Cisco ASA 9.4之SSLVPN与CiscolSE实验示例

近日利用EVE-NG搭建了一个SSLVPN实验，在此之前一个对VPN之类的玩意没有接触过，故实验花了三天时间研究。以下为实验的拓扑图。

实验说明：1. CiscoASA 9.4 用于SSLVPN Server，Outside 网关192.168.83.254

2. 主机ISE_VPN 用于拔入账号认证授权，IP Address: 172.16.100.20，通过桥接连接进EVE-NG实验平台

3. 路由器R2新建L0: 10.133.32.0/24 、L1: 10.133.33.0/24模拟内网两个网段

4. Outside的两个主机Win0210 、Win0310分别模拟互联网两个用户user01、user02

5. 互联网用户user01只可以防问内网网段10.133.32.0/24

6. 互联网用户user02只可以防问内网网段10.133.33.0/24

网络设备基本设定

1. 路由器R3只设定三个接口的ip,路由不使用设定。

interface Ethernet0/0

ip address 192.168.2.1 255.255.255.0

!

interface Ethernet0/1

ip address 192.168.83.1 255.255.255.0

!

interface Ethernet0/2

ip address 192.168.3.1 255.255.255.0

2.Win0210 与 Win0310设定IP，并且网关分别指向各自接口的IP。

3.路由器R2除了设定接口IP外，还要设定一条默认路由

interface Loopback0

ip address 10.133.32.1 255.255.255.0

!

interface Loopback1

ip address 10.133.33.1 255.255.255.0

!

interface Ethernet0/0

ip address 172.16.100.254 255.255.255.0

!

interface Ethernet0/1

ip address 172.16.2.254 255.255.255.0

!

interface Ethernet0/3

ip address 10.133.83.1 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 10.133.83.254

4. Cisco ASA基本设定

# 设定VPN用户获取的IP地址池

ip local pool ISE_POOL 10.133.83.32-10.133.83.64 mask 255.255.255.0

!

interface GigabitEthernet0/0

nameif inside

security-level 100

ip address 10.133.83.254 255.255.255.0

!

interface GigabitEthernet0/1

nameif outside

security-level 0

ip address 192.168.83.254 255.255.255.0

!

#设定路由

route outside 0.0.0.0 0.0.0.0 192.168.83.1 1

route inside 10.133.32.0 255.255.252.0 10.133.83.1 1

route inside 10.133.33.0 255.255.255.0 10.133.83.1 1

route inside 172.16.2.0 255.255.255.0 10.133.83.1 1

route inside 172.16.100.0 255.255.255.0 10.133.83.1 1

#设定AAA-SERVER 属性

aaa-server ISE protocol radius

interim-accounting-update periodic 3

merge-dacl before-avpair

dynamic-authorization

#设定AAA-SERVER 服务器IP Address

aaa-server ISE (inside) host 172.16.100.200

key *****

user-identity default-domain LOCAL

#开启HTTP防问服务

http server enable

http 0.0.0.0 0.0.0.0 outside

http 10.133.32.0 255.255.252.0 inside

ssh stricthostkeycheck

ssh 172.16.100.0 255.255.255.0 inside

#开启WEBVPN

webvpn

enable outside

anyconnect image disk0:/anyconnect-win-4.2.05015-k9.pkg 1

anyconnect enable

tunnel-group-list enable

error-recovery disable

group-policy ISE_VPN internal

group-policy ISE_VPN attributes

dns-server value 172.16.200.1

vpn-tunnel-protocol ssl-client

dynamic-access-policy-record DfltAccessPolicy

username admin password QCP00FvqVQRpzCZ/ encrypted privilege 15

# tunnel-group设定

tunnel-group ISE_AAA type remote-access

tunnel-group ISE_AAA general-attributes

address-pool ISE_POOL

authentication-server-group ISE

accounting-server-group ISE

default-group-policy ISE_VPN

#开启tunnel对外服务IP Address

tunnel-group ISE_AAA webvpn-attributes

group-alias ISE_AAA enable

group-url https://192.168.83.254 enable

5.CiscoISE设定

5.1 增加ASA的IP Addrss

5.2增加两个用户并且放至不同的组

5.3 分别增加两条ACL策略

5.4 分另增加两条授权策略，并分别调用上面的新增的ACL策略

5.5 新增Authentication策略

5.6 分别新增两条Authorization策略

6. 以上完成后，使用user01账号测试

user01账号登录成功

以下为ISE认证记录信息

ASA上面的记录

主机Win0210 登录成功后的所获取的IP Address

分别ping 内网两个网段的IP,因User01只有防问10.133.32.0/24的权限故可以ping通；没有10.133.33.0/24的防问权限，故不能ping通。