phamminhtuan
10-03-2011, 11:42 PM
Bùi Nguyễn Hoàng Long
VnPro
Thực hiện AnyConnect VPN
http://img820.imageshack.us/img820/4430/image001ycw.jpg
I. Mô tả:
Anyconnect VPN là giải giáp tương tự như IPSec VPN remote-access, tuy nhiên vẫn giữ lại ưu điểm của WebVPN là dễ dàng sử dụng và cho phép hổ trợ hầu hết các loại ứng dụng, điều này đảm bảo khả năng linh động và mở rộng trong việc truy cập tài nguyên từ bên ngoài nhưng vẫn đảm bảo tính an tòan dữ liệu cao với SSL.
II. Cấu hình
Cấu hình webvpn trên cổng outside
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# enable outside
Cài đặt tiện ích mềm Anyconnect VPN, phải đảm bảo đã có trong flash.
ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1
ciscoasa(config-webvpn)#svc enable
Cấu hình Group-List, cho phép người dùng chọn Group khi thực hiện đăng nhập
ciscoasa(config-webvpn)#tunnel-group-list enable
Định nghĩa Group Policy
ciscoasa(config)# group-policy WEBVPN internal
Xác định thuộc tính cho Group
ciscoasa(config)# group-policy WEBVPN attributes
Xác định giao thức VPN được hổ trợ cho Group.
ciscoasa(config-group-policy)# vpn-tunnel-protocol svc
Sử dụng tính năng Split-tunnel
ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)#split-tunnel-network-list value VPN
ciscoasa(config-group-policy)#address-pools value MYPOOL
Xác định thuộc tính cho SVC
ciscoasa(config-group-policy)# webvpn
Phần mềm Anyconnect VPN Client sẽ được giữ lại sau khi ngừng kết nối
ciscoasa(config-group-webvpn)#svc keep-installer installed
Định nghĩa Connnetion Profile
ciscoasa(config)# tunnel-group WEBVPN type remote-access
Kết hợp Group Policy với Connection Profile
ciscoasa(config)# tunnel-group WEBVPN general-attributes
ciscoasa(config-tunnel-general)#default-group-policy WEBVPN
Kết hợp Group-alias với Group-List
ciscoasa(config)# tunnel-group WEBVPN webvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-alias WEBVPN enable
III.Cấu hình đầy đủ
ASA
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 192.168.2.1 255.255.255.0
!
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list VPN extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
pager lines 24
mtu inside 1500
mtu outside 1500
ip local pool MYPOOL 172.16.1.1-172.16.1.100
webvpn
enable outside
svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1
svc enable
tunnel-group-list enable
group-policy WEBVPN internal
group-policy WEBVPN attributes
vpn-tunnel-protocol svc
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN
address-pools value MYPOOL
webvpn
svc dtls enable
svc keep-installer installed
username cisco password 3USUcOPFUiMCO4Jk encrypted
username cisco attributes =>Xác định người dùng thuộc nhóm WEBVPN
vpn-group-policy WEBVPN
tunnel-group WEBVPN type remote-access
tunnel-group WEBVPN general-attributes
default-group-policy WEBVPN
tunnel-group WEBVPN webvpn-attributes
group-alias WEBVPN enable
prompt hostname context
Cryptochecksum:1b84c8e41ed8c4956021cc9a60ad5e56
: end
ciscoasa(config)
IV. Kiểm tra
Thiết lập kết nối đến ASA
http://img199.imageshack.us/img199/1677/image002ow.jpg
Thực hiện đăng nhập
http://img222.imageshack.us/img222/3771/image003jb.jpg
Tiện ích Anyconnect VPN Client sẽ được tải về, thực hiện cài đặt
http://img339.imageshack.us/img339/5772/image004fy.jpg
Và tự động thực hiện kết nối VPN
http://img143.imageshack.us/img143/3395/image005mp.jpg
Tất cả kết nối đến 192.168.1.0/24 sẽ được bảo vệ (qua tunnel)
http://img84.imageshack.us/img84/2990/image006wp.jpg
PC VPN Client có thể giao tiếp với mạng Inside.
http://img140.imageshack.us/img140/7728/image007k.jpg
ciscoasa(config)# sh vpn-sessiondb svc
Session Type: SVC
Username : cisco Index : 77
Assigned IP : 172.16.1.2 Public IP : 192.168.2.2
Protocol : Clientless SSL-Tunnel DTLS-Tunnel
Encryption : RC4 AES128 Hashing : SHA1
Bytes Tx : 638556 Bytes Rx : 206949
Group Policy : WEBVPN Tunnel Group : WEBVPN
Login Time : 16:29:49 UTC Thu Dec 11 2008
Duration : 0h:04m:11s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
VnPro
Thực hiện AnyConnect VPN
http://img820.imageshack.us/img820/4430/image001ycw.jpg
I. Mô tả:
Anyconnect VPN là giải giáp tương tự như IPSec VPN remote-access, tuy nhiên vẫn giữ lại ưu điểm của WebVPN là dễ dàng sử dụng và cho phép hổ trợ hầu hết các loại ứng dụng, điều này đảm bảo khả năng linh động và mở rộng trong việc truy cập tài nguyên từ bên ngoài nhưng vẫn đảm bảo tính an tòan dữ liệu cao với SSL.
II. Cấu hình
Cấu hình webvpn trên cổng outside
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# enable outside
Cài đặt tiện ích mềm Anyconnect VPN, phải đảm bảo đã có trong flash.
ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1
ciscoasa(config-webvpn)#svc enable
Cấu hình Group-List, cho phép người dùng chọn Group khi thực hiện đăng nhập
ciscoasa(config-webvpn)#tunnel-group-list enable
Định nghĩa Group Policy
ciscoasa(config)# group-policy WEBVPN internal
Xác định thuộc tính cho Group
ciscoasa(config)# group-policy WEBVPN attributes
Xác định giao thức VPN được hổ trợ cho Group.
ciscoasa(config-group-policy)# vpn-tunnel-protocol svc
Sử dụng tính năng Split-tunnel
ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)#split-tunnel-network-list value VPN
ciscoasa(config-group-policy)#address-pools value MYPOOL
Xác định thuộc tính cho SVC
ciscoasa(config-group-policy)# webvpn
Phần mềm Anyconnect VPN Client sẽ được giữ lại sau khi ngừng kết nối
ciscoasa(config-group-webvpn)#svc keep-installer installed
Định nghĩa Connnetion Profile
ciscoasa(config)# tunnel-group WEBVPN type remote-access
Kết hợp Group Policy với Connection Profile
ciscoasa(config)# tunnel-group WEBVPN general-attributes
ciscoasa(config-tunnel-general)#default-group-policy WEBVPN
Kết hợp Group-alias với Group-List
ciscoasa(config)# tunnel-group WEBVPN webvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-alias WEBVPN enable
III.Cấu hình đầy đủ
ASA
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 192.168.2.1 255.255.255.0
!
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list VPN extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
pager lines 24
mtu inside 1500
mtu outside 1500
ip local pool MYPOOL 172.16.1.1-172.16.1.100
webvpn
enable outside
svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1
svc enable
tunnel-group-list enable
group-policy WEBVPN internal
group-policy WEBVPN attributes
vpn-tunnel-protocol svc
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN
address-pools value MYPOOL
webvpn
svc dtls enable
svc keep-installer installed
username cisco password 3USUcOPFUiMCO4Jk encrypted
username cisco attributes =>Xác định người dùng thuộc nhóm WEBVPN
vpn-group-policy WEBVPN
tunnel-group WEBVPN type remote-access
tunnel-group WEBVPN general-attributes
default-group-policy WEBVPN
tunnel-group WEBVPN webvpn-attributes
group-alias WEBVPN enable
prompt hostname context
Cryptochecksum:1b84c8e41ed8c4956021cc9a60ad5e56
: end
ciscoasa(config)
IV. Kiểm tra
Thiết lập kết nối đến ASA
http://img199.imageshack.us/img199/1677/image002ow.jpg
Thực hiện đăng nhập
http://img222.imageshack.us/img222/3771/image003jb.jpg
Tiện ích Anyconnect VPN Client sẽ được tải về, thực hiện cài đặt
http://img339.imageshack.us/img339/5772/image004fy.jpg
Và tự động thực hiện kết nối VPN
http://img143.imageshack.us/img143/3395/image005mp.jpg
Tất cả kết nối đến 192.168.1.0/24 sẽ được bảo vệ (qua tunnel)
http://img84.imageshack.us/img84/2990/image006wp.jpg
PC VPN Client có thể giao tiếp với mạng Inside.
http://img140.imageshack.us/img140/7728/image007k.jpg
ciscoasa(config)# sh vpn-sessiondb svc
Session Type: SVC
Username : cisco Index : 77
Assigned IP : 172.16.1.2 Public IP : 192.168.2.2
Protocol : Clientless SSL-Tunnel DTLS-Tunnel
Encryption : RC4 AES128 Hashing : SHA1
Bytes Tx : 638556 Bytes Rx : 206949
Group Policy : WEBVPN Tunnel Group : WEBVPN
Login Time : 16:29:49 UTC Thu Dec 11 2008
Duration : 0h:04m:11s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none