ASA 上的无客户端 SSL VPN (WebVPN) 配置示例

无客户端 SSL VPN (WEBVPN) 宏替换 验证 故障排除

用于排除故障的步骤 用于排除故障的命令

问题 - 连接到 PIX/ASA 的 WEB VPN 用户不能超过三个 问题 - WEB VPN Client 无法点击书签，书签显示为灰色 问题 - 通过 WEBVPN 进行的 Citrix 连接 思科支持社区 – 特别的对话 相关信息

前言

通过客户端 SSL VPN (WebVPN)，可从任意位置以安全方式访问公司网络，此类访问虽受到限制但非常有用。 用户随时可以通过具有安全功能的浏览器访问公司资源。 本文为 Cisco 自适应安全设备 (ASA) 5500 系列提供了一种简单直观的配置，无客户端 SSL VPN 通过该配置可访问内部网络资源。

可通过以下三种方式利用 SSL VPN 技术： 无客户端 SSL VPN、瘦客户端 SSL VPN（端口转发）和 SSL VPN Client（SVC 隧道模式）。 每种方式都有自身的优点和特有的资源访问方式。 1. 无客户端 SSL VPN

远程客户端只需一个启用了 SSL 的 Web 浏览器，便可访问公司局域网内启用了 http 或 https 的 Web 服务器。 也可以使用通用 Internet 文件系统 (CIFS) 来访问浏览 Windows 文件。 Outlook Web Access (OWA) 客户端是 http 访问的一个好例子。 2. 瘦客户端 SSL VPN（端口转发）

远程客户端必须下载一个基于 Java 的小程序，才能以安全方式访问使用静态端口号的 TCP 应用程序。 不支持 UDP。 示例包括对 POP3、SMTP、IMAP、SSH 和 Telnet 的访问。 由于更改的是本地计算机中的文件，因此用户需要具有本地管理权限。 此 SSL VPN 方法不适用于使用动态端口分配的应用程序，例如一些 FTP 应用程序。

要详细了解瘦客户端 SSL VPN，请参阅在 ASA 上使用 ASDM 配置瘦客户端 SSL VPN (WebVPN) 配置。

3. SSL VPN Client（SVC 隧道模式）

SSL VPN Client 将一个小客户端下载到远程工作站，从而允许对公司内部网络中的资源进行全面安全的访问。 可将 SVC 永久下载到远程站，也可以在安全会话结束后将其删除。

无客户端SSL VPN在Cisco VPN集中器3000和有版本12.4(6)T和以上的特定Cisco IOS路由器可以 配置。 也可以在 Cisco ASA 中通过命令行界面 (CLI) 或自适应安全设备管理器 (ASDM) 来配置无客户端 SSL VPN 访问。 ASDM 的使用简化了配置操作。

不得在同一个 ASA 接口上同时启用无客户端 SSL VPN 和 ASDM。 如果更改端口号，这两种技术将可以共存在同一个接口上。 强烈建议在内部接口 上启用 ASDM，这样便可在外部接口上启用 WebVPN。 要详细了解 SSL VPN Client，请参阅在 ASA 中使用 ASDM 配置 SSL VPN Client (SVC) 的示例。 使用无客户端 SSL VPN 可对公司局域网中的以下资源进行安全访问：

®

   

OWA/Exchange

通过 HTTP 和 HTTPS 访问内部 Web 服务器 访问和浏览 Windows 文件 有 Citrix 瘦客户端的 Citrix 服务器

Cisco ASA 充当客户端计算机的安全代理，随后客户端计算机即可访问公司局域网中预先选择的资源。 本文档演示了用 ASDM 做出的一个简单配置，通过此配置可在 Cisco ASA 上使用无客户端 SSL VPN。 如果客户端已经具有启用了 SSL 的 Web 浏览器，则无需进行任何客户端配置。 多数 Web 浏览器已经具有调用 SSL/TLS 会话的功能。 本文还演示了所生成的 Cisco ASA 命令行。

前提条件

需求

尝试进行此配置之前，请确保满足以下要求：

  

启用客户端 SSL 的浏览器，例如，Internet Explorer、Netscape 和 Mozilla 7.1 或更高版本的 ASA

TCP 端口 443，在从客户端到 ASA 的路径中不得阻止该端口

使用的组件

本文档中的信息基于以下软件和硬件版本：

 

Cisco ASA 软件版本 7.2(1) Cisco ASDM 5.2(1)

注意： 要使 ASDM 可配置 ASA，请参阅允许 ASDM 进行 HTTPS 访问。

 Cisco ASA 5510 系列

本文档中的信息都是基于特定实验室环境中的设备创建的。 本文档中使用的所有设备最初均采用原始（默认）配置。 如果您在一个工作网络中操作，在使用之前请确认您已经理解所有指令的潜在影响。

惯例

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

配置

在此阶段，从 Web 浏览器发出 https://inside _IP Address 即可访问 ASDM 应用程序。 加载 ASDM 后，即开始配置 WebVPN。

本部分包含在配置本文介绍的功能时所需要的信息。

注意： 使用命令查找工具（仅限注册用户）可详细了解本部分所使用的命令。

网络图

本文档使用以下网络设置：

步骤

在 ASA 上配置 WebVPN 分为以下四个主要步骤：

 在 ASA 接口上启用 WebVPN。

  

创建用于 WebVPN 访问的服务器和/或 URL 的列表。 为 WebVPN 用户创建一个组策略。 将这一新的组策略应用于隧道组。

1. 在 ASDM 中，选择 Configuration > VPN > WebVPN > WebVPN Access。

选择终止 WebVPN 用户的接口 >Enable > Apply。

2. 选择 Servers and URLs > Add。

输入可供 WebVPN 访问的服务器列表的名称。 单击 Add 按钮。 此时将显示 Add Server or URL 对话框。 请输入每个服务器的名称。 这是将向客户端显示的名称。 从 URL 下拉菜单为每个服务器选择适当的协议。 通过 Add Server or URL 对话框向列表添加服务器，然后单击 OK。

单击 Apply > Save。

3. 在 ASDM 左侧菜单中展开 General。 选择 Group Policy > Add。

o 选择 Add Internal Group Policy。 取消选中 Tunneling Protocols: 的 Inherit 复选

框。 选中 WebVPN 复选框。

o 选择 WebVPN 选项卡。 取消选中 Inherit 复选框。 从功能列表中选择功能。 单击

OK > Apply。

4. 在左侧列中选择 Tunnel Group。 单击 Edit 按钮。

单击 Group Policy 下拉菜单。 选择在第 3 步创建的策略。

请注意，如果没有创建新的组策略和隧道组，则默认设置为 GroupPolicy1 和 DefaultWEBVPNGroup，了解这一点很重要。 单击 WebVPN 选项卡。

选择 NetBIOS Servers。 单击 Add 按钮。 填写 WINS/NBNS 服务器的 IP 地址。 单击 OK > OK。 按照提示 Apply > Save > Yes 写入该配置。

配置

此配置反映了 ASDM 为启用 WebVPN 而进行的更改：

Ciscoasa ciscoasa#show running-config Building configuration... ASA Version 7.2(1) hostname ciscoasa domain-name cisco.com enable password 9jNfZuG3TC5tCVH0 encrypted names dns-guard interface Ethernet0/0 nameif outside security-level 0 ip address 172.22.1.160 255.255.255.0 interface Ethernet0/1 nameif inside security-level 100 ip address 10.2.2.1 255.255.255.0 interface Ethernet0/2 nameif DMZ1 security-level 50 no ip address interface Management0/0 description For Mgt only shutdown nameif Mgt security-level 0 ip address 10.10.10.1 255.255.255.0 management-only passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name cisco.com pager lines 24 logging enable logging asdm informational mtu outside 1500 mtu inside 1500 mtu DMZ1 1500 mtu Mgt 1500 icmp permit any outside asdm image disk0:/asdm521.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 10.2.2.0 255.255.255.0 route outside 0.0.0.0 0.0.0.0 172.22.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute ! !--- group policy configurations ! group-policy GroupPolicy1 internal group-policy GroupPolicy1 attributes vpn-tunnel-protocol IPSec l2tp-ipsec webvpn webvpn functions url-entry file-access file-entry file-browsing mapi port-forward filter http-proxy auto-download citrix username cisco password 53QNetqK.Kqqfshe encrypted ! !--- asdm configurations ! http server enable http 10.2.2.0 255.255.255.0 inside ! no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart ! !--- tunnel group configurations ! tunnel-group DefaultWEBVPNGroup general-attributes default-group-policy GroupPolicy1 tunnel-group DefaultWEBVPNGroup webvpn-attributes nbns-server 10.2.2.2 master timeout 2 retry 2 ! telnet timeout 5 ssh 172.22.1.0 255.255.255.0 outside ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global ! !--- webvpn configurations ! webvpn enable outside url-list ServerList \"WSHAWLAP\" cifs://10.2.2.2 1 url-list ServerList \"FOCUS_SRV_1\" https://10.2.2.3 2 url-list ServerList \"FOCUS_SRV_2\" http://10.2.2.4 3 ! prompt hostname context ! end 无客户端 SSL VPN (WEBVPN) 宏替换

使用无客户端 SSL VPN 宏替换可对用户进行配置，使其可以访问包含用户 ID 和口令或其他输入参数的个性化资源。 此类资源的示例包括书签条目、URL 列表和文件共享。 注意： 出于安全考虑，将对文件访问 URL (cifs://) 禁用口令替换/)。

注意： 同样出于安全考虑，在为 Web 链接（尤其是非 SSL）实例引入口令替换时，请务必谨慎。 支持以下宏替换：

1. CSCO_WEBVPN_USERNAME - SSL VPN 用户登录 ID 2. CSCO_WEBVPN_PASSWORD - SSL VPN 用户登录口令

3. CSCO_WEBVPN_INTERNAL_PASSWORD - SSL VPN 用户内部资源口令

4. CSCO_WEBVPN_CONNECTION_PROFILE - SSL VPN 用户登录组下拉菜单，这是连接配置文

件中的一个组别名

5. CSCO_WEBVPN_MACRO1 - 通过 RADIUS/LDAP 供应商特定属性来设置 6. CSCO_WEBVPN_MACRO2 - 通过 RADIUS/LDAP 供应商特定属性来设置 要详细了解宏替换，请参阅无客户端 SSL VPN 宏替换。

验证

使用本部分可确认配置能否正常运行。

建立从外部客户端到 ASA 设备的连接，以测试以下地址： https://ASA_outside_IP_Address

客户端会收到一个 Cisco WebVPN 页面，通过该页面可以安全访问公司局域网。 只允许客户端进行新创建的组策略中列出的访问。

认证：为验证此概念，在 ASA 中创建了一个简单的登录名和口令。 如果单点无缝登录某域是 WebVPN 用户的首选方法，请参阅下面这个 URL：

使用 ASDM 和 NTLMv1 配置具有 WebVPN 和单点登录的 ASA 示例

故障排除

本部分提供的信息可用于对配置进行故障排除。

注意： 当复制过程正在进行时，请勿中断 Copy File to Server 命令或导航到其他屏幕。 如果中断该操作，可能导致文件在服务器上保存不完整。

注意： 用户可以使用 WEBVPN Client 上载和下载新文件，但不允许用户使用 Copy File to Server 命令覆盖 WEB VPN 上 CIFS 中的文件。 当用户尝试替换该服务器上的文件时，该用户将收到以下消息： “Unable to add the file.”。

用于排除故障的步骤

请按照以下说明排除配置故障。

1. 在 ASDM 中，选择 Monitoring > Logging > Real-time Log Viewer > View。 当客户端连接到

ASA 时，请在实时日志中注意 SSL 和 TLS 会话的建立与终止。

2. 在 ASDM 中，选择 Monitoring > VPN > VPN Statistics > Sessions。 查找新的 WebVPN 会

话。 请务必选择 WebVPN 过滤器，然后单击 Filter。 如果出现问题，请暂时绕过 ASA 设备，以确保客户端可以访问所需的网络资源。 请查看本文列出的配置步骤。

用于排除故障的命令

命令输出解释程序工具（仅限注册用户）(OIT) 支持某些 show 命令。 使用 OIT 可查看对 show 命令输出的分析。

注意： 在使用 debug 命令之前，请参阅关于 Debug 命令的重要信息。

 

show webvpn ? — 有许多与 WebVPN 关联的 show 命令。 要详细了解 show 命令的用法，请参阅 Cisco 安全设备的命令参考部分。

debug webvpn ? — 使用 debug 命令可能对 ASA 产生不利影响。 要详细了解 debug 命令的用法，请参阅 Cisco 安全设备的命令参考部分。

问题 - 连接到 PIX/ASA 的 WEB VPN 用户不能超过三个

问题：

只能将三个 WEB VPN Client 连接到 ASA/PIX； 连接第四个客户端时将失败。 解决方案：

在许多情况下，此问题与组策略中的一个同时登录设置有关。 按照下图配置所需的同时登录数。 在本例中，所需值为 20。

ciscoasa(config)# group-policy Bryan attributes

ciscoasa(config-group-policy)# vpn-simultaneous-logins 20

问题 - WEB VPN Client 无法点击书签，书签显示为灰色

问题：

如果配置这些书签供用户登录无客户端 VPN，但这些书签在主机屏幕中的“Web Applications”下显示为灰色，我该如何启用这些 HTTP 链接，以使用户能单击书签并进入特定 URL？ 解决方案：

首先应确保 ASA 能通过 DNS 解析网站。 尝试按名称 ping 这些网站。 如果 ASA 无法解析该名称，链接将变灰。 如果 DNS 服务器在网络内部，请配置 DNS 域查找专用接口。

问题 - 通过 WEBVPN 进行的 Citrix 连接

问题

通过 WEBVPN 进行 Citrix 连接时出现错误消息“the ica client received a corrupt ica file.” 。 解决方案

如果将安全网关 模式用于通过 WebVPN 进行的 Citrix 连接，ICA 文件可能损坏。 由于 ASA 与此操作模式不兼容，请在直接模式（非安全模式）下新建一个 ICA 文件。