SSLVPN RADIUS分组认证.doc

ASA SSLVPN使用radius服务器验证实验拓扑：需求：1、使用Windows2008 NPS做为Radius服务器实现ASA的VPN用户拨入；2、针对不同的用户，不允许手动指定策略组，而是自动分配相应的策略组；实现功能：1、在AD上，基于组对用户进行分类，分别为sslvpn-1和sslvpn-2；2、sslvpn-1和sslvpn-2的用户均可以拨入vpn；3、两个组分别获取不同的group-police策略；基本配置：路由器及PC配置基本的IP地址，网关，默认路由，以及NAT。具体的IP信息见拓扑。ASA：1、接口及nat、路由：interface GigabitEthernet0/0 nameif outside security-level 0 ip address 100.100.2.1 255.255.255.0 !interface GigabitEthernet0/1 nameif inside security-level 100 ip address 192.168.2.254 255.255.255.0object network local subnet 192.168.2.0 255.255.255.0 nat (inside,outside) dynamic interfaceroute outside 0.0.0.0 0.0.0.0 100.100.2.254 2、地址池ip local pool vpnpool 10.0.0.1-10.0.0.10 mask 255.255.255.0ip local pool vpnpool-2 20.0.0.1-20.0.0.10 mask 255.255.255.0ip local pool default-pool 50.0.0.1-50.0.0.10 mask 255.255.255.03、验证服务器配置aaa-server 2008radius protocol radiusaaa-server 2008radius (inside) host 192.168.2.11 key cisco123这里的key，要跟radius服务器上设置的密码一致；必须先配置协议类型，才可以指定服务器IP地址；4、VPN基本配置1、一、二阶段基本配置crypto ipsec ikev1 transform-set vpnset esp-3des esp-md5-hmac crypto ipsec security-association pmtu-aging infinitecrypto dynamic-map dmap 10 set ikev1 transform-set vpnsetcrypto map vpnmap 10 ipsec-isakmp dynamic dmapcrypto map vpnmap interface outsidecrypto ca trustpool policycrypto ikev1 enable outsidecrypto ikev1 policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 864002、webvpn配置（ssl）webvpn enable outside anyconnect-essentials anyconnect image disk0:/anyconnect-win-3.0.11042-k9.pkg 1 anyconnect enable这里不开启，禁止用户自由选择分组；3、隧道配置tunnel-group DefaultWEBVPNGroup general-attributes authentication-server-group 2008radiustunnel-group DefaultWEBVPNGroup webvpn-attributes group-alias default enable默认的隧道配置，默认调用group-policy DfltGrpPolicy，当我们不给用户组绑定策略时，则调用的就是DfltGrpPolicy默认策略组的配置；tunnel-group sslvpn-1 type remote-accesstunnel-group sslvpn-1 general-attributes address-pool vpnpool authentication-server-group 2008radius default-group-policy gp-sslvpn-1tunnel-group sslvpn-1 webvpn-attributes group-alias sslvpn-1 enabletunnel-group sslvpn-1 ipsec-attributes ikev1 pre-shared-key ciscotunnel-group sslvpn-2 type remote-accesstunnel-group sslvpn-2 general-attributes address-pool vpnpool-2 authentication-server-group 2008radius default-group-policy gp-sslvpn-2tunnel-group sslvpn-2 webvpn-attributes group-alias sslvpn-2 enabletunnel-group sslvpn-2 ipsec-attributes ikev1 pre-shared-key cisco注：1、每个隧道都配置了验证服务器authentication-server-group 2008radius；2、虽然配置了group-alias，但是在webvpn属性中未开启，并不生效；3、每个隧道必须关联一个group-policy；4、组策略配置group-policy DfltGrpPolicy attributes vpn-tunnel-protocol ssl-client ssl-clientless password-storage enable split-tunnel-policy tunnelspecified split-tunnel-network-list value split address-pools value default-pool默认的组策略，配置包括：1、vpn类型；2、切分通道；3、地址池；group-policy gp-sslvpn-1 internalgroup-policy gp-sslvpn-1 attributes banner value welcome to Group-1 vpn-tunnel-protocol ssl-client ssl-clientless password-storage enable split-tunnel-policy tunnelspecified split-tunnel-network-list value split-1 address-pools value vpnpool为sslvpn-1组准备的组策略，包括：1、banner信息；2、vpn类型；3、切分通道；4、地址池；group-policy gp-sslvpn-2 internalgroup-policy gp-sslvpn-2 attributes banner value welcome to Group-2 vpn-tunnel-protocol ssl-client ssl-clientless password-storage enable split-tunnel-policy tunnelspecified split-tunnel-network-list value split-2 address-pools value vpnpool-2为sslvpn-2组准备的组策略，包括：1、banner信息；2、vpn类型；3、切分通道；4、地址池；注：1、当不为用户锁定组策略的时候，默认调用DfltGrpPolicy，这个默认的组策略；2、锁定组策略后，用户将根据配置获取不同的配置信息；（IP地址、切分通道）Radius服务器配置1、安装AD，这里不做详细介绍；2、安装NPS如图：在域中注册NPS服务器，这里是已经注册过，所以显示灰色；3、配置Radius服务器：1、新建Radius客户端共享秘钥需要用在ASA指定服务器时候配置key的时候；2、连接策略这里必须指定一个连接条件；这里我们指定客户端友好名称，在创建Radius客户端时已配置的名称；/这里一定要选择CHAP和PAP,跟NAS设备和终端用的协议有关；（具体信息不详）3、网络策略/这里就是关联用户组的操作了；进行此步骤之前，现在AD上配置用户和用户组/配置2个用户和2个组，2个用户分属于不通的组；/在此吧AD里的用户组添加进来；/使用同样的方法，添加第二个sslvpn的用户组，配置完成后：4、测试用户ASA上执行：test aaa-server authentication 2008radius host 192.168.2.11 username dengming password Cisco123test aaa-server authentication 2008radius host 192.168.2.11 username weixiuwen password Cisco123显示验证成功5、vpn拨号/这里用哪一个用户都一样；/看到获取的IP地址是ASA上默认组策略配置的地址池地址；/切分通道的地址段，也是默认策略中配