要求anyconnect客户端从远端访问Internet, 这个新的需求和之前使用的隧道分割技术不一样,使用隧道分割技术后,只有访问内部网络才会走vpn tunnel,流量才会被加密。但是anyconnect客户端从远端访问Internet就要使用u-turning技术。
第一步:加载VPN image镜像
webvpn enable outside anyconnect image disk0:/anyconnect-win-4.5.03040-webdeploy-k9.pkg 1 anyconnect enable tunnel-group-list enable
第二步:配置VPN地址池
ip local pool AnyConnect 172.16.0.1-172.16.0.254 mask 255.255.255.0
第三部:因为anyconnect客户端需要从远端访问internet,所以需要配置NAT
object network inside subnet 10.0.0.0 255.0.0.0 nat (inside,outside) dynamic interface object network AnyConnect subnet 172.16.0.0 255.255.255.0 nat (outside,outside) dynamic interface
第四步:配置NAT旁路,anyconnect的加密流量不需要nat转换
nat (inside,outside) source static inside inside destination static anyconnect anyconnect !
第五步:开启同一端口的流量转发(同级别安全等级互访)
same-security-traffic permit intra-interface
第六步:配置Group-Policy
group-policy AnyConnect internal group-policy AnyConnect attributes dns-server value 114.114.114.114 ##需要为anyconnect client推送DNS,否则无法解析 vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelall ##所有的流量都需要从tunnel走,不需要隧道分割,此技术叫做U-turning
第七步:配置tunnel-group
tunnel-group AnyConnect type remote-access tunnel-group AnyConnect general-attributes address-pool AnyConnect default-group-policy AnyConnect tunnel-group AnyConnect webvpn-attributes group-alias AnyConnect enable
第八步:配置本地用户名和密码,并调用Group-Policy
usernmae vpnuser password cisco123 username vpnuser attributes service-type remote-access vpn-group-policy AnyConnect
评论列表