使用ACS授权Anyconnect3.0DTLS和IK-创新互联
实验目的:
创新互联公司-专业网站定制、快速模板网站建设、高性价比宿城网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式宿城网站制作公司更省心,省钱,快速模板网站建设找我们,业务覆盖宿城地区。费用合理售后完善,十载实体公司更值得信赖。1 使用Anyconnect3.0 拨号DTLS
2 使用Anyconnect3.0 拨号IPSec ×××
3 使用ACS 给用户下放group-policy
拓扑:
ASA配置:
interface GigabitEthernet0
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1
nameif outside
security-level 0
ip address 192.168.20.254 255.255.255.0
----------------------ASDM------------------------
asdm p_w_picpath disk0:/asdm-645-206.bin
http server enable 444
http 0.0.0.0 0.0.0.0 outside
-----------------------自签发证书--------------------
crypto ca trustpoint ssl***ca
enrollment self
fqdn asa.ssl***.net
subject-name CN=asa.ssl***.net
crypto ca enroll ssl***ca noconfirm
----------------------SSL ×××----------------
web***
enable outside
anyconnect p_w_picpath disk0:/anyconnect-win-3.0.0629-k9.pkg 1
anyconnect profiles ikev2group1 disk0:/ikev2group1.xml //此命令ASDM 自动产生,后面会给出ASDM 的配置。
anyconnect enable
tunnel-group-list enable
group-policy ssl***policy internal
group-policy ssl***policy attributes
***-tunnel-protocol ikev2 ssl-client
web***
anyconnect profiles value ikev2group1 type user//此命令同上
username root password N7HlIItY8AVJppkQ encrypted privilege 15
tunnel-group ssl***tunnel type remote-access
tunnel-group ssl***tunnel general-attributes
authentication-server-group aaa
tunnel-group ssl***tunnel web***-attributes
group-alias hr enable
------------------IPSEC ×××----------------------
crypto ikev2 policy 10
encryption 3des
integrity sha
group 2
prf sha
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint ssl***ca
crypto ipsec ikev2 ipsec-proposal ikev2ipsec
protocol esp encryption 3des
protocol esp integrity sha-1
crypto dynamic-map dymap 100 set ikev2 ipsec-proposal ikev2ipsec
crypto map ssl***map 1000 ipsec-isakmp dynamic dymap
crypto map ssl***map interface outside
---------------ACS 下放地址池-----------------------
详细配置可以参考我的其他文章
--------------------配置USER GROUP-POLICY---------------------------------
--------------------------用户和组的配置------------------------
此配置很简单在就不给出配置了。
------------------------Anyconnect和证书的安装--------------
此配置很简单在就不给出配置了。
-----------------------anyconnect profiles 配置-----------------
验证:
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
网页标题:使用ACS授权Anyconnect3.0DTLS和IK-创新互联
新闻来源:http://pwwzsj.com/article/coeoed.html