ASA 上的无客户端 SSL VPN(WebVPN) 配置示例

前言 前提条件 需求 使用的组件 惯例 配置 网络图 步骤 配置

无客户端 SSL VPN (WEBVPN) 宏替换 验证 故障排除

用于排除故障的步骤 用于排除故障的命令

问题 - 连接到 PIX/ASA 的 WEB VPN 用户不能超过三个 问题 - WEB VPN Client 无法点击书签，书签显示为灰色 问题 - 通过 WEBVPN 进行的 Citrix 连接 思科支持社区 – 特别的对话 相关信息

前言

通过客户端 SSL VPN (WebVPN)，可从任意位置以安全方式访问公司网络，此类访问虽受到限制但非常有用。 用户随时可以通过具有安全功能的浏览器访问公司资源。 本文为 Cisco 自适应安全设备 (ASA) 5500 系列提供了一种简单直观的配置，无客户端 SSL VPN 通过该配置可访问内部网络资源。

可通过以下三种方式利用 SSL VPN 技术： 无客户端 SSL VPN、瘦客户端 SSL VPN（端口转发）和 SSL VPN Client（SVC 隧道模式）。 每种方式都有自身的优点和特有的资源访问方式。 1. 无客户端 SSL VPN

远程客户端只需一个启用了 SSL 的 Web 浏览器，便可访问公司局域网内启用了 http 或 https 的 Web 服务器。 也可以使用通用 Internet 文件系统 (CIFS) 来访问浏览 Windows 文件。 Outlook Web Access (OWA) 客户端是 http 访问的一个好例子。 2. 瘦客户端 SSL VPN（端口转发）

远程客户端必须下载一个基于 Java 的小程序，才能以安全方式访问使用静态端口号的 TCP 应用程序。 不支持 UDP。 示例包括对 POP3、SMTP、IMAP、SSH 和 Telnet 的访问。 由于更改的是本地计算机中的文件，因此用户需要具有本地管理权限。 此 SSL VPN 方法不适用于使用动态端口分配的应用程序，例如一些 FTP 应用程序。

要详细了解瘦客户端 SSL VPN，请参阅在 ASA 上使用 ASDM 配置瘦客户端 SSL VPN (WebVPN) 配置。

3. SSL VPN Client（SVC 隧道模式）

SSL VPN Client 将一个小客户端下载到远程工作站，从而允许对公司内部网络中的资源进行全面安全的访问。 可将 SVC 永久下载到远程站，也可以在安全会话结束后将其删除。

无客户端SSL VPN在Cisco VPN集中器3000和有版本12.4(6)T和以上的特定Cisco IOS路由器可以 配置。 也可以在 Cisco ASA 中通过命令行界面 (CLI) 或自适应安全设备管理器 (ASDM) 来配置无客户端 SSL VPN 访问。 ASDM 的使用简化了配置操作。

不得在同一个 ASA 接口上同时启用无客户端 SSL VPN 和 ASDM。 如果更改端口号，这两种技术将可以共存在同一个接口上。 强烈建议在内部接口 上启用 ASDM，这样便可在外部接口上启用 WebVPN。 要详细了解 SSL VPN Client，请参阅在 ASA 中使用 ASDM 配置 SSL VPN Client (SVC) 的示例。 使用无客户端 SSL VPN 可对公司局域网中的以下资源进行安全访问：

?

? ? ? ?

OWA/Exchange

通过 HTTP 和 HTTPS 访问内部 Web 服务器 访问和浏览 Windows 文件 有 Citrix 瘦客户端的 Citrix 服务器

Cisco ASA 充当客户端计算机的安全代理，随后客户端计算机即可访问公司局域网中预先选择的资源。 本文档演示了用 ASDM 做出的一个简单配置，通过此配置可在 Cisco ASA 上使用无客户端 SSL VPN。 如果客户端已经具有启用了 SSL 的 Web 浏览器，则无需进行任何客户端配置。 多数 Web 浏览器已经具有调用 SSL/TLS 会话的功能。 本文还演示了所生成的 Cisco ASA 命令行。

前提条件

需求

尝试进行此配置之前，请确保满足以下要求：

? ? ?

启用客户端 SSL 的浏览器，例如，Internet Explorer、Netscape 和 Mozilla 7.1 或更高版本的 ASA

TCP 端口 443，在从客户端到 ASA 的路径中不得阻止该端口

使用的组件

本文档中的信息基于以下软件和硬件版本：

? ?

Cisco ASA 软件版本 7.2(1) Cisco ASDM 5.2(1)

注意： 要使 ASDM 可配置 ASA，请参阅允许 ASDM 进行 HTTPS 访问。

? Cisco ASA 5510 系列

本文档中的信息都是基于特定实验室环境中的设备创建的。 本文档中使用的所有设备最初均采用原始（默认）配置。 如果您在一个工作网络中操作，在使用之前请确认您已经理解所有指令的潜在影响。

惯例

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

配置

在此阶段，从 Web 浏览器发出 https://inside _IP Address 即可访问 ASDM 应用程序。 加载 ASDM 后，即开始配置 WebVPN。

本部分包含在配置本文介绍的功能时所需要的信息。

注意： 使用命令查找工具（仅限注册用户）可详细了解本部分所使用的命令。

网络图

本文档使用以下网络设置：

步骤

在 ASA 上配置 WebVPN 分为以下四个主要步骤：

? 在 ASA 接口上启用 WebVPN。

? ? ?

创建用于 WebVPN 访问的服务器和/或 URL 的列表。 为 WebVPN 用户创建一个组策略。 将这一新的组策略应用于隧道组。

1. 在 ASDM 中，选择 Configuration > VPN > WebVPN > WebVPN Access。

选择终止 WebVPN 用户的接口 >Enable > Apply。

2. 选择 Servers and URLs > Add。