SSLVPN RADIUS分组认证

ASA SSLVPN使用radius服务器验证实验 拓扑：

需求：

1、使用Windows2008 NPS做为Radius服务器实现ASA的VPN用户拨入； 2、针对不同的用户，不允许手动指定策略组，而是自动分配相应的策略组；

实现功能：

1、在AD上，基于组对用户进行分类，分别为sslvpn-1和sslvpn-2； 2、sslvpn-1和sslvpn-2的用户均可以拨入vpn； 3、两个组分别获取不同的group-police策略；

基本配置：

路由器及PC

配置基本的IP地址，网关，默认路由，以及NAT。具体的IP信息见拓扑。

ASA：

1、接口及nat、路由：

interface GigabitEthernet0/0 nameif outside security-level 0

ip address 100.100.2.1 255.255.255.0 !

interface GigabitEthernet0/1 nameif inside

security-level 100

ip address 192.168.2.254 255.255.255.0

object network local

subnet 192.168.2.0 255.255.255.0

nat (inside,outside) dynamic interface

route outside 0.0.0.0 0.0.0.0 100.100.2.254

2、地址池

ip local pool vpnpool 10.0.0.1-10.0.0.10 mask 255.255.255.0 ip local pool vpnpool-2 20.0.0.1-20.0.0.10 mask 255.255.255.0 ip local pool default-pool 50.0.0.1-50.0.0.10 mask 255.255.255.0

3、验证服务器配置

aaa-server 2008radius protocol radius

aaa-server 2008radius (inside) host 192.168.2.11 keycisco123

\\\\这里的key，要跟radius服务器上设置的密码一致；必须先配置协议类型，才可以指定

服务器IP地址；

4、VPN基本配置

1、一、二阶段基本配置

cryptoipsec ikev1 transform-set vpnset esp-3des esp-md5-hmac cryptoipsec security-association pmtu-aging infinite

crypto dynamic-map dmap 10 set ikev1 transform-set vpnset crypto map vpnmap 10 ipsec-isakmp dynamic dmap crypto map vpnmap interface outside crypto ca trustpool policy crypto ikev1 enable outside crypto ikev1 policy 10 authentication pre-share encryption 3des hash md5 group 2

lifetime 86400

2、webvpn配置（ssl）

webvpn

enable outside

anyconnect-essentials

anyconnect image disk0:/anyconnect-win-3.0.11042-k9.pkg 1 anyconnect enable \\\\这里不开启自由选择分组；

，禁止用户

3、隧道配置

tunnel-groupDefaultWEBVPNGroup general-attributes

authentication-server-group 2008radius

tunnel-groupDefaultWEBVPNGroupwebvpn-attributes group-alias default enable

\\\\默认的隧道配置，默认调用group-policy DfltGrpPolicy，当我们不给用户组绑定策略时，则调用的就是DfltGrpPolicy默认策略组的配置；

tunnel-group sslvpn-1 type remote-access tunnel-group sslvpn-1 general-attributes address-poolvpnpool

authentication-server-group 2008radius default-group-policy gp-sslvpn-1

tunnel-group sslvpn-1 webvpn-attributes group-alias sslvpn-1 enable

tunnel-group sslvpn-1 ipsec-attributes ikev1 pre-shared-key cisco

tunnel-group sslvpn-2 type remote-access tunnel-group sslvpn-2 general-attributes address-pool vpnpool-2

authentication-server-group 2008radius default-group-policy gp-sslvpn-2

tunnel-group sslvpn-2 webvpn-attributes group-alias sslvpn-2 enable

tunnel-group sslvpn-2 ipsec-attributes ikev1 pre-shared-key cisco 注：

1、每个隧道都配置了验证服务器authentication-server-group 2008radius； 2、虽然配置了group-alias，但是在webvpn属性中未开启

，并不生效；

3、每个隧道必须关联一个group-policy；

4、组策略配置

group-policyDfltGrpPolicy attributes

vpn-tunnel-protocolssl-client ssl-clientless password-storage enable

split-tunnel-policytunnelspecified split-tunnel-network-list value split address-pools value default-pool \\\\默认的组策略，配置包括： 1、vpn类型；

2、切分通道； 3、地址池；

group-policy gp-sslvpn-1 internal group-policy gp-sslvpn-1 attributes banner value welcome to Group-1

vpn-tunnel-protocolssl-client ssl-clientless password-storage enable

split-tunnel-policytunnelspecified

split-tunnel-network-list value split-1 address-pools value vpnpool

\\\\为sslvpn-1组准备的组策略，包括： 1、banner信息； 2、vpn类型； 3、切分通道； 4、地址池；

group-policy gp-sslvpn-2 internal group-policy gp-sslvpn-2 attributes banner value welcome to Group-2

vpn-tunnel-protocolssl-client ssl-clientless password-storage enable

split-tunnel-policytunnelspecified

split-tunnel-network-list value split-2 address-pools value vpnpool-2

\\\\为sslvpn-2组准备的组策略，包括： 1、banner信息； 2、vpn类型； 3、切分通道； 4、地址池； 注：

1、当不为用户锁定组策略的时候，默认调用DfltGrpPolicy，这个默认的组策略； 2、锁定组策略后，用户将根据配置获取不同的配置信息；（IP地址、切分通道）