IBA 无边界网络

部署指南

智 能 业 务 平 台 I B A

2012年8月系列

远程接入VPN部署指南

前言2012年8月系列

前言

本指南的目标受众Cisco®智能业务平台(IBA)指南主要面向承担以下职务的读者:

•需要用标准程序来实施方案时的系统工程师

•需要撰写思科IBA实施项目工作说明书的项目经理

•需要销售新技术或撰写实施文档的销售合作伙伴

•需要课堂讲授或在职培训材料的培训人员

一般来说,您也可以将思科IBA指南作为增加工程师和项目实施统一性的指导文件,或利用它更好地规划项目成本预算和项目工作范围。

版本系列思科将定期对IBA指南进行更新和修订。在开发新的思科IBA指南系列时,我们将会对其进行整体评测。为确保思科IBA指南中各个设计之间的兼容性,您应当使用同一系列中的设计指南文档。

每一个系列的ReleaseNotes（版本说明）提供了增加和更改内容的总结。

所有思科IBA指南的封面和每页的左下角均标有指南系列的名称。我们以某系列指南发布时的年份和月份来对该系列命名,如下所示:

年月系列

例如,我们把于2011年8月发布的系列指南命名为：“2012年8月系列”

您可以在以下网址查看最新的IBA指南系列:

http://www.cisco.com/go/cn/iba

如何阅读命令许多思科IBA指南详细说明了思科网络设备的配置步骤,这些设备运行着CiscoIOS、CiscoNX-OS或其他需要通过命令行界面(CLI)进行配置的操作系统。下面描述了系统命令的指定规则,您需要按照这些规则来输入命令：

在CLI中输入的命令如下所示:

configure terminal

为某个变量指定一个值的命令如下所示:

ntp server 10.10.48.17

包含您必须定义的变量的命令如下所示:

class-map [highest class name]

以交互示例形式显示的命令(如脚本和包含提示的命令)如下所示:

Router# enable

包含自动换行的长命令以下划线表示。应将其作为一个命令进行输入:

wrr-queue random-detect max-threshold 1 100 100 100 100 100 100 100 100

系统输出或设备配置文件中值得注意的部分以高亮方式显示,如下所示:

interface Vlan64 ip address 10.5.204.5 255.255.255.0

问题和评论如果您需要评论一个指南或者提出问题，请使用IBA反馈表。

如果您希望在出现新评论时获得通知,我们可以发送RSS信息。

目录2012年8月系列

目录

远程接入VPN部署指南 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

简介 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

相关阅读 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

设计目标 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

远程接入VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

业务概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

技术概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

部署详情 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

配置CiscoSecureACS(可选) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

配置独立的RAVPN防火墙 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

配置远端接入VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

附录A:产品列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

附录B:配置举例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

附录C:变更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

关于本指南本部署指南包括一个或多个部署章节，其中包含如下内容：

•业务概述——描述本设计的商业用例，业务决策者可通过本章内容来了解解决方案与企业运营的相关性。

•技术概述——描述该商业用例的技术设计，包含思科产品如何应对业务挑战。技术决策者可利用本章节理解该设计如何实现。

•部署详情——提供解决方案的逐步实施和配置的指导。系统工程师可以在这些步骤的指导下快速和可靠的设计和部署网络。

您可以在以下网址查看最新的IBA指南系列:

http://www.cisco.com/go/cn/iba

本IBA指南的内容

关于IBA无边界网络思科IBA能帮助您设计和快速部署一个全服务企业网络。IBA系统是一种规范式设计，即购即用，而且具备出色的可扩展性和灵活性。

思科IBA在一个综合的解决方案中集成了局域网、广域网、无线、安全、数据中心、应用优化和统一通信技术，并对其进行了严格测试，确保能实现无缝协作。IBA采用的模块化分类简化了多技术系统集成的复杂度，使您能够根据需要解决企业需求，而无需担心技术复杂性。

思科IBA无边界网络是一个稳固的网络基础架构，为拥有250至10,000名用户的企业网络设计。IBA无边界网络架构集成了有线和无线局域网接入、广域网连接、广域网应用加速以及互联网边缘的安全架构。

成功部署路线图为确保您能够按照本指南中的设计成功完成部署，您应当阅读本指南所依据的所有相关指南——即如下路线中本指南之前的所有指南。

4本IBA指南的内容2012年8月系列

互联网边缘设计概览 额外的部署指南 防火墙与IPS部署指南 远程接入VPN部署指南

无边界网络

您在这里预备知识 以本指南为依据的指南您在这里

5简介2012年8月系列

简介

思科IBA智能业务平台无边界网络是一个稳固的网络基础架构，为拥有超过10,000名互联用户的网络带来了出色的灵活性，无需重新设计网络，即可支持新用户或新的网络服务。我们撰写了一份详细全面并可直接使用的部署指南，它以最佳实践设计原则为基础，并提供了灵活性和可扩展性。

思科IBA智能业务平台—《无边界网络远程站点VPN部署指南》支持安全远程接入（RA）的远程用户。本指南覆盖了RAVPN服务的部署，即在主用互联网边缘防火墙，或在单独的限定RAVPN设备上进行部署。

相关阅读思科IBA智能业务平台—《无边界网络互联网边缘设计概述》可让您了解思科IBA智能业务平台的整体设计并详细阐述了产品选型的相关需求

思科IBA智能业务平台—《无边界网络防火墙和IPS部署指南》专注于互联网边缘防火墙和入侵防御系统（IPS）安全服务，以保护您的企业连接到互联网的网关。

思科IBA智能业务平台—《无边界网络远程移动接入部署指南》扩展了移动设备的远程接入解决方案，移动电话和平板电脑，和传统设备。它提供了扩展连接选项，例如思科ScanSafeWebSecurity，永远在线VPN，和其他特性。

设计目标 本架构以收集自客户、合作伙伴及思科现场人员的需求为基础，旨在服务于联网用户数在超过10,000名用户的企业。在设计架构时，我们考虑了收集到的需求和以下设计目标

易于部署、灵活性和可扩展性

拥有超过10,000名用户的企业通常在多个不同地点设有业务运营机构，这使得灵活性和可扩展性成为其网络的关键要求。在此设计中，我们采用了几种方法来创建和维护一个可扩展的网络：

•通过为网络常用部分保持少量标准设计，支持人员能够更高效地实施、支持这些网络并为其设计服务。

•我们采用了模块化设计方法来增强可扩展性。从一系列标准的全局构建模块

开始，我们能够组建一个满足需求的可扩展网络。

•对于多个服务区域来说，许多插件模块看上去是相同的，这样提供了一致性和可扩展性，从而可使用相同的支持方法来维持多个网络区域。这些模块遵循标准的核心层－分布层－接入层网络设计方法，并进行了分层，以确保正确定义插件间的接口。

永续性和安全性

保持高可用性网络的要点之一就是建立适当的冗余性，以防御网络中的故障。我们的架构精心平衡了冗余性和冗余系统复杂性这两个因素。

随着语音和视频会议等对延迟和丢包敏感的流量大量出现，我们还将恢复时间作为了一个重要考虑因素。选择能够缩短从发现故障到恢复正常所需时间的设计，对于确保网络在发生某个较小的组件故障时仍然可用非常关键。

网络安全性也是本架构的一个重要组成部分。在大型网络中有许多入口点，我们要确保它们尽可能安全，同时不会对网络易用性造成较大影响。保护网络不仅能防止网络受到攻击，而且对于实现网络级永续性也至关重要。

易于管理

虽然本指南的重点是网络基础架构的部署，但本设计方案也考虑到了下一个阶段，即管理和运行。部署指南中的配置既允许通过安全外壳（SSH）协议和HTTPS等普通的设备管理连接进行设备管理，也允许经由网络管理系统（NMS）管理设备。本指南中不包括NMS的配置。

支持先进技术

灵活性、可扩展性、永续性和安全性都是可以支持未来先进技术的网络特性。本架构的模块化设计意味着，当企业作好了部署准备时，就能随时添加这些先进技术。此外，因为本架构中的产品和配置从部署之初就能够随时支持协作，所以协作等先进技术的部署得以简化。例如：

•接入交换机为电话部署提供了以太网供电(PoE)，无需本地电源插座

•整个网络预先配置了支持高质量语音的服务质量（QoS）。

•为支持高效的语音和广播视频交付，在网络中配置了组播。

•为利用无线局域网发送语音的设备预配置了无线网络，可通过802 .11Wi-Fi（即支持移动办公的技术）在所有地点提供IP语音服务

互联网边缘已准备就绪，能够提供基于VPN的软电话，以及传统的硬电话或桌面电话。

6简介2012年8月系列

图1-无边界网络概览

接入交换机

WAAS

分布交换机

接入交换机

WAN路由器

WAN路由器

网页安全设备

RA-VPN 防火墙

DMZ服务器

WAAS

Remote Site 无线LAN 控制器

VPN

语音路由器

无线 LAN控制器

接入交换机堆叠

WAN路由器

硬件软件VPN

WAN路由器

无线 LAN控制器

Cisco ACE

WAASCentral Manager

Nexus2000

Nexus 5500

CUCM

Internet路由器

Email 安全设备

DMZ交换机

Guest无线 LAN控制器 核心

交换机

分布交换机

用户接入层

数据中心防火墙

存储

UCS 机架式服务器 UCS 机架式

服务器UCS 刀片式机箱

数据中心

互联网边缘

WAN汇聚

MPLSWANs

远程办公/移动办公

远程站点

地区站点

21

89

V

接入交换机

远程站点

V

V

V

wwWwwW

PSTN

总部

PSTNV

V

WAAS

Internet

7远程接入VPN2012年8月系列

远程接入VPN

业务概述许多企业组织需要为不同地点的用户提供网络连接，使其能够访问企业组织的数据资源。员工、承包商和合作伙伴可能需要在旅途中、在家中或从其它远离企业的地点访问网络。远程连接应能够支持：

•多种终端设备

•无缝访问联网数据资源

•身份认证与策略控制功能与企业正在使用的身份认证资源相集成

加密安全措施可防止将敏感信息泄露给偶然或故意截获企业数据的非授权方。

技术概述CiscoASA系列支持IP安全（IPsec）、webpotal、用于客户端远程接入的全隧道安全套接层(SecureSocketsLayer简称SSL)VPN以及用于站点间VPN的IPsec。此章节介绍了支持远程接入的SSLVPN基本配置。

建议需要完整网络连接的远程用户使用CiscoAnyConnect安全移动客户端。CiscoAnyConnect客户端使用SSL，可支持自动下载和安装。与IPsec相比，SSL访问的灵活性更高，而且支持的接入地点更多，因为极少有公司会将HTTPS访问阻挡在其网络之外。

思科IBA智能业务平台提供了两种不同的远程接入VPN设计：

• 远程接入（RA）VPN与Cisco ASA系列防火墙集成，在集成设计模型中—这种设计可降低资本投资，并减少网络工程员工所需管理的设备数量。

• 部署在独立的CiscoASA上的远程接入VPN，在独立设计模型中—这种设计提供了更高的运营灵活性和可扩展性，同时为现有RAVPN安装提供了一条简单的升级路径。

本文介绍了如何配置通过CiscoAnyConnect建立SSL连接的的远程接入VPN。该配置阵地不同的接入方法分成了多个章节，首先介绍的是所有接入方法通用的配置。为集成设计和独立设计模型的配置提供相同的功能，因此不管用户选择哪种设计，他们都能获得一致的体验。除非特别说明，本文中介绍的配置是

集成设计和独立设计所共有的。

本设计采用的硬件是根据以下性能参数选出的。

表1-硬件性能

CiscoASA家族产品 SSLVPN最大会话数

CiscoASA5512-X 250

CiscoASA5515-X 250

CiscoASA5525-X 750

CiscoASA5545-X 2500

每个远程接入策略都需要不同的VPN组。本设计包含三个VPN组：

• 管理用户—该用户采用RADIUS协议的CiscoSecure访问控制系统(ACS)进行身份认证，并具有本地用户名和密码回退选项。这样可以确保在CiscoSecureACS或MicrosoftActiveDirectory服务器关闭时VPN连接仍然可用。管理用户可以完全访问整个网络。

• 员工—该用户由CiscoSecureACS进行身份认证，并可以访问整个网络。

• 合作伙伴—该用户由CiscoSecureACS进行身份认证，虽然他们使用全隧道VPN策略，但为隧道配置的一个访问列表可限制他们对某些特定主机的访问。

部署详情

CiscoASA的远程接入VPN端接功能可通过命令行界面或图形用户界面思科自适应安全设备管理器（ASDM）来进行配置。思科ASDM提供了一个逐步指导流程，不但能帮助您轻松完成RAVPN的配置，还能降低发生配置错误的可能性。

如需了解有关ASA基本配置的更多详细（包括可用性、路由、互联网和内部连接性以及管理或管理员访问），请参考思科IBA智能业务平台—《无边界网络防火墙和IPS部署指南》。

读者提示

8远程接入VPN2012年8月系列

配置的身份认证部分专门用于检验用户的证书信息（用户名和密码）是否与企业授权用户（被允许访问电子资源）数据库中保存的信息相符。思科智能商业架构被设计使用CiscoSecureACS或微软活动目录来为远程接入VPN用户提供身份认证。CiscoSecureACS授予并加强企业中控制VPN用户接收的访问能力。在使用CiscoSecureACS过程中，对于这些组织不感兴趣的，微软活动目录自己将被使用，并且该过程那个可被跳过。

当CiscoASA防火墙向CiscoSecureACS服务器（它以代理方式将请求发送至ActiveDirectory数据库）查询某个用户的用户名和密码是否有效，CiscoSecureACS还将检索其他ActiveDirectory属性，例如组成员，这些属性可能会由CiscoSecureACS在做出授权决策（如确定组成员关系）时用到。根据组成员关系，CiscoSecureACS将向ASA返回一个组策略名称，以及登录是否成功的信息。CiscoASA利用该组策略名称来为用户分配合适的VPN组策略。

在这一流程中，ActiveDirectory是用户证书和组成员关系的主用目录容器。在开始此流程前，您的ActiveDirectory必须具有三个组被定义：vpn-administrator、vpn-employee和vpn-partner。 这些组将用户映射到其各自的VPN访问策略。

程序1 定义外部组

步骤 1: 转至CiscoSecureACSAdministration（ACS管理）页面。(例如:https://acs .cisco .local)

步骤 2: 在Users and Identity Stores（用户与身份库）> External Identity Stores（外部身份库）> Active Directory（互动目录），单击Directory Groups（目录组）选项卡。

步骤 3: 单击Select（选择）。

步骤 4: 在External User Groups（外部用户组）窗格上，选择三个vpn组，然后单击OK。

步骤 5: 在ActiveDirectory（活动目录）窗格上，单击Save Changes（保存更改）。

程序2 创建设备类型组

步骤 1: 在NetworkResources（网络资源）>NetworkDeviceGroups（网络设备组）>DeviceType（设备类型）中，单击Create（创建）。

步骤 2: 在Name（名称）框中，输入组的名称。（例如：ASA)

配置CiscoSecureACS(可选)

1、定义外部组

2、创建设备类型组

3、创建网络设备

4、创建授权配置文件

5、配置访问服务

6、创建授权规则

流程

9远程接入VPN2012年8月系列

步骤 3: 在Parent（父）框中，选择All Device Types（所有设备类型），之后单击Submit（提交）。

程序3 创建网络设备

对于CiscoASA防火墙，在CiscoSecureACS中创建一个网络设备条目。

步骤 1: 在NetworkResources（网络资源）>NetworkDevicesandAAAClients（网络设备和AAA客户端）中，单击Create（创建）。

步骤 2: 在Name（名称）框中，输入设备主机名称。（例如：IE-ASA5545）。

步骤 3: 在DeviceType（设备类型）框中，选择All Device Types:ASA（所有设备类型:ASA）。

步骤 4: 在IP框中，输入CiscoASA设备内部接口IP地址。（例如：10 .4 .24 .30)

步骤 5: 选择TACACS+。

步骤 6: 输入TACACS+共享密钥。（例如：SecretKey)

步骤 7: 选择RADIUS。

步骤 8: 输入RADIUS共享密钥，然后单击Submit（提交）。（例如SecretKey）

程序4 创建授权配置文件

创建两个不同的授权配置文件，以识别用户是属于ActiveDirectory中的vpn-administrator还是vpn-partner组。

步骤 1: 在PolicyElements（策略元素）>AuthorizationandPermissions（授权与许可）>NetworkAccess（网络访问）>AuthorizationProfiles（授权配置文件）中，单击Create（创建）。

步骤 2: 在Name（名称）框中，输入授权配置文件的名称。（例如：RA-Administrator)

步骤 3: 单击RADIUS Attributes（RADIUS属性）选项卡，在手动输入面板的属性框中，选择Class（类别）。

接下来，您必须配置属性值，以匹配将在CiscoASA设备上配置的组策略。

10远程接入VPN2012年8月系列

步骤 4: 在Value（值）框中输入组策略名称，然后单击Add（添加）。（例如：GroupPolicy_Administrators)

步骤 5: 采用组策略GroupPolicy_Partner值重复此程序，为合作伙伴构建授权配置文件。

程序5 配置访问服务

创建一个策略，以针对组成员关系检查从ActiveDirectory服务器返回的流量。

步骤 1: 在AccessPolicies（访问策略）>AccessServices（访问服务）中，单击Create（创建）。

步骤 2: 在General（常规）选项卡，输入名称Remote Access（远程接入）。

步骤 3: 选择User Selected Service Type（用户已选的服务类型），然后单击Next（下一步）。

11远程接入VPN2012年8月系列

步骤 4: 在AllowedProtocols（允许的协议）选项卡上，选择Allow PAP/ASCII（允许PAP/ASCII），然后单击Finish（完成）。

步骤 5: 在AccessPolicies（访问策略）>AccessServices（访问服务）>ServiceSelectionRules（服务选择规则）中，单击Customize（定制）。

步骤 6: 在Customize Conditions（定制条件）窗格，将Compound Condition（复合条件）从Available（可用）移至Selected（已选），然后单击OK。

步骤 7: 在ServiceSelectionRules（服务选择规则）窗格，单击Create（创建）。

步骤 8: 在对话框中，输入规则名称Remote Access（远程接入）。

步骤 9: 选择Protocol（协议）。

步骤 10: 在右侧的列表中，选择match（匹配），然后在框中输入Radius。

步骤 11: 选择Compound Condition（复合条件），然后在Dictionary（字典）列表中选择NDG。

步骤 12: Attribute（属性）选择Device Type（设备类型）。

步骤 13: Value（值）选择All Device Types:ASA（所有设备类型:ASA）。

步骤 14: 在CurrentConditionSet（当前条件设置）下，单击Add V（添加V）。信息被添加到CurrentConditionSet（当前条件设置）中。

12远程接入VPN2012年8月系列

步骤 15: 在ResultsService（结果服务）列表中，选择Remote Access（远程接入），然后单击OK。

步骤 16: 转至AccessPolicies（访问策略）>AccessServices（访问服务）>RemoteAccess（远程接入）>Identity（身份）。

步骤 17: 在IdentitySource（身份来源）框中选择AD1，然后单击Save Changes（保存更改）。

步骤 18: 在AccessPolicies（访问策略）>AccessServices（访问服务）>RemoteAccess（远程接入）>Authorization（授权）中，单击Customize（定制）。

步骤 19: 在CustomizeConditions（定制条件）窗格，将AD1:ExternalGroups从Available（可用）移至Selected（已选），然后单击OK。

程序6 创建授权规则

步骤 1: 在AccessPolicies（访问策略）>AccessServices（访问服务）>RemoteAccess（远程接入）>Authorization（授权）中，单击Create（创建）。

步骤 2: 输入一个规则Name（名称）。（例如：RA-Administrator)

步骤 3: 在Conditions（条件）下，选择AD1:ExternalGroups。

步骤 4: 在conditiondefinition（条件定义）框中，选择ActiveDirectory（活动目录）组。（例如：cisco .local/Users/vpn-administrator)。

13远程接入VPN2012年8月系列

步骤 5: 在Results（结果）下，选择授权配置文件，然后单击Select（选择）。（例如：RA-Administrator)

步骤 6: 针对合作伙伴规则重复步骤1到步骤5。

步骤 7: 采用Permit Access（许可访问）作为授权配置文件，针对员工规则重复步骤1到步骤5。

步骤 8: 在Authorization（授权）窗格，单击Default（默认）规则。

步骤 9: 选择DenyAccess作为授权配置文件，然后单击OK。

当远程接入服务创建完成后，您便可以更改顺序。

14远程接入VPN2012年8月系列

步骤 10: 在AccessPolicies（访问策略）>AccessServices（访问服务）>ServiceSelectionRules（服务选择规则）中，选择Remote Access（远程接入）策略，然后使用向上箭头按钮将其移动到第一的位置。

如果您正在使用在互联网边缘防火墙上的主用设置，RAVPN服务集成部署模型；该步骤无需使用，您可跳转到“配置远程接入VPN”。如果您使用独立的RAVPN设备，请继续该步骤。

程序1 配置局域网分布层交换机

局域网分布层交换机是通往企业内部网络的路径。唯一的VLAN用于支持互联网边缘设备，而路由协议跨该网络与设备建立对等关系。

配置独立的RAVPN防火墙

1、配置局域网分布层交换机

2、应用CiscoASA初始化配置

3、配置内部路由

4、配置用户身份验证

5、配置时间同步和日志

6、配置设备管理协议

7、在主用CiscoASA上配置高可用性

8、在永续CiscoASA上配置高可用性

9、外置outside交换机

10、配置主用互联网路由

11、配置永续互联网路由

流程

15远程接入VPN2012年8月系列

步骤 1: 配置连接到限定的RAVPN防火墙的接口。

interface GigabitEthernet1/0/23 description VPN-ASA5525a Gig0/0!interface GigabitEthernet2/0/23 description VPN-ASA5525b Gig0/0!interface range GigabitEthernet1/0/23, GigabitEthernet2/0/23switchport access vlan 300 switchport host macro apply EgressQoSlogging event link-status no shutdown

程序2 应用Cisco ASA初始化配置

此程序用于配置从内部网络到设备的连接，以支持管理访问。

步骤 1: 配置设备主机名。

hostname VPN-ASA5525

步骤 2: 配置连接到内部局域网分布层交换机的设备接口，它将作为在VLAN300上的子接口。接口已配置为VLAN中继端口，允许弹性添加额外的连通性。

interface GigabitEthernet0/0no shutdown!interface GigabitEthernet0/0 nameif inside

ip address 10.4.24.24 255.255.255.224 standby 10.4.24.23

步骤 3: 禁用管理专用接口

interface Management0/0 no ip address shutdown

步骤 4: 配置用于管理的用户名和密码

username admin password [password] privilege 15

程序3 配置内部路由

动态路由协议用于在与设备相连的网络和企业内部网络之间轻松配置可达性。因为RAVPNASA设备不是为到达互联网访问的默认路由，必须使用分布列表过滤从EIGRP更新到其他设备的默认路由。

步骤 1: 创建访问控制列表以屏蔽默认路由更新报文。

access-list ALL_BUT_DEFAULT standard deny host 0.0.0.0access-list ALL_BUT_DEFAULT standard permit any

步骤 2: 在设备上启用增强型内部网关路由协议(EIGRP)

router eigrp 100

步骤 3: 配置设备，以广播其静态定义的路由和互联网边缘范围内的相连网络，静态定义的路由包括RAVPN客户端，但不包括默认路由。

no auto-summary network 10.4.0.0 255.254.0.0 redistribute static

该程序假设分布层交换机已经根据如下指导进行了配置，思科IBA智能业务平台—《无边界网络局域网部署指南》。本指南中仅包括支持将防火墙集成到部署中所需的程序。

读者提示

文档中所有密码均为举例，并且不可用于产品配置中。请遵循您公司的策略，如果没有现存的策略，您可创建一个密码，该密码不小于8位字符且包含大写字母，小写字母和数字的组合。

技术提示

16远程接入VPN2012年8月系列

distribute-list ALL_BUT_DEFAULT out

步骤 4: 配置EIGRP，以便仅跨内部接口与邻接设备建立对等关系。

passive-interface default no passive-interface inside

步骤 5: 为精简路由表汇总远程接入主机路由。

interface GigabitEthernet0/0 summary-address eigrp 100 10.4.28.0 255.255.252.0 5

程序4 配置用户身份认证

(可选)

随着网络规模的数量的扩大和设备维护的增加，维护每台设备上的本地用户帐号已成为较大的操作负荷。一个集中的身份认证、授权和审计（AAA）服务器可减少每台设备的操作任务，并提供用户访问审计日志，日志内容涵盖安全合规和根因分析。为访问控制开启AAA时，所有的管理，即访问网络基础设施设备（SSH和HTTPS）均交由AAA控制。

TACACS+是用于验证基础架构设备上对AAA服务器管理登录主要的协议。此外，系统还针对每个网络基础设施设备定义了一个本地AAA用户数据库，用于在中央TACACS+服务器不可用时，提供备用身份认证源。

步骤 1: 配置TACACS+服务器。

aaa-server AAA-SERVER protocol tacacs+aaa-server AAA-SERVER (inside) host 10.4.48.15 SecretKey

步骤 2: 配置设备管理身份认证，先使用TACACS+服务器，如果TACACS+服务器不可用再使用本地用户数据库。

aaa authentication enable console AAA-SERVER LOCALaaa authentication ssh console AAA-SERVER LOCALaaa authentication http console AAA-SERVER LOCALaaa authentication serial console AAA-SERVER LOCAL

步骤 3: 配置设备，使用AAA来进行管理用户授权。

aaa authorization exec authentication-server

程序5 配置时间同步和日志

作为网络安全设备的重要功能，日志和监控专门支持故障排除和合规审计。

网络时间协议(NTP)用于跨设备网络同步时间。NTP网络通常从权威时间源，如与时间服务器相连的无线电时钟或原子钟那里获取时间信息。然后NTP在企业网络中分发此信息。

网络设备应设定为与网络中的本地NTP服务器保持同步。本地NTP服务器通常会参考来自外部来源的更准确的时钟信息。

在设备上可以记录一系列详细信息。信息级日志能够实现信息细节和日志消息数量之间的理想平衡。级别较低的日志产生的消息较少，但所生成的细节不够，无法用于有效审核网络活动。级别较高的日志产生的消息数量较多，但其价值不够高，无法体现信息数量多的优势。

步骤 1: 配置NTP服务器。

ntp server 10.4.48.17

步骤 2: 配置时区。

clock timezone PST -8

本架构中使用AAA服务器是CiscoSecureACS。CiscoSecureACS的配置在思科IBA智能业务平台—《利用ACS部署无边界网络设备管理指南》中进行讨论。

读者提示

与CiscoIOS设备不同，如果用户的特权级别为15，基于CiscoASA防火墙的用户授权不会自动为他们呈现启用提示。

技术提示

17远程接入VPN2012年8月系列

clock summer-time PDT recurring

步骤 3: 配置哪些日志存储在设备上。

logging enablelogging buffered informational

程序6 配置设备管理协议

CiscoASDM要求设备的HTTPS服务器可用。请确保配置中包含支持管理员通过CiscoASDM访问设备的网络；ASA可以为单个地址或管理子网提供可控的CiscoASDM访问。（本案例为，10 .4 .48 .0/24）

HTTPS和安全外壳(SSH)协议是HTTP和Telnet协议的安全替代品。它们使用安全套接字层(SSL)和传输层安全(TLS)提供了设备身份认证和数据加密功能。

使用SSH和HTTPS协议旨在更安全地管理设备。这两种协议均进行了加密以确保机密性，而不安全协议Telnet和HTTP则被关闭。

启用简单网络管理协议(SNMP)后，能够通过网络管理系统（NMS）对网络基础设施设备进行管理。SNMPv2c针对只读团体字符串进行了配置。

步骤 1: 允许内部管理员通过HTTPS和SSH远程管理设备。

domain-name cisco.local http server enable http 10.4.48.0 255.255.255.0 inside ssh 10.4.48.0 255.255.255.0 inside ssh version 2

步骤 2: 配置设备，支持从NMS进行SNMP轮询。

snmp-server host inside 10.4.48.35 community ciscosnmp-server community cisco

程序7 在主用Cisco ASA上配置高可用性

本程序为主用RAVPNCiscoASA描述了如何配置主用/备用故障切换机制。主用/备用设备对中两台设备的故障切换密钥值必须匹配。该密钥用于两个目的：一是用于两台设备彼此验证，二是保护两台设备之间的状态同步化信息，这些信息非常重要，在发生故障切换时能够保证CiscoASA设备对保持现有连接的持续运行。

步骤 1: 在主用设备上，启用故障切换。

failover

步骤 2: 将设备配置为高可用性设备对的主用设备。

failover lan unit primary

步骤 3: 配置故障切换接口。

failover lan interface failover GigabitEthernet0/2failover key FailoverKeyfailover replication httpfailover link failover GigabitEthernet0/2

步骤 4: 调整故障切换到轮询时间。从而最大限度缩短故障切换期间的停机时间。

failover polltime unit msec 200 holdtime msec 800 failover polltime interface msec 500 holdtime 5

步骤 5: 配置故障切换接口IP地址。

failover interface ip failover 10.4.24.97 255.255.255.248 standby 10.4.24.98

步骤 6: 启用故障切换接口。

interface GigabitEthernet0/2 no shutdown

步骤 7: 配置内部接口的备用IP地址。

interface GigabitEthernet0/0 ip address 10.4.24.24 255.255.255.224 standby 10.4.24.23monitor-interface inside

程序8 在永续Cisco ASA上配置高可用性

步骤 1: 在备用CiscoASA上，启用故障切换。

failover

步骤 2: 将设备配置为高可用性设备对的备用设备。

failover lan unit secondary

18远程接入VPN2012年8月系列

步骤 3: 配置故障切换接口。

failover lan interface failover GigabitEthernet0/2failover key FailoverKeyfailover replication httpfailover link failover GigabitEthernet0/2

步骤 4: 调整故障切换到轮询时间。从而最大限度缩短故障切换期间的停机时间。

failover polltime unit msec 200 holdtime msec 800 failover polltime interface msec 500 holdtime 5

步骤 5: 配置故障切换接口IP地址。

failover interface ip failover 10.4.24.97 255.255.255.248 standby 10.4.24.98

步骤 6: 启用故障切换接口。

interface GigabitEthernet0/2 no shutdown

步骤 7: 为验证CiscoASA设备间的备用同步，在主用设备的命令行界面，发出show failover state命令。

IE-ASA5540# show failover state

State Last Failure Reason Date/TimeThis host - Primary Active NoneOther host - Secondary Standby Ready None

====Configuration State=== Sync Done====Communication State=== Mac set

程序9 配置outside交换机

在本程序中，我们配置了RAVPNCiscoASA防火墙的出方向交换机连接。对于该部署，我们假设它是一个双ISP设计，并同样假设位于出方向的交换机已经配置了基本的安装，且仅改变要求允许RAVPN设备连接其中。如果该案例不是您所部署的场景请遵循如下步骤，思科IBA智能业务平台—《无边界网络防火墙和IPS配置文件指南》中，从“配置防火墙互联网边缘”开始进行。

步骤 1: 配置与设备相连的接口。

interface GigabitEthernet1/0/20 description VPN-ASA5525a Gig0/3!interface GigabitEthernet2/0/20 description VPN-ASA5525b Gig0/3!interface range GigabitEthernet1/0/20, GigabitEthernet2/0/20 switchport trunk allowed vlan 16,17 switchport mode trunk spanning-tree portfast trunk macro apply EgressQoS logging event link-status logging event trunk-status no shutdown

程序10 配置主用互联网路由

在本程序中，我们配置了RAVPNCiscoASA防火墙的出方向交换机连接。对于该部署，我们假设它是一个双ISP设计，如果该案例不是您所部署的场景请遵循如下步骤，思科IBA智能业务平台—《无边界网络防火墙和IPS配置文件指南》中，从“配置防火墙互联网边缘”开始进行

步骤 1: 从内部网络上的客户端，转至防火墙的内部IP地址，然后启动CiscoASA安全设备管理器。（例如：https://ie-asa5525 .cisco .local/）

19远程接入VPN2012年8月系列

步骤 2: 在Configuration（配置）>DeviceSetup（设备设置）>Interfaces（接口）中，单击连接到外部交换机的接口。（例如：GigabitEthernet0/3)

步骤 3: 单击Edit（编辑）。

步骤 4: 在EditInterface（编辑接口）对话框中，选择Enable Interface（启用接口），然后单击OK。

步骤 5: 在Interface（接口）窗格，单击Add（添加）> Interface（接口）。

步骤 6: 在AddInterface（添加接口）对话框中，在HardwarePort（硬件端口）列表中选择在步骤4中启用的接口。（例如：GigabitEthernet0/3)

步骤 7: 在VLANID框中，输入主用互联网VLAN的VLAN编号。（例如：16)

步骤 8: 在SubinterfaceID（子接口ID）框中，输入主用互联网VLAN的VLAN编号。（例如：16)

步骤 9: 输入一个Interface Name（接口名称）。（例如：outside-16)

步骤 10: 在SecurityLevel（安全级别）框中，输入值0。

步骤 11: 输入接口IP Address（IP地址）。（例如：172 .16 .130 .122)

步骤 12: 输入接口Subnet Mask（子网掩码），然后单击OK。（例如：255 .255 .255 .0)

步骤 13: 在Interface（接口）窗格中，单击Apply（应用）。

步骤 14: 转至Configuration（配置）>DeviceManagement（设备管理）>HighAvailability（高可用性）>Failover（故障切换）。

步骤 15: 在Interfaces（接口）选项卡上，在Standby IP Address（备用IP地址）栏中，针对您刚刚创建的接口输入备用设备的IP地址。（例如：172 .16 .130 .121)。

20远程接入VPN2012年8月系列

步骤 16: 选择Monitored（监控），然后单击Apply（应用）。

接下来，您创建到主用互联网CPE地址的默认路由。

步骤 17: 在Configuration（配置）>DeviceSetup（设备设置）>Routing（路由）>StaticRoutes（静态路由）中，单击Add（添加）。

步骤 18: 在AddStaticRoute（添加静态路由）对话框中，在Interface（接口）列表中，选择在步骤9中创建的接口。（例如：outside-16)

步骤 19: 在Network（网络）框中，输入0.0.0.0/0.0.0.0。

步骤 20: 在GatewayIP（网关IP）框中，输入主用互联网CPE的IP地址，然后单击OK。（例如：172 .16 .130 .126)

步骤 21: 在StaticRoutes（静态路由）窗格中，单击Apply（应用）。

程序11 配置永续互联网路由

现在配置永续互联网路由

步骤 1: 转至Configuration（配置）> Device Setup（设备设置）> Interfaces（接口）。

步骤 2: 在Interface（接口）窗格，单击Add（添加）> Interface（接口）。

步骤 3: 在AddInterface（添加接口）对话框中，在Hardware Port（硬件端口）列表中选择上文步骤4开启的接口。（例如：GigabitEthernet0/3)

步骤 4: 在VLANID框中，输入永续互联网VLAN的VLAN编号。（例如：17)

步骤 5: 在SubinterfaceID（子接口ID）框中，输入永续互联网VLAN的VLAN编号。（例如：17)

步骤 6: 输入一个Interface Name（接口名称）。（例如：outside-17)

步骤 7: 在SecurityLevel（安全级别）框中，输入值0。

21远程接入VPN2012年8月系列

步骤 8: 输入接口IP Address（IP地址）。（例如：172 .17 .130 .122)

步骤 9: 输入接口Subnet Mask（子网掩码），然后单击OK。（例如：255 .255 .255 .0)

步骤 10: 在Interface（接口）窗格中，单击Apply（应用）。

步骤 11: 转至Configuration（配置）>DeviceManagement（设备管理）>HighAvailability（高可用性）>Failover（故障切换）。

步骤 12: 在Interfaces（接口）选项卡上，在StandbyIPAddress（备用IP地址）栏中，针对您刚刚创建的接口输入备用设备的IP地址。（例如：172 .17 .130 .121)

步骤 13: 选择Monitored（监控），然后单击Apply（应用）。

接下来，编辑到主用互联网CPE地址的默认路由。

步骤 14: 转至Configuration（配置）>DeviceSetup（设备设置）>Routing（路由）>StaticRoutes（静态路由）。

步骤 15: 选择去往互联网的默认路由，然后单击Edit（编辑）。

步骤 16: 在EditStaticRoute（编辑静态路由）对话框中，在Options（选项）窗格，选择Tracked（跟踪）。

步骤 17: 在TrackID（跟踪ID）框中，输入1。

步骤 18: 在TrackIPAddress（跟踪IP地址）框中，在ISP云中输入IP地址。（例如：172 .18 .1 .1)

步骤 19: 在SLAID框中，输入16。

22远程接入VPN2012年8月系列

步骤 20: 在TargetInterface（目标接口）列表中，选择主用互联网连接接口，然后单击OK。（例如：outside-16)

多数VPN配置任务被用于CiscoAnyConnectVPN连接安装向导中。根据需求，额外的工作可能需要在向导后完成。

程序1 配置远程访问

步骤 1: 转至Wizards（向导） > VPN Wizards（VPN向导） > AnyConnect VPN Wizard（AnyConnect VPN向导）。

步骤 2: 在AnyConnectVPNConnectionSetupWizard（AnyConnectVPN连接设置向导）对话框中，单击Next（下一步）。

步骤 3: 输入一个Connection Profile Name（连接配置文件名称）。（例如：AnyConnect)

配置远端接入VPN

1、配置远端访问

2、创建AAA服务器组

3、定义VPN地址池

4、配置远端接入路由

5、配置group-URL

6、配置永续互联网连接

7、配置合作伙伴策略

8、配置管理策略

9、CiscoAnyConnect客户端配置文件

流程

23远程接入VPN2012年8月系列

步骤 4: 在VPN Access Interface（VPN访问接口）列表中，选择主用互联网连接，然后单击Next（下一步）。（例如：outside-16)

生成自签名身份证书并安装在ASA上。

步骤 5: 在DeviceCertificate（设备证书）窗格，单击Manage（管理）。

步骤 6: 在ManageIdentityCertificates（管理身份证书）对话框中，单击Add（添加）。

步骤 7: 在AddIdentityCertificate（添加身份证书）对话框中，选择Add a new identity certificate（添加新身份证书）。

步骤 8: 对于KeyPair（密钥对），请选择New（新建）

步骤 9: 在AddKeyPair（添加密钥对）对话框中，选择Enter new key pair name（输入新密钥对名称），然后在框中输入一个名称。（例如：sslpair)

步骤 10: 单击Generate Now（立即生成）。

步骤 11: 在AddIdentityCertificate（添加身份证书）对话框中，在Certificate Subject DN（证书主题DN），输入用于访问外部接口上的设备的完全合格域名。（例如：CN=IE-ASA5545 .cisco .local)

注意，由于本例中的证书为自签名，客户端将生成一条安全警告，直到它们接受此证书为止。

技术提示

输入新密钥对名称，防止证书因为管理员偶然重新生成默认RSA密钥对而失效。

技术提示

24远程接入VPN2012年8月系列

步骤 12: 选择Generate self-signed certificate（生成自签名证书）和Act as Local certificate authority and issue dynamic certificates to TLS-Proxy（作为本地证书颁发机构并向TLS-Proxy发放动态证书），然后单击Add Certificate(添加证书)。

步骤 13: EnrollmentStatus（注册状态）对话框显示注册成功。单击OK。

步骤 14: 在ManageIdentityCertificates（管理身份证书）对话框中，单击OK。

步骤 15: 在VPNProtocols（VPN协议）页面，取消选中IPsec，确认您创建的证书已反映到设备证书区域中，然后单击Next（下一步）。

步骤 16: 在客户端映像页面，单击Add（添加）。

步骤 17: 在添加AnyConnect客户端映象对话框，单击Browse Flash（浏览Flash）。

步骤 18: 在浏览Flash对话框，选择适当的AnyConnect客户端映象，以便支持您的用户团体，然后单击OK。

25远程接入VPN2012年8月系列

步骤 19: 在添加AnyConnect客户端映象对话框中，单击OK。

步骤 20: 针对所有必要的CiscoAnyConnect客户端映像重复步骤17到步骤19。

步骤 21: 在ClientImages（客户端映像）页面，单击Next（下一步）。

向导其余部分，您需要立即创建一个新的AAA服务器组以认证远程站点用户。为了认证用户，服务器组用户将通过NTLM到活动目录服务器，或通过RADIUS到CiscoSecureACS服务器。

程序2 创建AAA服务器组

为了VPN用户身份认证，您需要将CiscoASA指向先前您所配置的CiscoSecureASA或指向企业的活动目录服务器。

如果身份认证过程直接去活动目录认证，请完成本程序的Option1。如果身份认证过程使用CiscoSecureACS，请完成该过程的Option2。

Option 1. 为AAA使用活动目录

步骤 1: 在AuthenticationMethods（身份认证方法）页面，在靠近AAA Server Group处，单击New（新建）。

步骤 2: 在NewAuthenticationServerGroup（新身份认证服务器组）对话框中，输入如下参数，并单击OK：

•ServerGroupName（服务器组名）:AD

•AuthenticationProtocol（身份认证协议）—NT

•ServerIPAddress（服务器IP地址）—10.4.48.10

•Interface（接口）—inside

如果您的CiscoASA还未将AnyConnec客户端映象载入到闪存卡中，您可以在添加AnyConnect客户端映象对话框中使用Upload(上传) 按钮，以便安装新的或上传客户端映象文件到设备的闪存卡中。

技术提示

26远程接入VPN2012年8月系列

•NTDomainControllerName（NT域控制名）—AD-1 步骤 3: 在AuthenticationMethods（身份认证方法）页面，单击Next（下一步）。

Option 2. 为AAA使用Cisco Secure ACS

步骤 1: 在AuthenticationMethods（身份认证方法）页面，在靠近AAA Server Group处，单击New（新建）。

步骤 2: 在NewAuthenticationServerGroup（新身份认证服务器组）对话框中，输入如下参数，并单击OK：

•ServerGroupName（服务器组名）—AAA-RADIUS

•AuthenticationProtocol（身份认证协议）—RADIUS

•ServerIPAddress（服务器IP地址）—10.4.48.15(CiscoSecureACS服务器的IP地址)

•Interface（接口）—inside

•ServerSecretKey（服务器安全密钥）—SecretKey

27远程接入VPN2012年8月系列

•ConfirmServerSecretKey（确认服务器安全密钥）—SecretKey

步骤 3: 在AuthenticationMethods（身份认证方法）页面，单击Next（下一步）。

接下来，定义远程接入VPN地址池，这些地址将分配给连接VPN服务的用户。

程序3 定义VPN地址池

您需要为您的RAVPN地址池决定一个合适的地址空间。在本示例中，使用4类-C地址范围（~1000个可选择地址）作为地址池。

步骤 1: 在ClientAddressAssignment（客户端地址分配）页面的IPv4AddressPool（IPv4地址池）选项卡中，单击New（新建）。

步骤 2: 在AddIPPool（添加IP池）对话框中，输入如下参数，然后单击OK：

•Name（名称）—RA-pool

•StartingIPAddress（开始的IP地址）—10.4.28.1

•EndingIPAddress（结束的IP地址）—10.4.31.254

•SubnetMask（子网掩码）—255.255.252.0

步骤 3: 在ClientAddressAssignment（客户端地址分配）页面，确认该地址池就是您所选择的，并单击Next（下一步）。

28远程接入VPN2012年8月系列

步骤 4: 在NetworkNameResolutionServers（网络名称解析服务器）页面，输入企业的DNSServers（DNS服务器）（例如：10 .4 .48 .10）和企业的DomainName（域名），然后单击Next（下一步）。（例如：cisco .local)

如果您正使用RAVPN与CiscoASA系列防火墙集成，必须为去往远程接入客户端的局域网流量配置NAT豁免。如果不配置NAT豁免，去往客户端的流量将被转换，从而改变流量的源地址，使客户端无法再从与其通信的服务器正常接收流量。

步骤 5: 如果您正在部署独立的VPN（standaloneVPN）设计，请跳至步骤8。

如果您正在部署独立的VPN（standaloneVPN）设计，在向导中，在NATExempt（NAT豁免）页面，选择Exempt VPN traffic from network address translation（VPN流量免除网络地址转换）。

步骤 6: 在InsideInterface（内部接口）列表中，选择inside（内部）。

步骤 7: 在LocalNetwork（本地网络）框中，输入any（任意），单击Next（下一步）。

步骤 8: 在AnyConnectClientDeployment（AnyConnect客户端部署）页面，单击Next（下一步）。

步骤 9: 在Summary（汇总）页面上，单击Finish（完成）。

最后，您必须将CiscoAnyConnect客户端映像上传到备用ASA。

步骤 10: 在备用ASA上，将如下CiscoAnyConnect客户端映像复制本地闪盘。

ftp://10.4.48.27/anyconnect-win-3.0.07059-k9.pkg disk0:ftp://10.4.48.27/anyconnect-macosx-i386-3.0.07059-k9.pkg disk0:ftp://10.4.48.27/anyconnect-linux-3.0.07059-k9.pkg disk0:

程序4 配置远程接入路由

进出互联网的远程接入VPN客户端流量必须接受企业防火墙、IPS和CiscoIronPortWeb安全设备等策略控制功能的检测。为此，所有进出VPN客户端的流量无论目的地是哪里，都必须路由至局域网分布层交换机，以便CiscoASA策略引擎具备可视性来正确地处理该流量。

步骤 1: 在Configuration（配置）>DeviceSetup（设备设置）>Routing（路由）>StaticRoutes（静态路由）中，单击Add（添加）。

29远程接入VPN2012年8月系列

步骤 2: 在AddStaticRoute（添加静态路由）对话框中，配置如下参数，并单击OK。

•Interface（接口）—inside

•Network（网络）—any

•GatewayIP（网关IP）—10.4.24.1

•Options（选项）—Tunneled (Default tunnel gateway for VPN traffic)

步骤 3: 确认配置，并单击Apply（应用）。

CiscoASA将每个连接用户作为单个的主机路由通告给网络的其余部分。通过汇总地址池可以缩减IP路由表的尺寸，从而简化故障排除，加快故障恢复速度。

步骤 4: 在Configuration（配置）>DeviceSetup（设备设置）>Routing（路由）>EIGRP>SummaryAddress（汇总地址）中，单击Add（添加）。

步骤 5: 在AddEIGRPSummaryAddressEntry（添加EIGRP汇总地址条目）对话框中，配置如下参数，并单击OK。

• EIGRP AS（EIGRP自治系统）—100

• Interface（接口）—GigabitEthernet0/0

• IP Address（IP地址）—10.4.28.0(Entertheremote-accesspool’ssummarynetworkaddress .)

• Netmask（子网掩码）—255.255.252.0

• Administrative Distance（管理距离）—5

30远程接入VPN2012年8月系列

步骤 6: 在SummaryAddress（汇总地址）窗格中，单击Apply（应用）。

接下来，允许接口内部流量。这对于允许VPN用户（特别是采用统一通信软件客户端的远程员工）相互间通信至关重要。

步骤 7: 转至Configuration（配置）>DeviceSetup（设备设置）>Interfaces（接口）。

步骤 8: 选择Enable traffic between two or more hosts connected to the same interface（支持连接至同一接口的两个或多个主机之间的流量），然后单击Apply（应用）。

程序5 配置group-URL

CiscoAnyConnect客户端的初始连接通常是通过web浏览器启动的。将客户端安装到用户计算机上之后，可再次通过网络浏览器建立后续的连接，也可直接通过已安装在用户计算机上的CiscoAnyConnect客户端建立连接。用户必须拥有设备的IP地址或DNS名称、用户名和密码以及所属的VPN组的名称。另外，用户也可以利用其group-url直接访问所在的VPN组，然后提供用户名和密码即可。

如果使用双ISP设计，除了通过两个ISP连接提供VPN连接，请注意要为两个ISP的IP地址或主机名提供group-url。

步骤 1: 转至Configuration（配置）>RemoteAccessVPN（远程接入VPN）>Network(Client)Access（网络（客户端）接入）>AnyConnectConnectionProfiles（AnyConnect连接配置文件）。

步骤 2: 在ConnectionProfiles（连接配置文件）窗格，选择在上一程序中创建的配置文件（例如：AnyConnect)，然后单击Edit（编辑）。

步骤 3: 在EditAnyConnectConnectProfile（编辑AnyConnect连接配置文件）对话框中，转至Advanced（高级）>GroupAlias/GroupURL（组别名/组URL）。

步骤 4: 在GroupURLs（组URLs）窗格，单击Add（添加）。

步骤 5: 在URL框中，输入包含防火墙主用互联网连接IP地址和用户组字符串的URL，然后单击OK。（例如：https://172 .16 .130 .134/AnyConnect)

步骤 6: 如果您使用的是具备永续互联网连接的双ISP设计，请采用互联网的永续互联网连接IP地址重复步骤1-步骤5。（例如：https://172 .17 .130 .124/AnyConnect)。

如果您使用的是单ISP设计，请进行下一程序。

程序6 配置永续互联网连接

(可选)

步骤 1: 转至Configuration（配置）>RemoteAccessVPN（远程接入VPN）>Network(Client)Access（网络（客户端）接入）>AnyConnectConnectionProfiles（AnyConnect连接配置文件）。

步骤 2: 在Configuration（配置）窗口，在AccessInterfaces（访问接口）窗格中，选择与永续互联网连接相连的接口。（例如：outside-17)

31远程接入VPN2012年8月系列

步骤 3: 在SSLAccess（SSL访问）下，选择Allow Access（允许访问），然后单击Apply（应用）。

程序7 配置合作伙伴策略

步骤 1: 在Configuration（配置）>RemoteAccessVPN（远程接入VPN）>Network(Client)Access（网络（客户端）接入）>GroupPolicies（组策略）中，选择Add（添加）。

步骤 2: 在AddInternalGroupPolicy（添加内部组策略）对话框中，输入Name（名称）。（例如：GroupPolicy_Partner)

步骤 3: 单击两个向下箭头。MoreOptions（更多选项）窗格展开。

步骤 4: 对于IPv4Filter（IPv4过滤器），取消选中Inherit（继承），然后单击Manage（管理）。

步骤 5: 在ACLManager（ACL管理器）对话框中，单击Add（添加） > Add ACL（添加ACL）。

步骤 6: 在AddACL（添加ACL）对话框中，输入ACL Name（ACL名称），然后单击OK。（例如：RA_PartnerACL）

步骤 7: 单击Add（添加） > Add ACE（添加ACE）。

步骤 8: 在AddACE（添加ACE）对话框中，Action（行动）选择Permit（允许）。

32远程接入VPN2012年8月系列

步骤 9: 在Address（地址）框中，输入允许合作伙伴进行访问所用的IP地址和子网掩码，然后单击OK。（例如：10 .4 .48 .35/32)。

步骤 10: 在ACLManager（ACL管理器）对话框中，单击OK。

步骤 11: 在AddInternalGroupPolicy（添加内部组策略）对话框中，单击OK。

步骤 12: 在GroupPolicies（组策略）窗格中，单击Apply（应用）。

程序8 配置管理策略

步骤 1: 在Configuration（配置）>RemoteAccessVPN（远程接入VPN）>Network(Client)Access（网络（客户端）接入）>GroupPolicies（组策略）中，选择Add（添加）。

步骤 2: 在AddInternalGroupPolicy（添加内部组策略）对话框中，输入Name（名称）。（例如：GroupPolicy_Administrators)

步骤 3: 在导航树中，单击Advanced（高级） > Split Tunneling（分离隧道）。

步骤 4: 对于Policy（策略），取消选中Inherit（继承），然后选择Tunnel Network List Below（以下隧道网络列表）。

步骤 5: 对于NetworkList（网络列表），取消选中Inherit（继承），然后单击Manage（管理）。

步骤 6: 在ACLManager（ACL管理器）对话框中，单击Add（添加） > Add ACL（添加ACL）。

33远程接入VPN2012年8月系列

步骤 7: 在AddACL（添加ACL）对话框中，输入ACL Name（ACL名称），然后单击OK。（例如：RA_SplitTunnelACL）

步骤 8: 单击Add（添加） > Add ACE（添加ACE）。

步骤 9: 在AddACE（添加ACE）对话框中，Action（行动）选择Permit（允许）。

步骤 10: 在Address（地址）框中，输入内部汇总IP地址和子网掩码，然后单击OK。（例如：10 .4 .0 .0/255 .254 .0 .0)

步骤 11: 单击Add（添加） > Add ACE（添加ACE）。

步骤 12: 在AddACE（添加ACE）对话框中，Action（行动）选择Permit（允许）。

步骤 13: 在Address（地址）框中，输入DMZ汇总IP地址和子网掩码，然后单击OK。（例如：192 .168 .16 .0/21)

步骤 14: 在ACLManager（ACL管理器）对话框中，单击OK。

步骤 15: 在AddInternalGroupPolicy（添加内部组策略）对话框中，单击OK。

步骤 16: 在GroupPolicies（组策略）窗格中，单击Apply（应用）。

程序9 Cisco AnyConnect客户端配置文件

CiscoAnyConnect客户端配置文件用于定义CiscoAnyConnect客户端的某些新配置。CiscoAnyConnect2 .5和更高版本使用了本部分的配置，其中包括许多已添加到CiscoAnyConnect客户端的最新特性。

步骤 1: 在Configuration（配置）>RemoteAccessVPN（远程接入VPN）>Network(Client)Access（网络（客户端）接入）>AnyConnectClientProfiles（AnyConnect客户端配置文件）中，单击Add（添加）。

34远程接入VPN2012年8月系列

步骤 2: 在AddAnyConnectClientProfile（添加AnyConnect客户端配置文件）对话框中，在ProfileName（配置文件名称）框中，输入ra_profile，然后单击OK和Apply（应用）。

步骤 3: 在AnyConnectClientProfile（AnyConnect客户端配置文件）窗格，选择您刚刚构建的ra_profile，然后单击Edit（编辑）。

ServerListPanel（服务列表窗格）支持您输入允许CiscoAnyConnect客户端连接的ASA的名称和地址。

步骤 4: 单击Server List（服务器列表） > Add（添加）。

步骤 5: 在ServerListEntry（服务器列表条目）对话框中，在Hostname（主机名）框中输入远程接入防火墙的名称。（例如：IE-ASA5545)

步骤 6: 在FQDNorIPAddress（FQDN或IP地址）框中，输入防火墙的主用互联网连接IP地址。（例如：172 .16 .130 .124)

步骤 7: 在UserGroup（用户组）框中，输入在步骤3中定义的名称。（例如：AnyConnect)

步骤 8: 如果您使用的是独立的VPN设计，在HostAddress（主机地址）框中，输入防火墙的永续互联网连接IP地址，然后单击Add（添加）。（例如：172 .17 .130 .124)

如果您使用的是集成的VPN设计，请进行下一步骤。

步骤 9: 单击OK。

步骤 10: 在AnyConnectClientProfile（AnyConnect客户端配置文件）窗格，单击Change Group Policy（更改组策略）。

步骤 11: 在ChangeGroupPolicyforProfile（更改配置文件组策略）对话框中，在可用组策略列表中选择您刚刚创建的三个组策略，单击右箭头，然后单击OK。

步骤 12: 在AnyConnectClientProfile（AnyConnect客户端配置文件）窗格中，单击Apply（应用）。

35总结2012年8月系列

总结

本部署指南是面向思科客户和合作伙伴的参考设计。它涵盖了无边界网络的互联网边缘组件，旨在与IBA智能业务平台—《无边界网络局域网部署指南》以及《MPLS广域网部署指南》和《二层广域网部署指南》结合使用，您可以在www .cisco .com/go/cn/iba上找到这些指南。

如果您的网络超出了本设计模型的规模，请参见思科验证设计（CVD），查看更大规模的部署模型。您可以在Cisco .com上找到CVD的相关文档。

36附录A:产品列表2012年8月系列

附录A:产品列表

Internet边缘

功能区域 产品描述 产品编号 软件版本

防火墙 CiscoASA5545-XIPSEdition-securityappliance ASA5545-IPS-K9 ASA8 .6(1)1,IPS7 .1(4)E4CiscoASA5525-XIPSEdition-securityappliance ASA5525-IPS-K9

CiscoASA5515-XIPSEdition-securityappliance ASA5515-IPS-K9

CiscoASA5512-XIPSEdition-securityappliance ASA5512-IPS-K9

CiscoASA5512-XSecurityPluslicense ASA5512-SEC-PL

FirewallManagement ASDM 6 .6 .114

RAVPN防火墙 CiscoASA5545-XFirewallEdition-securityappliance ASA5545-K9 8 .6(1)1

CiscoASA5525-XFirewallEdition-securityappliance ASA5525-K9

CiscoASA5515-XFirewallEdition-securityappliance ASA5515-K9

CiscoASA5512-XFirewallEdition-securityappliance ASA5512-K9

CiscoASA5512-XSecurityPluslicense ASA5512-SEC-PL

FirewallManagement ASDM 6 .6 .114

移动许可证 AnyConnectEssentialsVPNLicense-ASA5545-X(2500

Users)

ASA-AC-E-5545 —

AnyConnectEssentialsVPNLicense-ASA5525-X(750

Users)

ASA-AC-E-5525

AnyConnectEssentialsVPNLicense-ASA5515-X(250

Users)

ASA-AC-E-5515

AnyConnectEssentialsVPNLicense-ASA5512-X(250

Users)

ASA-AC-E-5512

37附录A:产品列表2012年8月系列

VPN客户端

功能区域 产品描述 产品编号 软件版本

VPN客户端 CiscoAnyConnectSecureMobilityClient CiscoAnyConnectSecureMobilityClient

3 .0 .07059

访问控制

功能区域 产品描述 产品编号 软件版本

身份认证服务 ACS5 .3VMwareSoftwareandBaseLicense CSACS-5 .3-VM-K9 5 .3

LAN分布层

功能区域 产品描述 产品编号 软件版本

模块化分布层虚拟交换机集群 CiscoCatalyst6500E-Series6-SlotChassis WS-C6506-E 15 .0(1)SY1IPservicesCiscoCatalyst6500VSSSupervisor2Twith2ports10GbEand

PFC4VS-S2T-10G

CiscoCatalyst650016-port10GbEFiberModulew/DFC4 WS-X6816-10G-2T

CiscoCatalyst650024-portGbESFPFiberModulew/DFC4 WS-X6824-SFP

CiscoCatalyst65004-port40GbE/16-port10GbEFiberModulew/DFC4

WS-X6904-40G-2T

CiscoCatalyst65004-port10GbESFP+adapterforWX-X6904-40Gmodule

CVR-CFP-4SFP10G

模块化分布层交换机 CiscoCatalyst4507R+E7-slotChassiswith48Gbpsperslot WS-C4507R+E 3 .3 .0 .SG(15 .1-1SG)EnterpriseServices

CiscoCatalyst4500E-SeriesSupervisorEngine7-E,848Gbps WS-X45-SUP7-E

CiscoCatalyst4500E-Series24-portGbESFPFiberModule WS-X4624-SFP-E

CiscoCatalyst4500E-Series12-port10GbESFP+FiberModule WS-X4712-SFP+E

可堆叠分布层交换机 CiscoCatalyst3750-XSeriesStackable12GbESFPports WS-C3750X-12S-E 15 .0(1)SE2IPServicesCiscoCatalyst3750-XSeriesTwo10GbESFP+andTwoGbESFP

portsnetworkmoduleC3KX-NM-10G

CiscoCatalyst3750-XSeriesFourGbESFPportsnetworkmodule C3KX-NM-1G

38附录B:配置举例2012年8月系列

附录B:配置举例

RA VPN ASA-5525-X

ASA Version 8.6(1)1!hostname VPN-ASA5525domain-name cisco.localenable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.2KYOU encryptednames!interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.4.24.24 255.255.255.224 standby 10.4.24.23 summary-address eigrp 100 10.4.28.0 255.255.252.0 5!interface GigabitEthernet0/1 shutdown no nameif no security-level no ip address!interface GigabitEthernet0/2 description LAN/STATE Failover Interface!interface GigabitEthernet0/3 no nameif no security-level no ip address!interface GigabitEthernet0/3.16 description Prymary Internet connection VLAN 16

vlan 16 nameif outside-16 security-level 0 ip address 172.16.130.122 255.255.255.0 standby 172.16.130.121!interface GigabitEthernet0/3.17 description Resilient Internet connection on VLAN 17 vlan 17 nameif outside-17 security-level 0 ip address 172.17.130.122 255.255.255.0 standby 172.17.130.121!interface GigabitEthernet0/4 shutdown no nameif no security-level no ip address!interface GigabitEthernet0/5 shutdown no nameif no security-level no ip address!interface GigabitEthernet0/6 shutdown no nameif no security-level no ip address!interface GigabitEthernet0/7 shutdown no nameif no security-level no ip address!interface Management0/0

39附录B:配置举例2012年8月系列

shutdown no nameif no security-level no ip address management-only!ftp mode passiveclock timezone PST -8clock summer-time PDT recurringdns domain-lookup insidedns server-group DefaultDNS name-server 10.4.48.10 domain-name cisco.localsame-security-traffic permit intra-interfaceobject network NETWORK_OBJ_10.4.28.0_22 subnet 10.4.28.0 255.255.252.0access-list RA_PartnerACL remark Partners can access this internal host onlyaccess-list RA_PartnerACL standard permit host 10.4.48.35access-list RA_SplitTunnelACL remark Internal networksaccess-list RA_SplitTunnelACL standard permit 10.4.0.0 255.254.0.0access-list RA_SplitTunnelACL remark DMZ networksaccess-list RA_SplitTunnelACL standard permit 192.168.16.0 255.255.248.0access-list ALL_BUT_DEFAULT standard deny host 0.0.0.0access-list ALL_BUT_DEFAULT standard permit anypager lines 24logging enablelogging buffered informationallogging asdm informationalmtu inside 1500mtu outside-16 1500mtu outside-17 1500ip local pool RA-pool 10.4.28.1-10.4.31.255 mask 255.255.252.0failoverfailover lan unit primary

failover lan interface failover GigabitEthernet0/2failover polltime unit msec 200 holdtime msec 800failover polltime interface msec 500 holdtime 5failover key *****failover replication httpfailover link failover GigabitEthernet0/2failover interface ip failover 10.4.24.97 255.255.255.248 standby 10.4.24.98monitor-interface outside-16monitor-interface outside-17icmp unreachable rate-limit 1 burst-size 1asdm image disk0:/asdm-66114.binno asdm history enablearp timeout 14400nat (inside,outside-16) source static any any destination static NETWORK_OBJ_10.4.28.0_22 NETWORK_OBJ_10.4.28.0_22 no-proxy-arp route-lookup!router eigrp 100 no auto-summary distribute-list ALL_BUT_DEFAULT out network 10.4.0.0 255.254.0.0 passive-interface default no passive-interface inside redistribute static!route outside-16 0.0.0.0 0.0.0.0 172.16.130.126 128 track 1route inside 0.0.0.0 0.0.0.0 10.4.24.1 tunneledtimeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolutetimeout tcp-proxy-reassembly 0:01:00timeout floating-conn 0:00:00

40附录B:配置举例2012年8月系列

dynamic-access-policy-record DfltAccessPolicyaaa-server AAA-SERVER protocol tacacs+aaa-server AAA-SERVER (inside) host 10.4.48.15 key *****aaa-server AAA-RADIUS protocol radiusaaa-server AAA-RADIUS (inside) host 10.4.48.15 timeout 5 key *****user-identity default-domain LOCALaaa authentication enable console AAA-SERVER LOCALaaa authentication ssh console AAA-SERVER LOCALaaa authentication http console AAA-SERVER LOCALaaa authentication serial console AAA-SERVER LOCALaaa authorization exec authentication-serverhttp server enablehttp 10.4.48.0 255.255.255.0 insidesnmp-server host inside 10.4.48.35 community *****no snmp-server locationno snmp-server contactsnmp-server community *****snmp-server enable traps snmp authentication linkup linkdown coldstart warmstartsla monitor 16 type echo protocol ipIcmpEcho 172.18.1.1 interface outside-16sla monitor schedule 16 life forever start-time nowcrypto ca trustpoint ASDM_TrustPoint0 enrollment self subject-name CN=VPN-ASA5525.cisco.local keypair sslpair proxy-ldc-issuer crl configurecrypto ca certificate chain ASDM_TrustPoint0crypto ikev2 remote-access trustpoint ASDM_TrustPoint0!track 1 rtr 16 reachabilitytelnet timeout 5ssh 10.4.48.0 255.255.255.0 inside

ssh timeout 5ssh version 2console timeout 0threat-detection basic-threatthreat-detection statistics access-listno threat-detection statistics tcp-interceptntp server 10.4.48.17ssl trust-point ASDM_TrustPoint0 outside-16ssl trust-point ASDM_TrustPoint0 outside-17webvpn enable outside-16 enable outside-17 anyconnect-essentials anyconnect image disk0:/anyconnect-linux-3.0.07059-k9.pkg 1 anyconnect image disk0:/anyconnect-macosx-i386-3.0.07059-k9.pkg 2 anyconnect image disk0:/anyconnect-win-3.0.07059-k9.pkg 3 anyconnect profiles ra_profile disk0:/ra_profile.xml anyconnect profiles web_security_profile disk0:/web_security_profile.wsp anyconnect profiles web_security_profile.wso disk0:/web_security_profile.wso anyconnect enable tunnel-group-list enablegroup-policy GroupPolicy_AnyConnect internalgroup-policy GroupPolicy_AnyConnect attributes wins-server none dns-server value 10.4.48.10 vpn-tunnel-protocol ssl-client split-tunnel-policy excludespecified split-tunnel-network-list value Scansafe_Tower_Exclude default-domain value cisco.local webvpn anyconnect modules value dart,websecurity anyconnect profiles value ra_profile type user anyconnect profiles value web_security_profile.wso type websecurity

41附录B:配置举例2012年8月系列

always-on-vpn disablegroup-policy GroupPolicy_Administrators internalgroup-policy GroupPolicy_Administrators attributes banner value Your acess is via unrestricted split tunnel. split-tunnel-policy tunnelall split-tunnel-network-list value RA_SplitTunnelACL webvpn anyconnect profiles value ra_profile type usergroup-policy GroupPolicy_Partner internalgroup-policy GroupPolicy_Partner attributes banner value Your Access is restricted to the partner server vpn-filter value RA_PartnerACL webvpn anyconnect profiles value ra_profile type userusername admin password w2Y.6Op4j7clVDk2 encrypted privilege 15tunnel-group AnyConnect type remote-accesstunnel-group AnyConnect general-attributes address-pool RA-pool authentication-server-group AAA-RADIUS default-group-policy GroupPolicy_AnyConnecttunnel-group AnyConnect webvpn-attributes group-alias AnyConnect enable group-url https://172.16.130.122/AnyConnect enable group-url https://172.17.130.122/AnyConnect enable!class-map inspection_default match default-inspection-traffic!!policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp

inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp!service-policy global_policy globalprompt hostname contextno call-home reporting anonymouscall-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly 23 subscribe-to-alert-group configuration periodic monthly 23 subscribe-to-alert-group telemetry periodic daily

42附录C:变更2012年8月系列

附录C:变更

本附录总结了相比先前的思科IBA智能业务平台，本指南所做的变更。

•我们更新了CiscoASA5500自适应安全设备的相关型号，至5525-X或5545-X。

•我们更新了CiscoASA软件版本，从版本8 .4 .2到8 .6 .1 .1。

•我们为用户身份认证添加了使用活动目录或CiscoSecureACS的能力。

本手册中的所有设计、规格、陈述、信息和建议(统称为“设计”)均按“原样”提供,可能包含错误信息。思科及其供应商不提供任何保证,包括但不限于适销性、适合特定用途和非侵权保证,或与交易过程、使用或贸易惯例相 关的保证。在任何情况下,思科及其供应商对任何间接的、特殊的、继发的或偶然性的损害均不承担责任,包括但不限于由于使用或未能使用本手册所造成的利润损失或数据丢失或损害,即使思科或其供应商已被告知存在此类损害 的可能性。这些设计如有更改,恕不另行通知。用户对于这些设计的使用负有全部责任。这些设计不属于思科、供应商或合作伙伴的技术建议或其它专业建议。用户在采用这些设计之前应咨询他们的技术顾问。思科未测试的一些因 素可能导致结果有所不同。

文中使用的任何互联网协议(IP)地址均非真实地址。文中的任何举例、命令显示输出和图示仅供说明之用。在图示中使用任何真实IP 地址均属无意和巧合。

© 2012 思科系统公司。保留所有权利。

点击这里提供反馈到IBA

反馈

美国总部Cisco Systems, Inc.San Jose, CA

亚太总部Cisco Systems (USA) Pte. Ltd.Singapore

欧洲总部Cisco Systems International BV Amsterdam,The Netherlands

思科在全球拥有超过200家办公室。地址，电话号码和传真在思科网站中列出：www .cisco .com/go/offices。

Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R)