Cisco ASA Web VPN 配置详解[1]

在实验开始这前先来谈一谈ASA7.X系统中的默认隧道组和组策略。

ASA/PIX 7.x系统默认在show run时不显示默认组策略和默认隧道组，只有使用ASDM才能看到。下面列出在ASDM中看到的默认值：

默认IPSec-l2l隧道组: DefaultL2LGroup

默认IPSec-ra隧道组: DefaultRAGroup

默认WebVPN隧道组: DefaultWEBVPNGroup

默认组策略: DfltGrpPolicy

默认组策略的默认隧道协议: IPSec-l2l

可以在命令行中直接对以上隧道组和组策略进行编辑，ASA在加载WebVPN时默认采用DefaultWEBVPNGroup，用户自定义的WebVPN组必须在启动 “tunnel-group-list”和“group-alias” 后才会出现。

在下面的例子中，我没有使用ASA的默认隧道组，所以会有tunel-group-list和group-alias配置出现。

1、WebVPN服务基本配置。

Archasa(config)# int e0/0

Archasa(config-if)# ip address 192.168.0.1 255.255.255.0

Archasa(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

Archasa(config-if)# no shut

Archasa(config-if)# exit!

Archasa(config)# int e0/1

Archasa(config-if)# ip add 172.20.59.10 255.255.255.0

Archasa(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

Archasa(config-if)# no sh

Archasa(config-if)# exit

Archasa(config)# webvpn

Archasa(config-webvpn)# enable outside

#在外网接口上启动WebVPN!

Archasa(config)# group-policy mywebvpn-group-policy ?

configure mode commands/options:

external Enter this keyword to specify an external group policy

internal Enter this keyword to specify an internal group policy

#此处需要选择组策略的类型，因为我们是将策略配置在ASA本地的，所以选择Internal。

Archasa(config)# group-policy mywebvpn-group-policy internal

#创建了一个名为mywebvpn-group-policy的Internal类型Policy。

Archasa(config)# group-policy mywebvpn-group-policy ?

configure mode commands/options:

attributes Enter the attributes sub-command mode

external Enter this keyword to specify an external group policy

internal Enter this keyword to specify an internal group policy

#组策略一旦创建，命令行参数中就会多出attributes选项，这是用于后面定义具体的组策略用的，目前可以保留为空。

Archasa(config)# username test password woaicisco

#创建一个本地用户

Archasa(confCisco认证