在做實驗之前讓我們先來了解一下SSL

在做實驗之前讓我們先來了解一下SSLVPN。

目前市場上VPN產品很多，而且技術各異，就比如傳統(tǒng)的IPSecVPN來講，SSL能讓公司實現(xiàn)更多遠程用戶在不同地點接入，實現(xiàn)更多網絡資源訪問，且對客戶端設備要求低，因而降低了配置和運行支撐成本。很多企業(yè)用戶采納SSLVPN作為遠程安全接入技術，主要看重的是其接入控制功能。

SSLVPN提供增強的遠程安全接入功能。IPSecVPN通過在兩站點間創(chuàng)建隧道提供直接（非代理方式）接入，實現(xiàn)對整個網絡的透明訪問；一旦隧道創(chuàng)建，用戶PC就如同物理地處于企業(yè)LAN中。這帶來很多安全風險，尤其是在接入用戶權限過大的情況下。SSLVPN提供安全、可代理連接，只有經認證的用戶才能對資源進行訪問，這就安全多了。SSLVPN能對加密隧道進行細分，從而使得終端用戶能夠同時接入Internet和訪問內部企業(yè)網資源，也就是說它具備可控功能。另外，SSLVPN還能細化接入控制功能，易于將不同訪問權限賦予不同用戶，實現(xiàn)伸縮性訪問；這種精確的接入控制功能對遠程接入IPSecVPN來說幾乎是不可能實現(xiàn)的。

SSLVPN基本上不受接入位置限制，可以從眾多Internet接入設備、任何遠程位置訪問網絡資源。SSLVPN通信基于標準TCP/UDP協(xié)議傳輸，因而能遍歷所有NAT設備、基于代理的防火墻和狀態(tài)檢測防火墻。這使得用戶能夠從任何地方接入，無論是處于其他公司網絡中基于代理的防火墻之后，或是寬帶連接中。IPSecVPN在稍復雜的網絡結構中難于實現(xiàn)，因為它很難實現(xiàn)防火墻和NAT遍歷，無力解決IP地址沖突。另外，SSLVPN能實現(xiàn)從可管理企業(yè)設備或非管理設備接入，如家用PC或公共Internet接入場所，而IPSecVPN客戶端只能從可管理或固定設備接入。隨著遠程接入需求的不斷增長，遠程接入IPSecVPN在訪問控制方面受到極大挑戰(zhàn)，而且管理和運行支撐成本較高，它是實現(xiàn)點對點連接的最佳解決方案，但要實現(xiàn)任意位置的遠程安全接入，SSLVPN要理想得多。

SSLVPN不需要復雜的客戶端支撐，這就易于安裝和配置，明顯降低成本。IPSecVPN需要在遠程終端用戶一方安裝特定設備，以建立安全隧道，而且很多情況下在外部（或非企業(yè)控制）設備中建立隧道相當困難。另外，這類復雜的客戶端難于升級，對新用戶來說面臨的麻煩可能更多，如系統(tǒng)運行支撐問題、時間開銷問題、管理問題等。IPSec解決方案初始成本較低，但運行支撐成本高。如今，已有SSL開發(fā)商能提供網絡層支持，進行網絡應用訪問，就如同遠程機器處于LAN中一樣；同時提供應用層接入，進行Web應用和許多客戶端/服務器應用訪問。了解了上述基本因素之后，下面我們將開始實驗：第一步，ASA的基本配置：Archasa(config)#inte0/0

Archasa(config-if)#nameifoutside

Archasa(config-if)#noshutArchasa(config-if)#exitArchasa(config)#inte0/1Archasa(config-if)#nameifinsideArchasa(config-if)#noshutArchasa(config-if)#exitArchasa(config)#webvpnArchasa(config-webvpn)#enableoutsideArchasa(config-webvpn)#svcimagedisk0:/sslclient-win-.169.pkgArchasa(config-webvpn)#svcenable#上述配置是在外網口上啟動WEBVPN，并同時啟動SSLVPN功能2、SSLVPN配置準備工作#創(chuàng)建SSLVPN用戶地址池Archasa(config)#iplocalpoolssl-user#配置SSLVPN數(shù)據(jù)流不做NAT翻譯.0Archasa(config)#nat(inside)0access-listgo-vpn3、WEBVPN隧道組與策略組的配置#創(chuàng)建名為mysslvpn-group-policy的組策略Archasa(config)#group-policymysslvpn-group-policyinternalArchasa(config)#group-policymysslvpn-group-policyattributesArchasa(config-group-policy)#vpn-tunnel-protocolwebvpnArchasa(config-group-policy)#webvpn#在組策略中啟用SSLVPNArchasa(config-group-webvpn)#svcenableArchasa(config-group-webvpn)#exitArchasa(config-group-policy)#exitArchasa(config)#

#創(chuàng)建SSLVPN用戶Archasa(config-webvpn)#usernametestpasswordwoaicisco#把mysslvpn-group-plicy策略賦予用戶testArchasa(config)#usernametestattributesArchasa(config-username)#vpn-group-policymysslvpn-group-policyArchasa(config-username)#exitArchasa(config)#tunnel-groupmysslvpn-grouptypewebvpnArchasa(config)#tunnel-groupmysslvpn-groupgeneral-attributes#使用用戶地址池Archasa(config-tunnel-general)#address-poolssl-userArchasa(config-tunnel-general)#exitArchasa(config)#tunnel-groupmysslvpn-groupwebvpn-attributesArchasa(config-tunnel-webvpn)#group-aliasgroup2enable

Archasa(config-tunnel-webvpn)#exitArchasa(config)#webvpnArchasa(config-webvpn)#tunnel-group-listenable4、配置SSLVPN隧道分離#注意，SSLVPN隧道分離是可選取的，可根據(jù)實際需求來做。#這里的源地址是ASA的INSIDE地址，目標地址始終是ANYArchasa(config)#access-listsplit-sslextendedpermitiArchasa(config)#group-policymysslvpn-group-policyattributesArchasa(config-group-policy)#split-tunnel-policytunnelspecifiedArchasa(config-group-policy)#split-tunnel-network-list