在實驗開始這前先來談一談ASA7.X系統(tǒng)中的默認(rèn)隧道組和組策略。

ASA/PIX 7.x系統(tǒng)默認(rèn)在show run時不顯示默認(rèn)組策略和默認(rèn)隧道組，只有使用ASDM才能看到。下面列出在ASDM中看到的默認(rèn)值：

默認(rèn)IPSec-l2l隧道組: DefaultL2LGroup

默認(rèn)IPSec-ra隧道組: DefaultRAGroup

默認(rèn)WebVPN隧道組: DefaultWEBVPNGroup

默認(rèn)組策略: DfltGrpPolicy

默認(rèn)組策略的默認(rèn)隧道協(xié)議: IPSec-l2l

可以在命令行中直接對以上隧道組和組策略進(jìn)行編輯，ASA在加載WebVPN時默認(rèn)采用DefaultWEBVPNGroup，用戶自定義的WebVPN組必須在啟動 “tunnel-group-list”和“group-alias” 后才會出現(xiàn)。

在下面的例子中，我沒有使用ASA的默認(rèn)隧道組，所以會有tunel-group-list和group-alias配置出現(xiàn)。

1、WebVPN服務(wù)基本配置。

Archasa(config)# int e0/0

Archasa(config-if)# ip address 192.168.0.1 255.255.255.0

Archasa(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

Archasa(config-if)# no shut

Archasa(config-if)# exit!

Archasa(config)# int e0/1

Archasa(config-if)# ip add 172.20.59.10 255.255.255.0

Archasa(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

Archasa(config-if)# no sh

Archasa(config-if)# exit

Archasa(config)# web*

Archasa(config-web*)# enable outside

#在外網(wǎng)接口上啟動WebVPN!

Archasa(config)# group-policy myweb*-group-policy ?

configure mode commands/options:

external Enter this keyword to specify an external group policy

internal Enter this keyword to specify an internal group policy

#此處需要選擇組策略的類型，因為我們是將策略配置在ASA本地的，所以選擇Internal。

Archasa(config)# group-policy myweb*-group-policy internal

#創(chuàng)建了一個名為myweb*-group-policy的Internal類型Policy。

Archasa(config)# group-policy myweb*-group-policy ?

configure mode commands/options:

attributes Enter the attributes sub-command mode

external Enter this keyword to specify an external group policy

internal Enter this keyword to specify an internal group policy

#組策略一旦創(chuàng)建，命令行參數(shù)中就會多出attributes選項，這是用于后面定義具體的組策略用的，目前可以保留為空。

Archasa(config)# username test password woaicisco

#創(chuàng)建一個本地用戶

Archasa(config)# username test attributes

Archasa(config-username)# *-group-policy myweb*-group-policy

#將用戶加入剛才創(chuàng)建的VPN策略組中

注意：ASA也支持為每用戶定義單獨的策略，即不用將用戶加入特定的VPN策略組，直接賦予權(quán)限。

注意：不過這是不推薦的，因為這樣配置的可擴展性太差。

Archasa(config)# tunnel-group myweb*-group type web*

#創(chuàng)建一個名為myweb*-group的web*隧道組。

Archasa(config)# tunnel-group myweb*-group general-attributes

Archasa(config-tunnel-general)# authentication-server-group LOCAL

#定義該隧道組用戶使用的認(rèn)證服務(wù)器，這里為本地認(rèn)證

Archasa(config)# web*

Archasa(config-web*)# tunnel-group-list enable

#啟動組列表，讓用戶在登陸的時候可以選擇使用哪個組進(jìn)行登陸

Archasa(config)# tunnel-group myweb*-group web*-attributes

Archasa(config-tunnel-web*)# group-alias group1 enable

#為改組定義別名，用于顯示給用戶進(jìn)行選擇。

#到此為止，WebVPN基本配置完畢，可以開始讓外網(wǎng)用戶使用瀏覽器測試了。

WebVPN擴展功能

在實現(xiàn)WebVPN的基本功能以后，我們來看看WebVPN的擴展功能。主要包含以下三部分：

1、文件服務(wù)器瀏覽

2、自定義url-list

3、port-forward

1、文件服務(wù)器瀏覽

File-access功能可以讓W(xué)ebVPN用戶使用windows共享來訪問內(nèi)網(wǎng)的Windows文件服務(wù)器。

用戶要使用File-access功能，必須具備file-access file-entry file-browsing權(quán)限。

注意：用戶默認(rèn)具備url-entry權(quán)限，即可以用url訪問內(nèi)網(wǎng)的web網(wǎng)頁。

Archasa(config)# group-policy myweb*-group-policy attributes

Archasa(config-group-policy)# web*

Archasa(config-group-web*)# functions url-entry file-access file-entry file-browsing

輸入\172.20.59.11以后可以訪問到內(nèi)網(wǎng)的共享資源。2、自定義url-list

Archasa(config)# url-list mylist "Test Home Page" http://172.20.59.12

Archasa(config)# url-list mylist "Test Site 2" http:// 172.20.59.12

Archasa(config)# group-policy myweb*-group-policy attributes

Archasa(config-group-web*)# url-list value mylist

3、自定義port-forward

port-forward可以讓W(xué)ebVPN用戶在外網(wǎng)通過WebVPN使用內(nèi)網(wǎng)的非HTTP服務(wù)。

Archasa(config)# port-forward port-forward-list 2323 192.20.59.11 23

Archasa(config)# group-policy myweb*-group-policy attributes

Archasa(config-group-policy)# web*

Archasa(config-group-web*)# functions url-entry file-access file-entry file-browsing port-forward

Archasa(config-group-web*)# port-forward value port-forward-list

經(jīng)過上面的配置以后，WebVPN用戶加載WebVPN提供的JAVA App，就可以通過telnet到自身的2323端口登陸到內(nèi)網(wǎng)服務(wù)器的23端口。