BYOD –远程移动设备访问部署指南– 2012 2月版

修订版：2012年2月系列

智能业务平台

BYOD –远程移动设备访问部署指南

智能业务平台大型企业无边界网络

前言2012年上半年

前言

本指南的目标受众

Cisco®智能业务平台(IBA)指南主要面向承担以下职务的人员：

● 需要实施解决方案时的标准规范的系统工程师

● 需要撰写思科IBA实施项目工作说明书的项目经理

● 需要销售新技术或撰写实施文档的销售合作伙伴

● 需要课堂讲授或在职培训材料的培训人员

一般来说，您也可以将思科IBA指南作为工程师之间技术交流、项目实施经验分享的统

一指导文件，或利用它更好地规划项目成本预算和项目工作范围。

版本系列

思科将定期对IBA指南进行更新和修订。在开发新的思科IBA指南系列时，我们将会对

其进行整体评测。为确保思科IBA指南中各个设计之间的兼容性，您应当使用同一系列

中的设计指南文档。

所有思科IBA指南的封面和每页的左下角均标有指南系列的名称。我们以某系列指南发

布时的年份和月份来对该系列命名，如下所示：

年月系列

例如，我们把于2011年8月发布的系列指南命名为“2011年8月系列”。

您可以在以下网址查看最新的IBA指南系列：

客户访问：http://www.cisco.com/go/cn/iba

合作伙伴访问：http://www.cisco.com/go/cn/iba

如何阅读命令

许多思科IBA指南详细说明了思科网络设备的配置步骤，这些设备运行着Cisco IOS、

Cisco NX-OS或其他需要通过命令行界面(CLI)进行配置的操作系统。下面描述了系统命

令的指定规则，您需要按照这些规则来输入命令。

在CLI中输入的命令如下所示：

configure terminal

为某个变量指定一个值的命令如下所示：

ntp server 10.10.48.17

包含您必须定义的变量的命令如下所示：

class-map [highest class name]

以交互示例形式显示的命令（如脚本和包含提示的命令）如下所示：

Router# enable

包含自动换行的长命令以下划线表示。应将其作为一个命令进行输入：

wrr-queue random-detect max-threshold 1 100 100 100 100 100

100 100 100

系统输出或设备配置文件中值得注意的部分以高亮方式显示，如下所示：

interface Vlan64

ip address 10.5.204.5 255.255.255.0

问题和评论

如需要了解更多有关思科IBA智能业务平台的信息，请访问

http://www.cisco.com/go/cn/iba

如需要注册快速报价工具（QPT），请访问

http://www.cisco.com/go/qpt

如果您希望在出现新评论时获得通知，我们可以发送RSS信息。

前言2012年上半年

目录

本IBA指南的内容 ..................................................................................................................................................... 1

关于IBA ....................................................................................................................................................................................1

关于本指南 ...........................................................................................................................................................................1

简介 .................................................................................................................................................................................. 2

业务概述 .................................................................................................................................................................................2

技术概述 .................................................................................................................................................................................3

本手册中的所有设计、规格、陈述、信息和建议（统称为“设计”）均按“原样”提供，可能包含错误信息。思科及其供应商不提供任何保证，包括但不限于适销性、适合特定用途和非侵权保证，或与交易过程、使用或贸易惯例相

关的保证。在任何情况下，思科及其供应商对任何间接的、特殊的、继发的或偶然性的损害均不承担责任，包括但不限于由于使用或未能使用本手册所造成的利润损失或数据丢失或损害，即使思科或其供应商已被告知存在此类损害

的可能性。这些设计如有更改，恕不另行通知。用户对于这些设计的使用负有全部责任。这些设计不属于思科、供应商或合作伙伴的技术建议或其它专业建议。用户在采用这些设计之前应咨询他们的技术顾问。思科未测试的一些因

素可能导致结果有所不同。

文中使用的任何互联网协议（IP）地址均非真实地址。文中的任何举例、命令显示输出和图示仅供说明之用。在图示中使用任何真实IP 地址均属无意和巧合。

© 2012 思科系统公司。保留所有权利。

目录2012年上半年

部署详解 ........................................................................................................................................................................ 5

配置笔记本电脑访问 ....................................................................................................................................................5

配置移动设备访问：ActiveSync.................................................................................................................... 17

配置移动设备访问：AnyConnect客户端 ............................................................................................... 21

附录A：产品列表 .................................................................................................................................................. 25

附录B：配置文件 .................................................................................................................................................. 27

What’s In This SBA Guide

About SBACisco SBA helps you design and quickly deploy a full-service business network. A Cisco SBA deployment is prescriptive, out-of-the-box, scalable, and flexible.

Cisco SBA incorporates LAN, WAN, wireless, security, data center, application optimization, and unified communication technologies—tested together as a complete system. This component-level approach simplifies system integration of multiple technologies, allowing you to select solutions that solve your organization’s problems—without worrying about the technical complexity.

For more information, see the How to Get Started with Cisco SBA document:

http://www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/Smart_Business_Architecture/SBA_Getting_Started.pdf

About This GuideThis additional deployment guide includes the following sections:

• BusinessOverview—The challenge that your organization faces. Business decision makers can use this section to understand the relevance of the solution to their organizations’ operations.

• TechnologyOverview—How Cisco solves the challenge. Technical decision makers can use this section to understand how the solution works.

• DeploymentDetails—Step-by-step instructions for implementing the solution. Systems engineers can use this section to get the solution up and running quickly and reliably.

This guide presumes that you have read the prerequisites guides, as shown on the Route to Success below.

1

Route to SuccessTo ensure your success when implementing the designs in this guide, you should read any guides that this guide depends upon—shown to the left of this guide on the route above. Any guides that depend upon this guide are shown to the right of this guide.

For customer access to all SBA guides: http://www.cisco.com/go/sba For partner access: http://www.cisco.com/go/sbachannel

ENT BN

本IBA指南的内容

本IBA指南的内容2012年上半年

关于IBA

思科IBA能帮助您设计和快速部署一个全服务企业网络。IBA系统是一种规范式设计，

即购即用，而且具备出色的可扩展性和灵活性。

思科IBA在一个综合解决方案中集成了局域网、广域网、无线、安全、数据中心、应用

优化和统一通信技术，并对其进行了严格测试，确保能够实现无缝协作。IBA采用的组

件式方法简化了在采用多种技术时通常需要进行的系统集成工作，使您可以随意选择能

够满足企业需求的解决方案，而不必担心技术复杂性方面的问题。

了解更多信息，请参阅《思科IBA使用入门》文档：

http://www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/

Smart_Business_Architecture/SBA_Getting_Started.pdf

关于本指南

此附加部署指南包含以下章节：

● 业务概述——您的企业所面临的挑战。业务决策者可通过本章内容来了解介绍的解决

方案与其企业运营的相关性。

● 技术概述——思科如何应对上述挑战。技术决策者可以利用此章节的内容了解解决方

案的工作原理。

● 部署详情——解决方案的具体实施步骤介绍。系统工程师可以在这些步骤的指导下快

速可靠地配置和启用解决方案。

本指南假定您已经阅读了本指南所依据的指南，如成功部署路线图中所示。











1



ENT BN











1



ENT BN

成功部署路线图

为确保您能够按照本指南中的设计成功完成部署，您应当阅

读本指南所依据的所有相关指南——即上面路线图中本指南左

侧的所有指南。所有以本指南为依据的指南都在右侧。

如需要了解更多有关思科IBA智能业务平台的信息，请访问：

http://www.cisco.com/go/cn/iba如需要注册快速报价工具（QPT），请访问：


设计概述互联网边缘部署指南











1



ENT BN

本指南所依据的指南您在这里

本IBA指南的内容2012年上半年

BYOD –远程移动设备

访问部署指南

http://www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/ Smart_Business_Architecture/SBA_Getting_Started.pdf

http://www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/ Smart_Business_Architecture/SBA_Getting_Started.pdf



2

本指南以《IBA无边界网络安全远程移动访问部署指南》为基础撰写。本指南

旨在向您介绍如何使用思科智能业务平台来解决BYOD业务问题。思科之前开

发了多款解决方案，来解决与各种BYOD业务问题类似的问题。思科IBA业务智

能平台使用Cisco AnyConnect远程接入解决方案，来解决为远程移动设备提

供安全接入的BYOD问题。

当今市场上有一大趋势，即我们通常所说的自带设备办公（BYOD）。BYOD是能够通

过多种途径予以解决的一系列业务问题。这包括从访客无线访问到设备身份验证和识

别。其目的就是不受所用设备的限制，提供通用的工作环境。这可以通过虚拟化桌面或

通过允许用户自行注册设备以在网络上使用来实现。

当前，企业正在经历前所未有的网络变革。过去，IT通常仅向公司管理的PC（例如笔

记本电脑和台式机）提供网络资源。如今，员工要求通过公司管理的设备和未管理的设

备进行网络访问，包括诸如智能手机和平板电脑等移动设备。移动设备的迅速普及能够

支持应用显著提高员工的移动性和生产力，但同时它也给IT部门带来了巨大的挑战，因

为IT部门需要在日益增加的设备、操作系统和连接配置文件间有效地执行安全策略。

移动设备使用的这一演进，以及移动设备在工作区的引入，导致IT对于合格网络“终端

设备”及其对于“工作”的意义的看法发生了观念性的转变。专门用于“工作”的设备

与专门用于“个人用途”的设备之间的界限已经悄然改变。

简介

简介2012年上半年

企业不仅需要了解谁在访问其有线和无线网络，而且还要知道访问的时间和地点。此

外，随着诸如智能手机和平板电脑等非传统设备的广泛采用，以及人们自带设备访问网

络，企业需要知道有多少这样的设备正在联网。了解了这一信息，企业才能制定策略来

防止非传统设备联网、仅限经批准的设备联网，或者使这些非传统设备更轻松地访问网

络资源。这给致力于为最终用户提供一致网络访问体验的IT部门提出了一个挑战，既要

支持自由使用任何设备，同时还要执行严格的安全策略以保护公司知识产权。使情况更

加复杂的是，要根据特定用户访问情况（有线、无线、访客、本地、分支机构和远程用

户）提供一致的访问和执行适当的安全策略。

为了在提高生产力与防范安全风险之间达到平衡，IT需要实施一款解决方案，以支持无

缝添加用户和设备、简单的持续操作、以及能够随时将最终用户应用扩展至任何用户或

任何设备。

其他解决BYOD业务问题的IBA智能业务平台无边界网络指南包括：

· BYOD—公司内部访问部署指南

· BYOD—识别和身份验证部署指南

· BYOD—访客无线访问部署指南

如欲获取当前的思科IBA指南，请访问：http://www.cisco.com/go/cn/iba。

业务概述

现代网络最显著的进步之一就在于其所支持的移动性程度。用户可以在园区中随时随地

使用无线网络接入，就像在办公室中使用有线网络接入一样，获得相同水平的连接性。

用户可以完全离开其主要网络，在提供相同连接性的家庭办公环境中工作，获得与在办

公室中相同的用户体验。另外，用户还可以选择提供互联网接入的任意地点，从而获得

真正的移动性和连接性。目前，智能手机和平板电脑使移动互联网接入变得非常普遍，

包括在高速公路上行驶或乘坐火车时连接网络。这份指南介绍了与真正意义上的移动用

备注


3简介2012年上半年

户有关的商业应用案例，这些用户使用笔记本电脑、智能手机或平板电脑设备，通过公

司外部的基础设施连接网络。本文不包括与园区无线接入或家庭远程办公解决方案有关

的使用案例。

当用户移动至传统网络边界以外的地点时，他们对工作相关数据的访问要求并未改变，

例如访问电子邮件和日历等信息。为提高生产率，网络必须要能够支持用户使用企业所

允许的任意设备，随时随地访问完成工作任务所需的任何数据。与此同时，网络必须确

保所有访问安全、恰当并遵守企业准则。

移动远程用户连接网络使用的设备大体可以分为两类：笔记本电脑和新型移动设备，例

如智能手机和平板电脑。笔记本电脑应用于网络连接已有多年，现在又有多种新型移

动设备加入其中。这种融合趋势不断为网络设计和管理带来挑战。

如今的企业网络必须满足多种要求，而有时候这些要求本身会相互矛盾。网络必须安全

可靠、能够防止非授权访问，同时还要具有足够的开放性，以便用户能够在任意地方开

展工作。随着用户移动性的提高，他们对网络也提出了更多要求。过去，员工也许需要

在办公室或家中使用笔记本电脑连接网络。现在，员工需要在出差时使用智能手机连

接，在客户办公地点或合作伙伴办公室时使用笔记本电脑连接，或在当地咖啡店中同时

使用这两种设备连接。虽然提供这种接入功能是网络的主要要求，但易用性和安全性等

其他要求也不能忽视。

由于这些移动用户位于传统网络边界（或物理边界）以外，因而与位于网络保护范围

内的设备相比，他们的设备更容易受到恶意活动的侵害。因此，保护终端设备以及所

访问与存储的数据的安全至关重要。移动用户的设备必须能够防御恶意软件和病毒等的

攻击，理想的状态是即便此类设备未连接至总部网络或无法连接时，仍能够得到有效保

护。因为许多移动设备比笔记本电脑更小巧，并且使用的频次更高，所以它们也更容易

丢失或失窃。在目前的安全环境中，这些设备可能会传输与笔记本电脑中相同的信息，

因此必须保护这些设备中的数据，并防止未授权用户对其进行检索。

作为许多企业流程和准则的标准组成部分，企业一方面要能够支持用户使用企业资源，

另一方面还要能控制他们所访问的互联网站点。为处于网络边界以外的移动用户提供这

种控制级别并非一件易事。为提供完整的解决方案，网络对设备实施标准接入准则，无

备注

分布层

接入层

远程站点

论设备位于总部还是从咖啡店中连接。最终用户在传统网络边界内外应享有相似的

体验。无论用户位于网络内部还是外部，他们都应受到相同的保护，防御恶意软件

的攻击。

一个常常被忽视的接入组件是易用性。如果用户必须检查是否需要安全连接，是否已启

用安全连接，以及必须经常在移动设备中输入用户凭证以便启用安全连接，这会迫使他

们寻找其他的解决方案。因此，尽可能采用集成、无缝的解决方案意味着用户不会受上

述情况影响，并且不会因此而影响日常工作或降低工作效率。作为易用性的一部分，在

平台允许的前提下解决方案应尽可能自动化，以防止用户忘记遵守操作流程，或因为感

到受限制而专门尝试绕过操作流程。

随着越来越多的用户移动到网络边界以外，企业互联网连接的网络负载也相应增加。这

样会增加成本。智能流量路由是一种优先级机制，可控制用户的哪些流量必须流经企业

网络的互联网边缘组件，以及哪些流量可以保留在互联网中。降低该流量的安全性并不

是一种可行的方案。目的地为互联网的流量必须返回互联网边缘进行安全检查，这会增

加互联网边缘设计的带宽使用量和负载，同时会增加用户连接的延时。

技术概述

Cisco®智能业务平台大型企业互联网边缘设计，为本文中将探讨的增强特性和补充特

性提供了基本框架。

移动远程用户连接网络使用的设备大体可以分为两类：笔记本电脑和移动设备，例如智

能手机和平板电脑。因为设备的运行和使用方式有所不同，每组用户所获得的功能也不

一样。

大型企业架构互联网边缘设计包括远程接入(RA) VPN，它面向运行Cisco AnyConnect

安全移动解决方案客户端（用于SSL VPN或IP security [IPsec]连接）的笔记本电脑。

Cisco AnyConnect 3.0客户端的一个内置特性是能够与Cisco ScanSafe云Web安全服

务交互。这样Cisco AnyConnect客户端便能够使经过Cisco ScanSafe代理的互联网

Web流量直接流向目的地，而不会强制其流经企业头端。如果没有Cisco ScanSafe，

流量必须沿VPN隧道进行传输，在园区互联网边缘接受检查，然后重新导向至原目

4

的地，这会消耗带宽和潜在地增加用户延时。借助Cisco ScanSafe，可以通过Cisco

ScanSafe云代理建立连接，而不必流经VPN隧道。

图1 - 流经VPN隧道和Cisco ScanSafe云的流量

Cisco AnyConnect 3.0客户端的其他功能包括多种特性：如果隧道中断，允许客户端重

新连接；如果客户端移至可信网络则禁用隧道；或者如果客户端从可信网络移至不可信

网络则启用隧道。上述特性使客户端的使用变得更加无缝和友好，因为用户不必手动启

用VPN隧道。当需要启用隧道时，系统会提示用户输入凭证，反之则会禁用隧道。

通常，移动设备会使用不同的部署模式，其中电子邮件、日历和联系人等基本服务通过

Microsoft ActiveSync提供。Microsoft ActiveSync可支持用户快速访问这些常用服务。

当访问语音、视频、内部托管Web服务器和文件共享等服务或其他网络服务时，则需

要启用VPN隧道。

iPhone和iPad等移动设备以及一些Android设备可以使用AnyConnect 2.5客户端，它允

许建立SSL VPN连接（如果不能确定设备是否支持该功能，请在应用商店中查看）。

使用Cisco AnyConnect将设备连接至企业网络，可以提供对内部网络的全面访问。

本文档将介绍远程接入VPN的其他配置，以支持激活Cisco Scansafe Web Security、

Always On和其他特性所需的Cisco AnyConnect 3.0客户端。另外还将介绍与Cisco

Scansafe云管理工具ScanCenter的交互情况。最后，本文将介绍思科自适应安全设备

（ASA）配置，以支持智能手机和平板电脑等移动设备；以及Cisco AnyConnect客户

端配置，以支持那些需要与Cisco ASA连接的设备。

RA VPN客户端

网络站点

网络安全

RA VPN客户端

ScanSafe云

网络站点

内部网络内部网络

互联网

互联网

VPN隧道VPN隧道

简介2012年上半年

5

-

部署详情

部署详情的第一部分介绍了如何配置各组件，以便为采用笔记本电脑联网的Cisco

AnyConnect 3.0用户启用Cisco ScanSafe云Web安全服务。部署详情的第二部分介

绍了如何采用ActiveSync为移动设备配置访问。第三部分则介绍了如何采用Cisco

AnyConnect客户端为移动设备配置访问。

配置笔记本电脑访问

1. 启用ScanSafe安全配置

2. 在局域网中配置Beacon服务器

3. 配置Web Security的ASA VPN策略

4. 配置ASA AnyConnect组策略

5. 测试当前配置

6. 测试Beacon服务器功能

7. 配置可信网络检测

8. 测试可信网络检测

9. 在客户端中安装证书

10. 启用Always On（始终运行）

11. 测试Always On（始终运行）设置

程序1 启用ScanSafe安全配置

本指南假设您已购买Cisco ScanSafe许可证并创建了Cisco ScanSafe账户，允许用户

登录并管理该账户。

步骤1：在Cisco ScanSafe ScanCenter门户中，使用管理员权限登录后，转至以下位置：

https://scancenter.scansafe.com

步骤2：转至Admin（管理员）> Management（管理）> Groups（组）

根据企业的要求，策略会有所不同。Windows Active Directory（AD）组是在

Cisco ScanSafe中应用策略的默认方法。管理员将在ScanCenter工具中定义

用户所属的一个或多个AD组。然后，可以向其中一个已定义组或默认组应用

策略，默认组由不属于已定义组的用户组成。

将生成公司级代理认证许可证密钥，用于Cisco ASA VPN配置。

技术提示流程

部署详情2012年上半年

6

步骤3：转至Authentication（认证）> Company Key（公司密钥）。

步骤4：点击Create key（创建密钥）。Cisco ScanSafe生成一个密钥，并发送至您选

择的电子邮件地址。

请记下该密钥，因为它无法重新生成，并且只能由一个新密钥代替。当它第一次显示

（生成时）并通过电子邮件发出后，您将不能在ScanCenter中再次查看它。当该密钥

生成后，页面选项更改为Deactivate（停用）或Revoke（撤销）。

步骤5：转至Web Filtering（Web过滤）> Management（管理）> Filters（过滤器）

步骤6：编辑名为“default”（默认）的过滤器，引用Pornography（色情）、Sports

and Recreation（体育和娱乐）以及Gambling（赌博）类别，然后点击Save（保存）。

步骤7：创建名为VPN_Users的新过滤器，引用Sports and Recreation（体育和娱乐）

类别，然后点击Save（保存）。

步骤8：创建名为Admins（管理员）的过滤器，引用Sports（体育）类别，然后点击Save

（保存）。

步骤9：转至Management（管理）> Policy（策略）

步骤10：点击Default（默认），将规则操作更改为Permit（准许），然后点击Save（保存）。

步骤11：创建名为All_Users的规则，规则操作为Block（阻止）。为此规则指派过滤器

default（默认），阻止对色情、赌博或体育网站的所有访问。

步骤12：创建名为VPN_Users的规则，规则操作为WARN（警告）。

步骤13：在Define Group（定义组）下，选择vpn-user域组。

步骤14：在Define Filters（定义过滤器）下，选择VPN_Users，然后点击Create Rule

（创建规则）。

步骤15：创建名为Admins（管理员）的规则，规则操作为Allow（允许）。

步骤16：在Define Group（定义组）下，选择Network Device Admin（网络设备管理

员）域组。

步骤17：在Define Filters（定义过滤器）下，选择Admins（管理员），然后点击

Create Rule（创建规则）。

步骤18：在所有规则中点击Active（激活），然后点击Apply Changes（应用更改）。

因为所有规则按照first-hit（首次击中）规则评估，以下是本示例中所有规则的正确顺序：

1. Admins（管理员）（允许符合此规则的所有用户访问体育类网站）

2. VPN_Users（允许此组用户访问体育类网站，但会发出警告）

3. All_Users（阻止体育、赌博和色情类网站）

4. Default（默认）（准许所有组访问所有其他网站）


7

openssl genrsa -out DOLprv.pem 1024openssl rsa -in DOLprv.pem -out DOLpub.pem -outform PEM -pubout

程序2 在局域网中配置Beacon服务器

在此程序中，您将在网络内部的服务器中安装和配置Beacon服务器软件。该服务器应

可以从网络中的任意地点访问。访问该服务器即表示告知AnyConnect客户端它目前正

位于网络内部，无需运行Web Security模块。您将把Beacon服务器配置为不接受来自

具有特定IP地址的主机的连接请求，并希望Web Security模块在该主机上始终运行（例

如，当主机通过RA VPN从网络外部连接、并获得从RA VPN池中指派的一个地址时）。

步骤1：在可以从企业中的任意地点访问的内部服务器上，访问S c a n S a f e

ScanCenter，转至Support（支持）> Resources（资源）> Secure Mobility（安全移

动性）。

步骤2：选择Beacon Server（Beacon服务器）安装包，然后点击Download（下

载）。

步骤3：使用.zip程序展开下载的安装包。在安装包内，您将找到OpenSSL。

步骤4：在包含openssl.exe程序的文件夹中，在Windows服务器的命令提示框中键入以

下内容：

步骤5：将DOLprv.pem文件复制到包含BeaconServer.msi文件的文件夹中。

步骤6：将DOLpub.pem文件复制到运行思科自适应安全设备管理器（ASDM）的设备中。

步骤7：在安装包的Beacon Server（Beacon服务器）目录中，双击Beacon Server.msi

文件。

步骤8：右击Windows Taskbar（Windows Taskbar）图标，为Beacon Ser ver

（Beacon服务器）设置首选项。

步骤9：在Disallowed IP Addresses（不允许的IP地址）框中，输入用于远程接入VPN

的地址。


8

程序3 配置Web Security的ASA VPN策略

步骤1：打开与RA VPN防火墙连接的ASDM。

步骤2：在Configuration（配置）> Remote Access VPN（远程接入VPN）> Network

(Client) Access（网络（客户端）接入）> AnyConnect Client Profiles（AnyConnect客

户端配置文件）中，选择Add（添加）。

步骤3：在Add AnyConnect Client Profile（添加AnyConnect客户端配置文件）对话

中，输入Profile Name（配置文件名称）web_security_profile，在Profile Usage（配置

文件用途）列表中选择Web Security，然后点击OK。

步骤4：选择刚刚创建的web_security_profile配置文件，然后点击Edit（编辑）。

步骤5：在Scanning Proxy（扫描代理）部分，键入不同代理的IP地址。根据您的连接

位置，您也可以在此处更改Default Scanning Proxy（默认扫描代理）选项，以更好

地匹配您所在的位置。此下拉列表包括多个代理位置，您可以从中选择一个作为默认

设置。

步骤6：在Authentication（认证）下的Proxy Authentication License Key（代理认证许

可证密钥）框中，输入公司级组的密钥。

步骤7：在Service Password（服务密码）框中输入新密码，当服务在终端主机上运行

时该密码将与Web安全服务相关联。

步骤8：在Use Enterprise Domains（使用企业域）框中，输入您希望应用策略的域信息。


9

步骤9：在Web Security（Web安全）菜单中，点击Preferences（首选项），然后执

行以下操作：

1. 如果您的企业允许用户控制Web安全功能的使用，请选择User Controllable（可以由

用户控制）。

2. 选择Automatic Scanning Proxy Selection（自动扫描代理选项）。

3. 选择Beacon Check（Beacon检查）。

4. 对于Public Key File（公共密钥文件），请选择Browse（浏览），然后转至您在以上

程序2“在局域网中配置Beacon服务器”中复制的公共密钥文件(DOLpub.pem)。

5. 在Beacon Address（Beacon地址）字段中，输入安装Beacon软件的服务器的

地址。

步骤10：点击OK，然后将配置应用至Cisco ASA。

程序4 配置ASA AnyConnect组策略

步骤1：在ASDM中，转至Configuration（配置）> Remote Access VPN（远程接入

VPN）> Network Client Access（网络客户端接入）> Group Policies（组策略），选

择GroupPolicy_ AnyConnect策略，点击Edit（编辑）。

步骤2：在Advanced（高级）中，选择Split Tunneling（分离隧道）。

1. 在Policy（策略）旁，取消选中Inherit（继承）复选框，然后选择Exclude Network

List Below（排除以下网络列表）。

2. 在Network List（网络列表）旁，取消选中Inherit（继承）复选框，然后点击Manage

（管理）。

3. 在ACL Manager（ACL管理器）中，点击Add（添加），然后选择Add ACL（添加

ACL）。将Scansafe_ Tower_Exclude作为ACL名称。

4. 选择您刚刚创建的ACL，然后点击Add（添加）> Add ACE（添加ACE）。


10

5. 关于地址，将上述程序3配置Web Security的ASA VPN策略步骤5中的每个Cisco

ScanSafe Scanning Proxy（Cisco ScanSafe扫描代理）地址添加到其自己的访问控

制条目(ACE)中，然后点击OK。这一步可以将Cisco AnyConnect客户端配置为允许

分离隧道流量将每个Cisco ScanSafe代理地址作为目的地。所有其他流量通过VPN

隧道传输至主站点。

步骤3：在Edit Internal Group Policy（编辑内部组策略）窗口中，转至Advanced

（高级）> Split Tunneling（分离隧道），然后在Network List（网络列表）中，选择

Scansafe_Tower_Exclude。

步骤4：转至Advanced（高级）> AnyConnect Client（AnyConnect客户端）。在

Optional Client Modules to Download（供下载的可选客户端模块）下，取消选中

Inherit（继承）复选框，从列表中选择websecurity，然后点击OK。

步骤5：在Always on VPN（始终运行VPN）部分，取消选中Inherit（继承）复选框，然

后选择Use AnyConnect Profile setting（使用AnyConnect配置文件设置）。

步骤6：在Client Profiles to Download（供下载的客户端配置文件）部分，点击Add

（添加），选择web_security_profile配置文件，然后点击OK。

步骤7：点击OK，然后应用更改。


11

程序5 测试当前配置

步骤1：在客户端中打开浏览器，然后转至以下RA VPN ASA外部IP地址：https://ie-

asa5540.cisco.local

步骤2：在Windows AD中，使用属于vpn-user组的已知用户名和密码登录。如果未安

装Cisco AnyConnect 3.0，客户端将下载并安装它。

步骤3：连接后，点击Cisco AnyConnect任务栏图标，打开客户端信息面板。

步骤4：确认VPN和Web Security旁边都有一个绿色复选框。

步骤5：点击Disconnect（断开连接），然后确认Web Security是否仍然启用。


12

程序6 测试Beacon服务器功能

步骤1：移动连接至网络外部的客户端，并在网络内部启用Web Security模块。

客户端在网络内部时，应获得一个DHCP地址，该地址不是在Beacon服务器配置中定

义的地址空间的一部分。现在，客户端可以建立到Beacon服务器的连接。能够成功连

接至Beacon服务器即会告知Cisco AnyConnect客户端它目前正位于网络内部，并且由

于这是一个可信网络因此不应运行Web Security模块。主机与外部网站之间的Web连

接现在将受到企业互联网边缘设备和策略的保护。

程序7 配置可信网络检测

如果笔记本电脑位于网络外部并具有连接，管理员可以通过使用Always On（始终运

行）设置实施安全策略，这时在头端将出现一个VPN连接，并且所有连接都将经过可以

应用安全策略的主站点。如果设备无法连接至VPN，则不允许建立任何连接。

如果策略实施并不是最终使用场景，而易用性是最终目标，那么定义可信网络的

Auto Connect on Start（启动时自动连接）、Auto Reconnect（自动重新连接）和

Automatic VPN Policy（自动VPN策略）特性可满足许多要求。此时无需应用严格的安

全策略，即使与ASA之间的网络接入可用，也无需始终运行VPN隧道。启用这些特性可

以使最终用户更加无缝地访问内部网络，并且减少在远程工作时忘记启用VPN隧道或在

内部网络中工作时试图启用VPN隧道的可能性。

步骤1：转至ASDM > Configuration（配置）> Remote Access VPN（远程接入VPN）

> Network (Client) Access（网络（客户端）接入）> AnyConnect Client Profiles

（AnyConnect客户端配置文件），选择ra_profile，然后点击Edit（编辑）。

步骤2：在Preferences (Part 1)（首选项（第1部分））中，选择Auto Connect on Start

（启动时自动连接）和Auto Reconnect（自动重新连接）复选框。如果策略准许，选

择User Controllable（可以由用户控制）复选框。在Auto Reconnect Behavior（自动

重新连接行为）列表中，确保选中ReconnectAfterResume。

步骤3：在Preferences (Part 2)（首选项（第2部分））中，选择Automatic VPN policy

（自动VPN策略）复选框。

步骤4：在Trusted Network Policy（可信网络策略）列表中，选择Disconnect（断开连

接），并在Untrusted Network Policy（不可信网络策略）列表中选择Connect（连接）。


13

步骤5：在Trusted DNS Servers（可信DNS服务器）框中，输入应可以从内部网络中任

意地点访问的内部DNS服务器的IP地址：10.4.48.10。

为确定设备是否位于可信网络中，在启用VPN隧道前，客户端将检查是否存在可信

DNS域或DNS服务器。如果可以抵达可信DNS域或DNS服务器，则说明客户端位于可

信域中，因此无需VPN隧道。反之，则需要通过VPN隧道来访问内部资源。

步骤6：点击OK，然后点击Apply（应用）。

程序8 测试可信网络检测

测试配置，以确保可信网络检测运行正常，并且VPN客户端尝试在需要启动时或客户端

移至网络外部时启动。

步骤1：在网络外部的笔记本电脑中，将VPN连接至Cisco ASA。

步骤2：将客户端移至内部网络中，并再次建立网络连接。客户端应识别出它位于可

信网络中，并且不需要VPN（Web Security复选框也应禁用，因为客户端位于可信网

络中）。

步骤3：将客户端移回至网络外部。


14

步骤4：在VPN连接提示框中，输入凭证，然后确认VPN和Web Security已启用且复选

框为绿色。

程序9 在客户端中安装证书

在《大型企业互联网边缘基础指南》中，生成自签名证书并应用于Cisco ASA的外部接

口。因为在实验室中使用的是自签名证书，所以所有客户端都将生成错误信息，直到证

书被手动添加至可信证书中。由公共CA签署的证书不需要手动添加。

因为以下配置的某些特性涉及自动证书检查，因此在使用自签名证书时出现错误信息是

不可接受的。可按照以下程序处理错误信息问题。

公共签署的证书没有类似问题，在实际应用中也更加优越和简单。

步骤1：在位于网络外部的客户端中，打开Web浏览器（以下程序详细介绍了用于

Internet Explorer的流程）并访问Cisco ASA的地址：

https://ie-asa5540.cisco.local

第一个页面报告了一个证书错误。

步骤2：点击Continue to this website（继续浏览此网站）。

步骤3：在下一个页面中，在URL栏中，点击Certificate Error（证书错误）。

步骤4：选择View Certificate（查看证书）。

步骤5：在Certificate（证书）页面的底部，选择Install Certificate（安装证书）。当

Certificate Import Wizard（证书导入向导）打开后，点击Next（下一步）。

步骤6：选择Place all Certificates in the following store（将所有证书放入以下库中），

然后点击Browse（浏览）。

步骤7：选择Trusted Root Certification Authorities（可信根证书颁发机构），然后点击

OK。

步骤8：点击Next（下一步），然后点击Finish（完成）。


15

https://ie-asa5540.cisco.local

步骤9：接受安全警告并安装证书。

在实验室环境以外，安装证书时需非常小心；一旦安装后，客户端将对其完全

信任。公共签署的证书不必手动设置为可信。

步骤10：在Certificate（证书）窗口中，点击OK。

步骤11：关闭并重新启动浏览器，然后转至以下位置：

SSL VPN服务页面加载，没有任何证书警告或错误信息。

程序10 启用Always On（始终运行）

如果错误的Always On（始终运行）配置被推送至客户端，Cisco AnyConnect

软件将很可能需要从客户端中卸载，并在配置修正后重新进行安装。

步骤1：在ASDM中，转至Configuration（配置）> Remote Access VPN（远程接入

VPN）> Network (Client) Access（网络（客户端）接入）> AnyConnect Client Profile

（AnyConnect客户端配置文件），选择ra_profile，并点击Edit（编辑）。

步骤2：在Preferences (Part 2)（首选项（第2部分））中，选择Always On（始终运

行）和Allow VPN Disconnect（允许VPN断开连接）复选框。

步骤3：在Connect Failure Policy（连接失败策略）列表中，选择Open（打开）。


技术提示

技术提示


16

程序11 测试Always On（始终运行）设置

步骤1：连接客户端，在Windows任务栏中点击AnyConnect图标，然后点击Advanced

（高级）。

步骤2：在VPN > Statistics（统计）选项卡中，确保Always On（始终运行）：值为

Enabled（启用）。

步骤3：断开客户端连接，检查Cisco Anyconnect屏幕上是否显示有VPN Connection

Required（要求的VPN连接）。转至一个已知的正规网站。访问应当失败，因为在未

启用VPN隧道的情况下不允许访问。


17

配置移动设备访问：ActiveSync

1. 防火墙DMZ配置

2. 在Cisco ASA中配置ActiveSync访问

3. 配置其他安全性

为智能手机和平板电脑等移动设备提供访问的第一步是提供电子邮件、日历和联系人可

用性。这是一个基本要求，对于某些用户来说这意味着拥有足够的访问权限。对于那些

需要或希望使用全隧道接入的用户、或那些使用平板电脑等更强大的设备连接网络的用

户来说，可以通过使用SSL VPN（在某些应用场景中）或内置IPsec客户端来实现完全

访问。许多情况都需要这种访问，例如内部文件共享、针对员工通讯录的内部Web服

务器访问、访问任何其他内部托管的Web应用，或者语音或视频等其他服务。

为此，大多数管理员均在位于DMZ中的Microsoft ISA服务器上部署了Microsoft

ActiveSync。ActiveSync在内部与Microsoft Exchange系统相连。此设置可以为运行

Android、iOS和Windows Mobile等操作系统的多种移动设备提供电子邮件、日历和联

系人访问功能。

本文档假设ISA、Exchange和ActiveSync的设置和配置都已完成并运行正常。此流程讨

论了支持此类部署的Cisco ASA配置和其他安全步骤，以便提高此类部署的总体安

全性。

程序1 防火墙DMZ配置

新DMZ将托管ISA服务器，并允许从外部到ISA服务器的入站连接。它还允许ISA根据需

要连接至内部资源。Cisco ASA和DMZ交换机的配置必须更新。

步骤1：打开ASDM，然后转至Configuration（配置）> Device Setup（设备设置）>

Interface（接口）。

步骤2：点击Add（添加）创建新的DMZ接口，输入必要的数据。


步骤4：转至Configuration（配置）> Device Management（设备管理）> High

Availability（高可用性）> Failover（故障切换）。

步骤5：编辑dmz-isa行，以包括接口的备用IP地址：192.168.22.2。

流程


18

interface GigabitEthernet2/0/24switchport trunk allowed vlan add 1122

interface GigabitEthernet2/0/24switchport trunk allowed vlan add 1122

步骤6：在DMZ交换机上，将合适的VLAN添加到与设备相连的中继端口。

主用设备

备用设备

程序2 在Cisco ASA中配置ActiveSync访问

为支持ActiveSync穿过外部防火墙工作，必须完成两个步骤。第一步是为连接至外部网

络的ISA服务器构建NAT转换。第二步是允许所需连接穿越防火墙。允许连接穿越防火

墙包括在外部主机与ISA服务器之间建立连接，以及在ISA服务器和Exchange服务器之

间建立连接。

这一配置在Cisco ASA防火墙中执行，该防火墙负责控制网络接入并包含ISA服务器所

在的DMZ。

步骤1：打开ASDM，然后转至Configuration（配置）> Firewall（防火墙）> NAT Rules

（NAT规则）。

步骤2：在最右侧面板中，点击Add Network Object（添加网络对象）。

步骤3：在Add Network Object（添加网络对象）对话框中，输入ISA服务器的对象名

称，输入外部ISP中ISA的IP地址，然后点击OK。

步骤4：转至Configuration（配置）> Firewall（防火墙）> NAT Rules（NAT规则）中，

点击Add Network Object NAT（添加网络对象NAT）规则创建NAT对象，将外部地址与

DMZ中ISA服务器的实际地址绑定。

步骤5：输入用于在Cisco ASA配置中指代ISA服务器的对象名称，并输入其实际地址。


19

步骤6：在NAT下，选择Add Automatic Address Translation Rules（添加自动地址转换

规则）复选框，在Type（类型）中选择static（静态），在Translated Addr（转换

的地址）中选择引用ISA服务器公共地址（上面创建）的ISA服务器网络对象，然后点

击OK。

步骤7：为允许访问运行ActiveSync的 ISA服务器，转至Configuration（配置）>

Firewall（防火墙）> Access Rules（访问规则）。点击Add（添加）> Add Access

Rule（添加访问规则），将新的Access Control Entr y（ACE）（访问控制条目

（ACE））规则添加到Access Rules（访问规则）全局列表中。这将允许外部主机建立

到ISA服务器的http和https连接。

1. 针对Interface（接口）—Any

2. 针对Source（源）—Any

3. 针对Destination（目的地）—dmz-isa_srvr

4. 针对Service（服务）—tcp/http和tcp/https


20

步骤8：为允许ISA服务器访问内部交换服务器，需要创建另一个ACE。

1. 针对Interface（接口）—Any

2. 针对Source（源）—dmz-isa_srvr

3. 针对Destination（目的地）—internal-exchange

4. 针对Service（服务）—tcp/http和tcp/https

步骤9：使用上述示例，准许从ISA服务器到数据中心内Active Directory和DNS服务

器的访问（在本例中，AD服务器也是DNS服务器，称为DNS）。AD服务器需要tcp

135、445、1025和49158以及udp 389端口，DNS服务器需要UDP 53端口。

步骤10：将这些规则移至已配置的拒绝DMZ网络访问其他网络的所有规则之上

程序3 配置其他安全性

为了提高部署安全性，ActiveSync中包括了一些管理员可能需要部署的安全选项。这些

安全选项包括密码要求、闲置超时、设备加密、以及在设备中的数据被删除前密码尝试

失败次数上限。安全选项根据设备的不同而有所差异。还应使用企业安全策略，来指导

如何在网络中使用智能手机。

步骤1：在Exchange Management Console（Exchange管理控制台）中，转至

Organization Configuration（企业配置）> Client Access（客户端接入）。

步骤2：点击Exchange ActiveSync Mailbox Policies（Exchange ActiveSync邮箱策略）

选项卡，选择您希望在action（操作）面板中查看的策略，然后点击Properties（属

性）。


21

步骤3：在Password（密码）选项卡中，设置Exchange ActiveSync客户端的密码要

求，如下所示：

1. 选择Require Password（需要密码）复选框。

2. 选择Allow Simple Password（允许简单密码）。此复选框允许使用PIN编码类型的简

单密码（安全级别最低，但易于键入和记忆）。

3. 选择Require Encryption on Device（要求设备加密）复选框。

4. 在Number of Failed Attempts Allowed（允许的失败尝试次数）中输入一个数字。此

设置规定了在设备上的所有信息被删除前所允许的密码尝试失败次数上限。

5. 在Time without user input before password must be reentered（在此时间内没有用

户输入则必须重新输入密码）中，输入以分钟为单位的时间。

配置移动设备访问：AnyConnect客户端

1. 使用SSL VPN配置完全访问

程序1 使用SSL VPN配置完全访问

Cisco AnyConnect客户端可用于某些版本的智能手机或平板电脑（请在应用商店中查

看是否支持您的手机）。如果支持，您的设备可以配置为使用SSL VPN与Cisco ASA连

接，以实现对内部网络及相关资源的完全访问。

为了更好地支持智能手机和平板电脑的移动性，应对所使用的Cisco AnyConnect客户

端配置文件进行一些更改。

步骤1：在ASDM中，转至Configuration（配置）> Remote Access VPN（远程接

入VPN）> Network Client Access（网络客户端接入）> AnyConnect Client Profile

（AnyConnect客户端配置文件）。

步骤2：选择供VPN（该VPN被指派给了移动电话用户将采用的组策略）使用的配置文

件（在本例中ra_profile与GroupPolicy_AnyConnect、GroupPolicy_Administrators和

GroupPolicy_Partner相关联），然后点击Edit（编辑）。

步骤3：在树状图中，选择Server List（服务器列表），突出显示服务器主机名(IE-

ASA5540)，然后点击Edit（编辑）。

步骤4：在Server List Entry（服务器列表条目）页面中，点击Additional mobile-only

settings（其他仅限移动应用的设置）复选框，然后点击Edit（编辑）。

流程


22

步骤5：选择Reconnect when roaming between 3G / WiFi networks（当在3G / WiFi网

络间漫游时重新连接）复选框，然后点击OK。

下一步基于客户端，将在实际的手机或平板电脑设备中完成。

步骤6：在设备上，从应用商店下载AnyConnect客户端。

步骤7：启动AnyConnect应用。

步骤8：点击Add VPN Connection（添加VPN连接），在Description（描述）字段输

入ASA SSL，在Server Address（服务器地址）字段输入ie-asa5540.cisco.local，然后

点击Save（保存）。

步骤9：测试连接：将其选中，并通过将滑块从关闭位置移至打开位置来启用它。组为

AnyConnect。

步骤10：输入有效的用户名和密码进行验证，然后点击Connect（连接）。以下界面显

示了针对iOS和Android操作系统的连接测试示例。

读者提示


23

iOS操作系统连接示例


24

Android操作系统连接示例


25

附录A：产品列表

以下产品和软件版本已经过验证，可用于思科智能业务平台。

功能区域产品产品编号软件版本

互联网边缘5K

防火墙

ASA 5510或

ASA 5520或

ASA 5540

ASA5510-AIP10-SP-K9

ASA5520-AIP20-SP-K9

ASA5540-AIP40-SP-K9

8.4.2

RA VPN防火墙

ASA 5510或

ASA 5520或

ASA 5540

ASA5510-AIP10-SP-K9

ASA5520-AIP20-SP-K9

ASA5540-AIP40-SP-K9

8.4.2

面向ASA的SSL软件许可证 250或500个SSL会话软件许可证L-ASA5500-SSL-250

L-ASA5500-SSL-500*同防火墙

移动许可证 Cisco AnyConnect移动许可证L-ASA-AC-M-5520

L-ASA-AC-M-5540

防火墙管理 ASDM 无 6.4.5

VPN客户端 Cisco AnyConnect安全移动客户端无 3.0.3054

移动设备VPN客户端 Cisco AnyConnect VPN客户端无 2.5.4038

ScanSafe ScanSafe许可证请联系您的Cisco Scansafe销售代表获取产品编号：

[email protected]

互联网边缘10K

防火墙2个ASA 5520或

2个ASA 5540

2个ASA5520-AIP20-SP-K9

2个ASA5540-AIP40-SP-K98.4.2

RA VPN防火墙

ASA 5510或

ASA 5520或

ASA 5540

ASA5510-AIP10-SP-K9

ASA5520-AIP20-SP-K9

ASA5540-AIP40-SP-K9

8.4.2

附录A：产品列表2012年上半年

mailto:[email protected]

26

功能区域产品产品编号软件版本

面向ASA的SSL软件许可证 250或500个SSL会话软件许可证2个L-ASA5520-SSL500-K9或

2个L-ASA5540-SSL1000-K9同防火墙

防火墙管理 ASDM 无 6.4.5

VPN客户端 Cisco AnyConnect安全移动客户端无 3.0.3054

移动设备VPN客户端 Cisco AnyConnect VPN客户端无 2.5.4038

ScanSafe ScanSafe许可证请联系您的Cisco Scansafe销售代表获取产品编号：

[email protected]

附录A：产品列表2012年上半年

mailto:[email protected]

27

ASA Version 8.4(2) ! terminal width 511 hostname IE-ASA5540 domain-name cisco.local enable password ******** encrypted passwd ******** encrypted names ! interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.4.24.30 255.255.255.224 standby 10.4.24.29 summary-address eigrp 100 10.4.28.0 255.255.252.0 5 ! interface GigabitEthernet0/1 description Trunk to DMZ-3750X GigabitEthernet X/0/24 no nameif no security-level no ip address ! interface GigabitEthernet0/1.1116 description Web server DMZ connection on VLAN 1116 vlan 1116 nameif dmz-web security-level 50 ip address 192.168.16.1 255.255.255.0 standby 192.168.16.2

! interface GigabitEthernet0/1.1117 description Email Security Appliance DMZ Connection on VLAN 1117 vlan 1117 nameif dmz-mail security-level 50 ip address 192.168.17.1 255.255.255.0 standby 192.168.17.2 ! interface GigabitEthernet0/1.1118 description DMVPN aggregation router connections on VLAN 1118 vlan 1118 nameif dmz-dmvpn security-level 75 ip address 192.168.18.1 255.255.255.0 standby 192.168.18.2 ! interface GigabitEthernet0/1.1119 vlan 1119 nameif dmz-wlc security-level 50 ip address 192.168.19.1 255.255.255.0 ! interface GigabitEthernet0/1.1122 vlan 1122 nameif dmz-isa security-level 50 ip address 192.168.22.1 255.255.255.0 standby 192.168.22.2 ! interface GigabitEthernet0/1.1123 description Management DMZ connection on VLAN 1123 vlan 1123 nameif dmz-management security-level 50 ip address 192.168.23.1 255.255.255.0 standby 192.168.23.2 ! interface GigabitEthernet0/1.1128 vlan 1128

附录B：配置文件

此配置为ASA防火墙的配置。针对本附加部署指南的新配置已突出显示，以便与基础部

署指南中的配置相区别。

附录B：配置文件2012年上半年

28

nameif dmz-guest security-level 10 ip address 192.168.28.1 255.255.252.0 ! interface GigabitEthernet0/2 description LAN/STATE Failover Interface ! interface GigabitEthernet0/3 description Trunk to OUT-2960S GigabitEthernet X/0/24 no nameif no security-level no ip address ! interface GigabitEthernet0/3.16 description Primary Internet connection on VLAN 16 vlan 16 nameif outside-16 security-level 0 ip address 172.16.130.124 255.255.255.0 standby 172.16.130.123 ! interface GigabitEthernet0/3.17 description Resilient Internet connection on VLAN 17 vlan 17 nameif outside-17 security-level 0 ip address 172.17.130.124 255.255.255.0 standby 172.17.130.123 ! interface Management0/0 shutdown nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! ftp mode passive clock timezone PST -8 clock summer-time PDT recurring

dns server-group DefaultDNS domain-name cisco.local same-security-traffic permit intra-interface object network internal-network subnet 10.4.0.0 255.254.0.0 description The organization’s internal network range object network dmz-networks subnet 192.168.16.0 255.255.248.0 description The organization’s DMZ network range object network internal-network-ISPa subnet 10.4.0.0 255.254.0.0 description PAT traffic from inside out the primary internet connection object network internal-network-ISPb subnet 10.4.0.0 255.254.0.0 description PAT traffic from inside out the resilient internet connection object network outside-webserver-ISPa host 172.16.130.100 description Webserver on ISP A object network dmz-webserver-ISPa host 192.168.16.100 description NAT the webserver in the DMZ to the outside address on ISP A object network dmz-webserver-ISPb host 192.168.16.100 description NAT the webserver in the DMZ to the outside address on ISP B object network outside-webserver-ISPb host 172.17.130.100 description Webserver on ISP B object network NETWORK_OBJ_10.4.28.0_22 subnet 10.4.28.0 255.255.252.0 object network outside-esa-ISPa host 172.16.130.25 description ESA on ISP A object network dmz-esa-ISPa


29

host 192.168.17.25 description NAT the ESA in the DMZ to the outside address on ISP A object network internal-dns host 10.4.48.10 description DNS in the internal data center object network internal-exchange host 10.4.48.25 description Exchange server in the internal data center object network internal-ntp host 10.4.48.17 description NTP server in the internal data center object network outside-dmvpn-ISPa host 172.16.130.1 description DMVPN aggregation router on ISP A object network dmz-dmvpn-1 host 192.168.18.10 description NAT the primary DMVPN aggregation router in the DMZ to ISP A object network dmz-web-net-v6 subnet 2001:db8:a:1::/64 object network dmz-isa-ISPa host 172.16.130.55 description ISA Server outside ISP A address object network dmz-isa_srvr host 192.168.22.25 description Address of ISA server in dmz-isa object network dmz-dmvpn-2 host 192.168.18.11 description NAT the resilient DMVPN aggregation rotuer in the DMZ to ISP B object network outside-dmvpn-ISPb host 172.17.130.1 description Resilient DMVPN aggregation router on ISP B object network dmz-guest-network-ISPa subnet 192.168.28.0 255.255.252.0 object network dmz-wlc-guest-1

host 192.168.19.10 description Guest Anchor Wireless LAN Controller object network internal-flex7500-1 host 10.4.46.66 object network internal-flex7500-2 host 10.4.46.67 object network internal-wlc-1 host 10.4.46.64 object network internal-wlc-2 host 10.4.46.65 object network internal-acs host 10.4.48.15 description Internal ACS server object network internal_ISE-1 host 10.4.48.41 description ISE 1 server object network internal_ISE-2 host 10.4.48.42 description ISE 2 server object network dmz-wlc-1 host 192.168.19.20 description Primary WLC to Support Office Extend APs object network outside-wlc-1 host 172.16.130.20 description WLC to support Office Extend APs on ISP A object network dmz-cvo-1 host 192.168.18.20 description Primary Router to Support CVO object network outside-cvo-1 host 172.16.130.2 description Aggregation Router to Support CVO on ISP A object-group service DM_INLINE_SERVICE_1 service-object tcp destination eq ftp service-object tcp destination eq ftp-data service-object tcp destination eq tacacs service-object udp destination eq ntp service-object udp destination eq syslog


30

object-group service DM_INLINE_TCP_1 tcp port-object eq www port-object eq https object-group service DM_INLINE_SERVICE_2 service-object tcp destination eq domain service-object udp destination eq domain object-group network DM_INLINE_NETWORK_1 network-object 10.0.0.0 255.0.0.0 network-object 172.16.0.0 255.255.0.0 network-object 192.168.0.0 255.255.0.0 object-group service DM_INLINE_SERVICE_3 service-object esp service-object udp destination eq 4500 service-object udp destination eq isakmp object-group icmp-type DM_INLINE_ICMP_1 icmp-object echo icmp-object echo-reply object-group service DM_INLINE_TCP_2 tcp port-object eq www port-object eq https object-group service DM_INLINE_TCP_3 tcp port-object eq www port-object eq https object-group service DM_INLINE_SERVICE_4 service-object tcp destination eq 1025 service-object tcp destination eq 135 service-object udp destination eq 389 service-object udp destination eq domain service-object tcp destination eq 445 service-object tcp destination eq 49158 object-group service DM_INLINE_TCP_4 tcp port-object eq www port-object eq https object-group network internal-wlcs description All internal wireless LAN controllers network-object object internal-flex7500-1 network-object object internal-flex7500-2

network-object object internal-wlc-1 network-object object internal-wlc-2 object-group service DM_INLINE_SERVICE_5 service-object tcp destination eq tacacs service-object udp destination eq 1812 service-object udp destination eq 1813 object-group service DM_INLINE_SERVICE_6 service-object 97 service-object udp destination eq 16666 object-group service DM_INLINE_TCP_5 tcp port-object eq ftp port-object eq ftp-data object-group network DM_INLINE_NETWORK_2 network-object object dmz-networks network-object object internal-network object-group service DM_INLINE_SERVICE_7 service-object tcp destination eq domain service-object udp destination eq bootps service-object udp destination eq domain object-group service DM_INLINE_TCP_6 tcp port-object eq www port-object eq https object-group network ISE_Servers network-object object internal_ISE-1 network-object object internal_ISE-2 object-group service DM_INLINE_TCP_7 tcp port-object eq 8080 port-object eq 8443 object-group service DM_INLINE_SERVICE_8 service-object tcp service-object tcp destination eq tacacs service-object udp destination eq 1812 service-object udp destination eq 1813 object-group service DM_INLINE_UDP_1 udp port-object eq 5246 port-object eq 5247 object-group service DM_INLINE_SERVICE_9


31

service-object esp service-object tcp destination eq https service-object udp destination eq 4500 service-object udp destination eq isakmp service-object tcp destination eq 3389 access-list global_access remark Permit management protocols from the DMZ to the internal network access-list global_access extended permit object-group DM_INLINE_SERVICE_1 192.168.23.0 255.255.255.0 object internal-network access-list global_access remark Allow anyone to access the webserver in the DMZ access-list global_access extended permit tcp any 192.168.16.0 255.255.255.0 object-group DM_INLINE_TCP_1 access-list global_access remark Permit the mail DMZ to sync with the internal NTP server access-list global_access extended permit udp 192.168.17.0 255.255.255.0 object internal-ntp eq ntp access-list global_access remark Permit the mail DMZ to do lookups on the internal DNS access-list global_access extended permit object-group DM_INLINE_SERVICE_2 192.168.17.0 255.255.255.0 object internal-dns access-list global_access remark Permit the mail DMZ to send SMTP to the internal exchange server access-list global_access extended permit tcp 192.168.17.0 255.255.255.0 object internal-exchange eq smtp access-list global_access remark Permit SMTP traffic into the email DMZ access-list global_access extended permit tcp any 192.168.17.0 255.255.255.0 eq smtp access-list global_access remark Allow diagnostic traffic to the DMVPN aggregation routers access-list global_access extended permit icmp any 192.168.18.0 255.255.255.0 object-group DM_INLINE_ICMP_1 access-list global_access remark Allow traffic to the DMVPN aggregation routers access-list global_access extended permit object-group DM_

INLINE_SERVICE_3 any 192.168.18.0 255.255.255.0 access-list global_access remark Opening up access ports to ISA on DMZ access-list global_access extended permit tcp any object dmz-isa_srvr object-group DM_INLINE_TCP_3 access-list global_access extended permit tcp object dmz-isa_srvr object internal-exchange object-group DM_INLINE_TCP_4 access-list global_access extended permit object-group DM_INLINE_SERVICE_4 object dmz-isa_srvr object internal-dns access-list global_access extended permit tcp 192.168.28.0 255.255.252.0 192.168.16.0 255.255.255.0 object-group DM_INLINE_TCP_6 access-list global_access extended permit object-group DM_INLINE_SERVICE_7 192.168.28.0 255.255.252.0 object internal-dns access-list global_access extended permit tcp 192.168.28.0 255.255.252.0 object-group ISE_Servers object-group DM_INLINE_TCP_7 access-list global_access remark Deny traffic for the guest network to internal and dmz resources access-list global_access extended deny ip 192.168.28.0 255.255.252.0 object-group DM_INLINE_NETWORK_2 access-list global_access remark Allow guest traffic to the internet access-list global_access extended permit ip 192.168.28.0 255.255.252.0 any access-list global_access extended permit udp 192.168.19.0 255.255.255.0 object internal-dns eq bootps access-list global_access extended permit object-group DM_INLINE_SERVICE_6 192.168.19.0 255.255.255.0 object-group internal-wlcs access-list global_access remark Allow WLCs to download via FTP from internal servers access-list global_access extended permit tcp 192.168.19.0 255.255.255.0 object internal-network object-group DM_INLINE_TCP_5 access-list global_access remark Allow WLCs to communicate with the internal NTP server


32

access-list global_access extended permit udp 192.168.19.0 255.255.255.0 object internal-ntp eq ntp access-list global_access remark Allow WLC to talk to ISE servers access-list global_access extended permit object-group DM_INLINE_SERVICE_8 192.168.19.0 255.255.255.0 object-group ISE_Servers access-list global_access remark Allow WLCs to communicate with the AAA server access-list global_access extended permit object-group DM_INLINE_SERVICE_5 192.168.19.0 255.255.255.0 object internal-acs access-list global_access remark TEST RULE !!!!!!!! access-list global_access extended permit icmp any any access-list global_access remark Allow traffic to the DMZ DMVPN aggregation routers access-list global_access extended permit object-group DM_INLINE_SERVICE_9 any 192.168.18.0 255.255.255.0 access-list global_access remark Deny traffic from any DMZ network access-list global_access extended deny ip object dmz-networks any access-list global_access remark Deny the use of telnet from the internal network to external networks access-list global_access extended deny tcp object internal-network any eq telnet access-list global_access remark Permit IP traffic from the internal network to external networks access-list global_access extended permit ip object internal-network any log disable access-list global_access extended permit udp any object dmz-wlc-1 object-group DM_INLINE_UDP_1 access-list global_mpc extended permit ip any any access-list RA_PartnerACL remark Partners can access this internal host only access-list RA_PartnerACL standard permit host 10.4.48.35 access-list RA_SplitTunnelACL remark Internal networks access-list RA_SplitTunnelACL standard permit 10.4.0.0

255.254.0.0 access-list RA_SplitTunnelACL remark DMZ networks access-list RA_SplitTunnelACL standard permit 192.168.16.0 255.255.248.0 access-list WCCP_Redirect remark Do not WCCP redirect connections to these addresses access-list WCCP_Redirect extended deny ip any object-group DM_INLINE_NETWORK_1 access-list WCCP_Redirect remark WCCP redirect all other IP addresses access-list WCCP_Redirect extended permit ip any any access-list ScanSafe_Tower_Exclude remark scansafe westcoast access-list ScanSafe_Tower_Exclude standard permit host 72.37.244.75 access-list ScanSafe_Tower_Exclude remark scansafe UK access-list ScanSafe_Tower_Exclude standard permit host 80.254.147.155 access-list ScanSafe_Tower_Exclude remark scansafe Germany access-list ScanSafe_Tower_Exclude standard permit host 80.254.148.130 access-list ScanSafe_Tower_Exclude remark scansafe France access-list ScanSafe_Tower_Exclude standard permit host 80.254.150.66 access-list ScanSafe_Tower_Exclude remark scansafe Denmark access-list ScanSafe_Tower_Exclude standard permit host 80.254.154.66 access-list ScanSafe_Tower_Exclude remark scansafe US east coast access-list ScanSafe_Tower_Exclude standard permit host 80.254.152.99 access-list ScanSafe_Tower_Exclude remark scansafe US midwest access-list ScanSafe_Tower_Exclude standard permit host 69.174.58.27 access-list ScanSafe_Tower_Exclude remark scansafe US south access-list ScanSafe_Tower_Exclude standard permit host 72.37.249.43 access-list ScanSafe_Tower_Exclude remark scansafe Australia access-list ScanSafe_Tower_Exclude standard permit host


33

69.174.87.43 access-list ScanSafe_Tower_Exclude remark scansafe Hong Kong access-list ScanSafe_Tower_Exclude standard permit host 202.167.250.66 access-list ScanSafe_Tower_Exclude remark scansafe India access-list ScanSafe_Tower_Exclude standard permit host 115.111.223.66 access-list ScanSafe_Tower_Exclude remark scansafe Japan access-list ScanSafe_Tower_Exclude standard permit host 122.50.127.42 access-list ScanSafe_Tower_Exclude remark scansafe Singapore access-list ScanSafe_Tower_Exclude standard permit host 202.79.203.66 access-list ScanSafe_Tower_Exclude standard permit host 128.107.241.169 no pager logging enable logging buffered informational logging asdm informational mtu inside 1500 mtu dmz-web 1500 mtu dmz-mail 1500 mtu dmz-dmvpn 1500 mtu dmz-wlc 1500 mtu dmz-isa 1500 mtu dmz-management 1500 mtu dmz-guest 1500 mtu outside-16 1500 mtu outside-17 1500 mtu management 1500 ip local pool RA-pool 10.4.28.1-10.4.31.255 mask 255.255.252.0 ipv6 route outside-16 ::/0 2001:db8:a::7206 ipv6 access-list global_access_ipv6 permit tcp any object dmz-web-net-v6 object-group DM_INLINE_TCP_2 failover failover lan unit primary failover lan interface failover GigabitEthernet0/2

failover polltime unit msec 200 holdtime msec 800 failover polltime interface msec 500 holdtime 5 failover key ***** failover replication http failover link failover GigabitEthernet0/2 failover interface ip failover 10.4.24.33 255.255.255.224 standby 10.4.24.34 monitor-interface dmz-web monitor-interface dmz-mail monitor-interface dmz-dmvpn monitor-interface dmz-isa monitor-interface dmz-management monitor-interface outside-16 monitor-interface outside-17 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 nat (inside,outside-16) source static any any destination static NETWORK_OBJ_10.4.28.0_22 NETWORK_OBJ_10.4.28.0_22 no-proxy-arp route-lookup ! object network internal-network-ISPa nat (any,outside-16) dynamic interface object network internal-network-ISPb nat (any,outside-17) dynamic interface object network dmz-webserver-ISPa nat (any,outside-16) static outside-webserver-ISPa object network dmz-webserver-ISPb nat (any,outside-17) static outside-webserver-ISPb object network dmz-esa-ISPa nat (any,outside-16) static outside-esa-ISPa object network dmz-dmvpn-1 nat (any,outside-16) static outside-dmvpn-ISPa object network dmz-isa_srvr nat (any,any) static dmz-isa-ISPa object network dmz-dmvpn-2 nat (any,outside-17) static outside-dmvpn-ISPb


34

object network dmz-guest-network-ISPa nat (any,outside-16) dynamic interface object network dmz-wlc-1 nat (any,outside-16) static outside-wlc-1 object network dmz-cvo-1 nat (any,outside-16) static outside-cvo-1 access-group global_access global access-group global_access_ipv6 global ! router eigrp 100 no auto-summary network 10.4.24.0 255.255.252.0 network 192.168.16.0 255.255.248.0 passive-interface default no passive-interface inside redistribute static ! route outside-16 0.0.0.0 0.0.0.0 172.16.130.126 128 track 1 route outside-17 0.0.0.0 0.0.0.0 172.17.130.126 254 route outside-16 172.18.1.1 255.255.255.255 172.16.130.126 1 route inside 0.0.0.0 0.0.0.0 10.4.24.1 tunneled timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy aaa-server AAA-SERVER protocol tacacs+ aaa-server AAA-SERVER (inside) host 10.4.48.15 key ***** aaa-server AAA-RADIUS protocol radius aaa-server AAA-RADIUS (inside) host 10.4.48.15

timeout 5 key ***** user-identity default-domain LOCAL aaa authentication enable console AAA-SERVER LOCAL aaa authentication ssh console AAA-SERVER LOCAL aaa authentication http console AAA-SERVER LOCAL aaa authentication serial console AAA-SERVER LOCAL aaa authorization exec authentication-server http server enable http 192.168.1.0 255.255.255.0 management http 10.4.0.0 255.254.0.0 inside snmp-server host inside 10.4.48.35 community ******** version 2c no snmp-server location no snmp-server contact snmp-server community ******** snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart sla monitor 16 type echo protocol ipIcmpEcho 172.18.1.1 interface outside-16 sla monitor schedule 16 life forever start-time now crypto ca trustpoint ASDM_TrustPoint0 enrollment self subject-name CN=IE-ASA5540.cisco.local proxy-ldc-issuer crl configure crypto ca certificate chain ASDM_TrustPoint0 certificate e5035c4e 3082026c 308201d5 a0030201 020204e5 035c4e30 0d06092a 864886f7 0d010105 05003048 311f301d 06035504 03131649 452d4153 41353534 302e6369 73636f2e 6c6f6361 6c312530 2306092a 864886f7 0d010902 16164945 2d415341 35353430 2e636973 636f2e6c 6f63616c 301e170d 31313038 32393231 35313130 5a170d32 31303832 36323135 3131305a 3048311f 301d0603 55040313 1649452d 41534135


35

3534302e 63697363 6f2e6c6f 63616c31 25302306 092a8648 86f70d01 09021616 49452d41 53413535 34302e63 6973636f 2e6c6f63 616c3081 9f300d06 092a8648 86f70d01 01010500 03818d00 30818902 818100a7 fee67ff4 14768acb 30269b24 53e09cce 9f7691f3 17b25250 67c7e892 6362af6a 3c7fb393 83209a44 947bb7cb 2a5b4cdb 8ccd87c4 1890f5b9 8c247e7c f2835887 a2d266fd 262804a8 6c64270f 4f6cf5a6 248208f7 9f60bc45 0ffcb8df 4806df1f 518e4b85 2aa39e44 88455de9 acaee96b e0f69b5b 71aa8d70 8e86a0e4 b8989b02 03010001 a3633061 300f0603 551d1301 01ff0405 30030101 ff300e06 03551d0f 0101ff04 04030201 86301f06 03551d23 04183016 8014fa32 2185c193 c80b6bc1 d1b24051 fd6b7044 e673301d 0603551d 0e041604 14fa3221 85c193c8 0b6bc1d1 b24051fd 6b7044e6 73300d06 092a8648 86f70d01 01050500 03818100 19d5cf64 3416269f 934e5601 4e36df73 14a8f44b 14ea0c96 70fda56d de559466 4d8fafb5 65a4bad8 a65fe039 2553b96b 44c54065 7dac21a6 7950b619 a2361fc5 c63ce35a bccc30b2 4c10cb5c 7f761f31 9b1679ef 0f69f210 a5268f88 0a09bb37 f094859a cc66d77f e80d0df9 22c47631 232993bc 7d0c8851 d84b7d78 076e6d07 quit ! track 1 rtr 16 reachability telnet timeout 5 ssh 10.4.0.0 255.254.0.0 inside ssh timeout 5 ssh version 2 console timeout 0

dhcpd address 192.168.1.2-192.168.1.254 management dhcpd enable management ! ! tls-proxy maximum-session 2000 ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept wccp 90 redirect-list WCCP_Redirect wccp interface inside 90 redirect in ntp server 10.4.48.17 ssl trust-point ASDM_TrustPoint0 outside-16 ssl trust-point ASDM_TrustPoint0 outside-17 webvpn enable outside-16 enable outside-17 anyconnect image disk0:/anyconnect-linux-64-3.0.3054-k9.pkg 1 anyconnect image disk0:/anyconnect-macosx-i386-3.0.3054-k9.pkg 2 anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg 3 anyconnect profiles ra_profile disk0:/ra_profile.xml anyconnect profiles web_security_profile disk0:/web_security_profile.wsp anyconnect profiles web_security_profile.wso disk0:/web_security_profile.wso anyconnect enable tunnel-group-list enable group-policy GroupPolicy_AnyConnect internal group-policy GroupPolicy_AnyConnect attributes wins-server none dns-server value 10.4.48.10 vpn-tunnel-protocol ssl-client split-tunnel-policy excludespecified split-tunnel-network-list value ScanSafe_Tower_Exclude default-domain value cisco.local webvpn


36

anyconnect modules value websecurity anyconnect profiles value ra_profile type user anyconnect profiles value web_security_profile.wso type websecurity always-on-vpn profile-setting group-policy GroupPolicy_Administrators internal group-policy GroupPolicy_Administrators attributes banner value Your access is via an unrestricted split tunnel. split-tunnel-policy tunnelspecified split-tunnel-network-list value RA_SplitTunnelACL webvpn anyconnect profiles value ra_profile type user group-policy GroupPolicy_Partner internal group-policy GroupPolicy_Partner attributes banner value Your access is restircted to the partner server vpn-filter value RA_PartnerACL webvpn anyconnect profiles value ra_profile type user username admin password w2Y.6Op4j7clVDk2 encrypted privilege 15 tunnel-group AnyConnect type remote-access tunnel-group AnyConnect general-attributes address-pool RA-pool authentication-server-group AAA-RADIUS default-group-policy GroupPolicy_AnyConnect tunnel-group AnyConnect webvpn-attributes group-alias AnyConnect enable group-url https://172.16.130.124/AnyConnect enable group-url https://172.17.130.124/AnyConnect enable ! class-map global-class match access-list global_mpc class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters

message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options class global-class ips inline fail-close ! service-policy global_policy global prompt hostname context no call-home reporting anonymous Cryptochecksum:86c713bf3d183a963386aad1eadd18e4 : end


Cisco has more than 200 offices worldwide. Addresses, phone numbers, and fax numbers are listed on the Cisco Website at www.cisco.com/go/offices.

Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)

Americas HeadquartersCisco Systems, Inc.San Jose, CA

Asia Pacific HeadquartersCisco Systems (USA) Pte. Ltd.Singapore

Europe HeadquartersCisco Systems International BVAmsterdam, The Netherlands

B-0000600-1 3/12

智能业务平台

Documents

BYOD –远程移动设备访问部署指南– 2012 2月版