Cisco ASA Web VPN 配置详解

ASA/PIX 7.x系统默认在show run时不显示默认组策略和默认隧道组，只有使用ASDM才能看到。下面列出在ASDM中看到的默认值：

默认IPSec-l2l隧道组: DefaultL2LGroup

默认IPSec-ra隧道组: DefaultRAGroup

默认WebVPN隧道组: DefaultWEBVPNGroup

默认组策略: DfltGrpPolicy

默认组策略的默认隧道协议: IPSec-l2l

可以在命令行中直接对以上隧道组和组策略进行编辑，ASA在加载WebVPN时默认采用DefaultWEBVPNGroup，用户自定义的WebVPN组必须在启动 “tunnel-group-list”和“group-alias” 后才会出现。

在下面的例子中，我没有使用ASA的默认隧道组，所以会有tunel-group-list和group-alias配置出现。

1、WebVPN服务基本配置。

Archasa(config)# int e0/0

Archasa(config-if)# ip address 192.168.0.1 255.255.255.0

Archasa(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

Archasa(config-if)# no shut

Archasa(config-if)# exit!

Archasa(config)# int e0/1

Archasa(config-if)# ip add 172.20.59.10 255.255.255.0

Archasa(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

Archasa(config-if)# no sh

Archasa(config-if)# exit

Archasa(config)# web*

Archasa(config-web*)# enable outside

#在外网接口上启动WebVPN!

Archasa(config)# group-policy myweb*-group-policy ?

configure mode commands/options:

external Enter this keyword to specify an external group policy

internal Enter this keyword to specify an internal group policy

#此处需要选择组策略的类型，因为我们是将策略配置在ASA本地的，所以选择Internal。

Archasa(config)# group-policy myweb*-group-policy internal

#创建了一个名为myweb*-group-policy的Internal类型Policy。

Archasa(config)# group-policy myweb*-group-policy ?

configure mode commands/options:

attributes Enter the attributes sub-command mode

external Enter this keyword to specify an external group policy

internal Enter this keyword to specify an internal group policy

#组策略一旦创建，命令行参数中就会多出attributes选项，这是用于后面定义具体的组策略用的，目前可以保留为空。

Archasa(config)# username test password woaicisco

#创建一个本地用户

Archasa(config)# username test attributes

Archasa(config-username)# *-group-policy myweb*-group-policy

#将用户加入刚才创建的VPN策略组中

注意：ASA也支持为每用户定义单独的策略，即不用将用户加入特定的VPN策略组，直接赋予权限。

注意：不过这是不推荐的，因为这样配置的可扩展性太差。

Archasa(config)# tunnel-group myweb*-group type web*

#创建一个名为myweb*-group的web*隧道组。

Archasa(config)# tunnel-group myweb*-group general-attributes

Archasa(config-tunnel-general)# authentication-server-group LOCAL

#定义该隧道组用户使用的认证服务器，这里为本地认证

Archasa(config)# web*

Archasa(config-web*)# tunnel-group-list enable

#启动组列表，让用户在登陆的时候可以选择使用哪个组进行登陆

Archasa(config)# tunnel-group myweb*-group web*-attributes

Archasa(config-tunnel-web*)# group-alias group1 enable

#为改组定义别名，用于显示给用户进行选择。

#到此为止，WebVPN基本配置完毕，可以开始让外网用户使用浏览器测试了。

WebVPN扩展功能

在实现WebVPN的基本功能以后，我们来看看WebVPN的扩展功能。主要包含以下三部分：

1、文件服务器浏览

2、自定义url-list

3、port-forward

1、文件服务器浏览

File-access功能可以让WebVPN用户使用windows共享来访问内网的Windows文件服务器。

用户要使用File-access功能，必须具备file-access file-entry file-browsing权限。

注意：用户默认具备url-entry权限，即可以用url访问内网的web网页。

Archasa(config)# group-policy myweb*-group-policy attributes

Archasa(config-group-policy)# web*

Archasa(config-group-web*)# functions url-entry file-access file-entry file-browsing

输入\172.20.59.11以后可以访问到内网的共享资源。2、自定义url-list

Archasa(config)# url-list mylist "Test Home Page" http://172.20.59.12

Archasa(config)# url-list mylist "Test Site 2" http:// 172.20.59.12

Archasa(config)# group-policy myweb*-group-policy attributes

Archasa(config-group-web*)# url-list value mylist

3、自定义port-forward

port-forward可以让WebVPN用户在外网通过WebVPN使用内网的非HTTP服务。

Archasa(config)# port-forward port-forward-list 2323 192.20.59.11 23

Archasa(config)# group-policy myweb*-group-policy attributes

Archasa(config-group-policy)# web*

Archasa(config-group-web*)# functions url-entry file-access file-entry file-browsing port-forward

Archasa(config-group-web*)# port-forward value port-forward-list

经过上面的配置以后，WebVPN用户加载WebVPN提供的JAVA App，就可以通过telnet到自身的2323端口登陆到内网服务器的23端口。