ASA的远程拨号方式（as远程调试）

ASA的远程拨号方式（as远程调试）

主要是针对Anyconnect的SSL和IKEv2，但是我看到貌似考试传统的三种SSL仍然要考，也会写。今天调了一天的证书，似乎没办法让证书有效。。。

顺便，补充一篇关于IOS CA操作的文档，有非常好的例子。ca authenticate CA //这条命令就是认证根此trustpoint对应的CA服务器，并且获取此服务器的public keycyrpto ca enroll CA//认证CA Server之后需要从此服务器上申请对应的证书

首先说下ASA的策略拓扑，这是取自教主的总结。之前8.4一共有3中×××，L2L，EZ，SSL。它们的共同点都是有或是配置，或是内置的tunnel-group和group-policy。其中tunnel-group定义了我们如何终结一个XXX，和这个XXX使用什么认证方式，而认证策略，即authentication policy，和ISE一样，是让ASA配置他的外部拨号用户的数据来源（local, LDAP， ISE？）。而group-policy，顾名思义是组策略，可以狭义的理解为一个用户组使用何种策略（地址池，是否使用split tunnel，host scan等等）。

第一部分：SSL-×××先上一个基本配置

web***enable outsideanyconnect enableanyconnect image disk0：......pkg

ip local pool Anyconnect-Pool 172.16.133.2-172.16.133.100 //定义anyconnect使用的地址池

group-policy Anyconnect-GP internal //定义这是个内部组，组的属性由ASA自己配置group-policy Anyconnect-GP attributes//组的属性，地址池，使用ssl-client，也可以配置例如split-tunnel， ACL等***-tunnel-protocol ssl-clientaddress-pool value Anyconnect-Pool

username SSLuser password cisco123username SSLuser attributes***-group-policy Anyconnect-GP //这里看到用户是和group-policy绑定的service-type remote-access

我其实申请了证书，但似乎没啥用。。。我很肯定win7 client端已经信任了根证书。查了很多文档，可能anyconnect现在对于证书的某些位要求很严格？Anyconnect-GP attributesXXX-tunnel-group protocol ikev2 ssl-client

cyrpto ikev2 policy 10encryption aesintegrity shagroup 2crypto ipsec ikev2 ipsec-proposal Anyconnect-IKEv2-Proposalprotocol esp encryption 3desprotocol esp integraity sha-1crypto dynamic-map Anyconnect-DMap 1000 set ikev2 ipsec-proposal Anyconnect-IKEv2-Proposalcrypto map Anyconnect-IKEv2-Map 1000 ipsec-isakmp dynamic Anyconnect-DMapcrypto map Anyconnect-IKEv2-Map interface outside

crypto ikev2 enable outside client-service port 443crypto ikev2 remote-access trustpoint CA

接下来改用ISE进行认证，如何使用ISE连接AD并且拿取user group不过多说明

在浏览了Metha的视频之后，有些我跳过了，比如show run all tunnel-group和show run all group-policy你可以查到大部分的属性，这在项目中有特别的需求注意就可以了。有一篇，比如使用内网的DHCP来给anyconnect分配地址，应用场景虽然不能说没有，但是少。直接参考文档就行：group policy

主要参考labminutes的录像EX-Anyconnect-GP external server-group ISE password Cisco123当anyconnect输入认证密码之后（例如我这里是AD账户），ASA会以group policy作为用户名，Cisco123作为密码再发起一次认证。所以在ISE里面我们需要修改两个配置

authorization policy的匹配条件，直接匹配防火墙的类型。。。

SSL clientless ×××直接参考文档：hostscan等特性，9.8的Metha的VOD都需要ISE2.2支持，之后再学。

2019 7 10补充 我知道我的证书问题错在哪里了，教主的课白听了。证书作为验证身份的工具，其验证方法就是把身份信息（subject name）做hash，和fqdn等信息传送给远端。远端将fqdn做hash，与传送过来的hash值进行比对，得出这张证书是否可以信任。所以subject name里面的CN，OU一定要填对。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。