ASA7.17.2在ASA上允许SVC使用分割隧道.PDFVIP

ASA 7.1/7.2 ：在 ASA 上允许 SVC 使用分割隧道 的配置示例 目录 简介 先决条件 要求 使用的组件 规则 背景信息 配置 网络图 使用 ASDM 5.2(2) 配置 ASA 使用 CLI 配置 ASA 7.2(2) 使用 SVC 建立 SSL VPN 连接 验证 故障排除 相关信息 简介 本文档针对在安全套接字层 (SSL) VPN 客户端 (SVC) 通过隧道连接到 Cisco 自适应安全设备 (ASA) 时如何允许这些 VPN 客户端访问 Internet 提供分步说明。此配置允许通过 SSL 对公司资源 进行 SVC 安全访问，并使用分割隧道提供对 Internet 的非安全访问。 使用同一个接口同时传输安全数据流和非安全数据流的功能称为分割隧道。分割隧道要求您明确指 定哪个是安全数据流以及该数据流的目标是什么，这样只有指定的数据流进入隧道，而其余数据流 则以未加密形式通过公共网络 (Internet) 进行传输。 先决条件 要求 尝试进行此配置之前，请确保满足以下要求： 在所有远程工作站上都有本地管理权限 在远程工作站上有 Java 和 Activex 控件 端口 443 (SSL) 在连接路径中的任何位置都不受阻止 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行软件版本 7.2(2) 的 Cisco 5500 系列自适应安全设备 (ASA) 适用于 Windows 79 的 Cisco SSL VPN Client 版本注意： 请从 Cisco 软件下载中下载 SSL VPN 客户端软件包 (sslclient-win*.pkg)（仅限注册用户 ）。将 SVC 复制到 ASA 的闪存 ，前者需要下载到远程用户计算机以便建立与 ASA 的 SSL VPN 连接。有关详细信息，请参阅 ASA 配置指南的安装 SVC 软件部分。 运行 Windows 2000 Professional SP4 或 Windows XP SP2 的 PC Cisco 自适应安全设备管理器 (ASDM) 版本 5.2(2) 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 SSL VPN 客户端 (SVC) 是一种 VPN 隧道技术，这种技术让远程用户可以利用 IPsec VPN 客户端 的优势，而无需网络管理员在远程计算机上安装和配置 IPsec VPN 客户端。SVC 使用远程计算机 上已经具有的 SSL 加密以及安全设备的 WebVPN 登录和身份验证。 为建立 SVC 会话，远程用户需要在浏览器中输入安全设备 WebVPN 接口的 IP 地址，浏览器便会 连接到该接口并显示 WebVPN 登录屏幕。如果您完成登录并通过身份验证，而且安全设备将您识 别为需要 SVC，则会将 SVC 下载到远程计算机。如果安全设备将您识别为可以选择使用 SVC，它 会将 SVC 下载到远程计算机，但在窗口中显示一个跳过 SVC 安装的链接。 下载完成后，SVC 将自行安装并配置，随后当连接终止时，SVC 会在远程计算机中保留或卸载自 己，具体取决于配置。 配置 本部分提供有关如何配置本文档所述功能的信息。 注意： 使用命令查找工具 （仅限注册用户 ）可获取有关本部分所使用命令的详细信息。 网络图 本文档使用以下网络设置： 注意： 此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用 的 RFC 1918 地址。 使用 ASDM 5.2(2) 配置 ASA 若要在 ASA 上为 SSL VPN 配置分割隧道，请完成下列步骤： 1. 本文档假定基本配置（如接口配置等）已完成并且可以正常工作。注意： 要使 ASDM 可配置 ASA，请参阅允许 ASDM 进行 HTTPS 访问。注意： 除非更换端口号，否则无法在同一 ASA 接口上启用 WebVPN 和 ASDM。有关详细信息，请参阅在相同 ASA 接口上同时启用 Webvpn 和 ASDM。 2. 选择 Configuration VPN IP Address Management IP Pools 以创建用于 VPN 客户端的 IP 地址池：vpnpool。