-group-policy)# split-tunnel-policy tunnelspecified //指定流量都從隧道里面走,隧道分離
ASA(config-group-policy)# split-tunnel-network-list value 110 //指定感興趣流量,隧道流量
ASA(config-group-policy)# split-dns value benet.com //指定DNS域
ASA(config-group-policy)# dns-server value 9.9.9.9 //指定DNS地址
ASA(config-group-policy)# web*** //在組策略中繼續進行設置
ASA(config-group-web***)# svc ask enable //表示開啓客戶端下載
ASA(config-group-web***)# ex
ASA(config-group-policy)# ex 
ASA(config)# username zhangsan password 123123 //建立認證用戶
ASA(config)# tunnel-group tg type web*** //定義隧道組類型
ASA(config)# tunnel-group tg general-attributes //隧道組通用屬性
ASA(config-tunnel-general)# address-pool vip //調用地址池
ASA(config-tunnel-general)# default-group-policy gp //調用上面配置的組策略
ASA(config-tunnel-general)# ex
ASA(config)# tunnel-group tg web***-attributes //隧道組自身屬性
ASA(config-tunnel-web***)# group-alias groups enable //創建別名

好!以上配置完成ASA防火牆胖客戶端的一些基本配置也就差很少了,下面是進行驗證的部分。

打開XP系統虛擬機,點擊瀏覽器輸入「https://10.0.0.1」回車進行訪問,會提示你輸入用戶名和密碼進行訪問。

wKiom1W90GWxwW8fAAI9AOD9P4o125.jpg

能夠看到左邊的選擇菜單比無客戶端模式配置時多出了一項,點擊以後,再點擊右邊的start anyconnect進行鏈接。

wKiom1W90GXTG2KlAAQjti94c5U884.jpg

點擊以後進入下面的視圖,繼續點擊YES,下面其實就是安裝的部分了,並且是圖形化界面了

wKioL1W90lrjmsKcAAO7nlfDMWA835.jpg

以後會在地址欄下面跳出安裝AxtiveX控件的提示,右擊選擇容許安裝,而後就會進入以下的操做界面。

wKiom1W90GXBJuaVAAN5m6SMeaE156.jpg

中途可能會提示證書不安全什麼的提示不要緊繼續進行安裝。

wKioL1W90lqzdpMRAANxcOy0fwc810.jpg

根據提示安裝完成最後一步以後,全部的頁面都會自動消失,而後再右下角會出現一個×××的小鑰匙,此時就能夠說明你成功了。能夠打開CMD命令行工具輸入ipconfig查看IP地址屬性,此時比以前多了一塊網卡。

wKiom1W90GagZwUmAAOY8pb7kcI098.jpg

此時要訪問局域網內部搭建的web網站服務,能夠在瀏覽器中直接輸入局域網內部的IP地址便可。

wKioL1W92O3RXb19AAPVZYyiR3g133.jpg

實驗完成。經驗總結:最近的這些知識,我我的認爲須要記的應該是原理,命令中不少部分都只是名稱,不是命令。必定要細心、注意、外加當心翼翼。不成功的話,多作幾遍,熟能生巧,溫故而知新,總會讓你搞定的。謝謝你們!!!

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程