learncisco.ru – cisco для практиков и новичков · 2017. 9. 19. · на...
TRANSCRIPT
CCIE# 27142
Алексей Николаев e-mail: [email protected]
Web: LearnCisco.Ru
LearnCisco.Ru – Cisco для практиков и новичков
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Содержание видео Базовая настройка AnyConnect VPN на Cisco ASA через графический
интерфейс ASDM в формате лабораторной работы в виртуальной среде EVE-NG (http://eve-ng.net)
Редактирование базовой конфигурации AnyConnect VPN на Cisco ASA
Обзор в командой строке CLI основных принципов настройки и конфигурации, созданной через ASDM
Что такое EVE-NG Community Edition: Знакомство с архитектурой и принципами работы EVE-NG
https://learncisco.ru/eve/What_is_EVE-NG_Community_Edition.pdf Страница видео курса по установке и настройке EVE-NG
https://learncisco.ru/eve
Более детальный видео курс по настройка и работе с Cisco ASA: https://learncisco.ru/video/asa-vol-1.html
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Запуск пошаговой подсказки
через основное меню
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 1 – «Введение»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 2 – «Создание профиля»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 2 – «Создание профиля»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 3 – «Выбор протоколов и
создание сертификата»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 3 – «Выбор протоколов и
создание сертификата»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 3 – «Выбор протоколов и
создание сертификата»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 3 – «Выбор протоколов и
создание сертификата»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 3 – «Выбор протоколов и
создание сертификата»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 4 – «Добавление образа
AnyConnect VPN клиента»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 4 – «Добавление образа
AnyConnect VPN клиента»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 4 – «Добавление образа
AnyConnect VPN клиента»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 4 – «Добавление образа
AnyConnect VPN клиента»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 4 – «Добавление образа
AnyConnect VPN клиента»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 5 – «Выбор метода
аутентификации и создание пользователя»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 5 – «Выбор метода
аутентификации и создание пользователя»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 6 – «Настройка SAML»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 7 – «Создание пула IP адресов
для удаленных пользователей»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 7 – «Создание пула IP адресов
для удаленных пользователей»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 7 – «Создание пула IP адресов
для удаленных пользователей»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 8 – «Описание DNS/WINS/
Domain для удаленных пользователей»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 9 – «Создание правила для
исключения из NAT»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 10 – «Выбор способов
внедрения AnyConnect клиента»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect VPN Wizard Шаг 11 – «Summary – обзор новой
конфигурации»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Сохранение конфигурации
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Редактирование профиля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Редактирование профиля Редактирование групповой политики
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Редактирование профиля Редактирование групповой политики
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Настройка правил
Split Tunnel
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Настройка правил
Split Tunnel Добавление списка
доступа ACL
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Настройка правил
Split Tunnel Добавление списка
доступа ACL
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Настройка правил
Split Tunnel Добавление правила
в список доступа ACL
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Настройка правил
Split Tunnel Добавление правила
в список доступа ACL
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Настройка правил
Split Tunnel Добавление правила
в список доступа ACL
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Настройка правил
Split Tunnel Добавление правила
в список доступа ACL
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Настройка правил
Split Tunnel Задание политики
туннелирования
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Настройка правил
Split Tunnel Задание политики
туннелирования
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Сохранение всех изменений
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Сохранение всех изменений
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Сохранение всех изменений
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect Profiles Сохранение всех изменений
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure Mobility Client Подключение к ASA,
проверка настроек и правильности работы VPN туннеля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure Mobility Client Подключение к ASA,
проверка настроек и правильности работы VPN туннеля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure Mobility Client Подключение к ASA,
проверка настроек и правильности работы VPN туннеля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure Mobility Client Подключение к ASA,
проверка настроек и правильности работы VPN туннеля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure Mobility Client Подключение к ASA,
проверка настроек и правильности работы VPN туннеля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure Mobility Client
Подключение к ASA,проверка настроек иправильности работыVPN туннеля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure Mobility Client
Подключение к ASA, проверка настроек и правильности работы VPN туннеля
show vpn-sessiondb anyconnect
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure Mobility Client
Подключение к ASA,проверка настроек иправильности работыVPN туннеля
show vpn-sessiondb
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Пул IP адресов для клиентов ip local pool RA-POOL 192.168.1.100-192.168.1.200 mask 255.255.255.0
! Объект «локальная сеть» object network NETWORK_OBJ_192.168.1.0_24 subnet 192.168.1.0 255.255.255.0
! Список доступа для описания шифруемого трафика access-list SPLIT-ACL standard permit 192.168.1.0 255.255.255.0
! Исключение из трансляции локальной IP сети nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.1.0_24 NETWORK_OBJ_192.168.1.0_24 no-proxy-arp route-lookup
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Наборы политик для IPSec crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal 3DES protocol esp encryption 3des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES protocol esp encryption aes protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES192 protocol esp encryption aes-192 protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES256 protocol esp encryption aes-256 protocol esp integrity sha-1 md5 crypto ipsec security-association pmtu-aging infinite
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Описание и подключение крипто карты на интерфейсе outside crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside
! Описание TrustPoint (Центра Сертификации) crypto ca trustpoint ASDM_Launcher_Access_TrustPoint_0 enrollment self fqdn none subject-name CN=192.168.1.1,CN=ASAv keypair ASDM_LAUNCHER crl configure crypto ca trustpool policy auto-import
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Цепочка сертификатов crypto ca certificate chain ASDM_Launcher_Access_TrustPoint_0 certificate 32347859 308202c6 308201ae a0030201 02020432 34785930 0d06092a 864886f7 0d01010b 05003025 310d300b 06035504 03130441 53417631 14301206 03550403 130b3139 322e3136 382e312e 31301e17 0d313730 37323630 36333333 355a170d 32373037 32343036 33333335 5a302531 0d300b06 03550403 13044153 41763114 30120603
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2a53d4dc 84f12f8d 057b69b4 0d78e9f7 cd8c5ad9 f24187e4 403789bb b5fe40b1 15b149c4 c37e6838 61ee5b6a 1432371e 32476661 00dab5da 7f6f32e9 eff75085 263ba714 16046cb6 a8e9bc35 e0e98151 ed54d808 d9b25edf 6f784a05 7dce99bb 6c993dc8 de51f20d b2a9872e 3a4ae141 e0cfe602 dc95e84d 453e90b5 d59f3af0 aaede960 1a0d23c0 a74259bf ef14522a a51d7517 f55b0271 2ee20ecc da722a18 70527ce5 35bcac2f 7c7c08b6 274244e4 4de52d8b ab79c240 3973abfb d2f966ae f60b07b3 fe4e5f64 b9bd quit
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Наборы политик для IKEv2 crypto ikev2 policy 1 encryption aes-256 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 10 encryption aes-192 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 20 encryption aes integrity sha group 5 2 prf sha lifetime seconds 86400
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Наборы политик для IKEv2 crypto ikev2 policy 30 encryption 3des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 40 encryption des integrity sha group 5 2 prf sha lifetime seconds 86400
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Включение IKEv2 на интерфейсе outside и ассоциация с TrustPoint crypto ikev2 enable outside client-services port 443 crypto ikev2 remote-access trustpoint ASDM_Launcher_Access_TrustPoint_0
! Ассоциация с TrustPoint для протокола SSL на всех интерфейсах ssl trust-point ASDM_Launcher_Access_TrustPoint_0 outside ssl trust-point ASDM_Launcher_Access_TrustPoint_0 inside ssl trust-point ASDM_Launcher_Access_TrustPoint_0 inside vpnlb-ip
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Подключение AnyConnect клиента и профиля для него webvpn enable outside anyconnect image disk0:/anyconnect-win-4.3.00748-k9.pkg 1 anyconnect profiles AnyConnect_VPN_client_profile disk0:/AnyConnect_VPN_client_profile.xml anyconnect enable tunnel-group-list enable cache disable error-recovery disable
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Описание групповой политики и прикрепление профиля для AnyConnect group-policy GroupPolicy_AnyConnect_VPN internal group-policy GroupPolicy_AnyConnect_VPN attributes wins-server none dns-server value 192.168.1.1 vpn-tunnel-protocol ikev2 ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value SPLIT-ACL default-domain value learncisco.ru webvpn anyconnect profiles value AnyConnect_VPN_client_profile type user
dynamic-access-policy-record DfltAccessPolicy
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Аккаунт для удаленного пользователя username ra-user password Remote123
! Описание и включение профиля (tunnel-group), привязка пула IP адресов и групповой политики tunnel-group AnyConnect_VPN type remote-access tunnel-group AnyConnect_VPN general-attributes address-pool RA-POOL default-group-policy GroupPolicy_AnyConnect_VPN
tunnel-group AnyConnect_VPN webvpn-attributes group-alias AnyConnect_VPN enable
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
В следующем видео:
«Онлайн лаборатория проекта LearnCisco.Ru»
Подписывайтесь на канал YouTube: http://www.youtube.com/MrLearnCisco
Сайт проекта: https://LearnCisco.Ru
Поддержка: E-mail: [email protected]
Web: https://LearnCisco.Ru/support
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017