功能介紹：

?????? 此功能用于用戶在外網進行域登錄。大家想想，只有用戶的終端設備處在企業內網時，用戶才能登錄域。那公司員工在外出差的情況下怎么登錄域（員工肯定是沒有本地用戶的，只有域用戶）？那我們就要用到Ａnyconnect SBL 的功能，讓用戶登錄域之前通過×××來接入企業內網。

應用場景拓撲：

如上圖所示，在圖一中用戶的電腦在內網中可以通過紅色線的路徑訪問DC服務器進行域登錄，在圖二中當用戶電腦處在外網時，用戶必須在進行域登錄之前先通過×××接入企業內網。

實驗環境：

Server IP:10.1.1.100/24

ASA:Outside:202.100.1.254/24??? Inside 10.1.1.254/24

內網PC:10.1.1.1/24 DNS:10.1.1.100

外網PC:202.100.1.100/24

軟件版本：asa804-k8.bin，anyconnect-win-2.5.6005-k9.pkg，anyconnect-win-3.1.00495-k9.pkg（因為SBL 這個功能只有anyconnect 2.5及上版本才支持）

初始配置：

?????? ASA：??????????????????????????????????????????????????

－－－－－ －－－－－－－－－－IP 初始化－－－－－－－－－－－－

ciscoasa(config)# sho run interface

?????? interface GigabitEthernet0/0

?????? nameif Inside

?????? security-level 100

?????? ip address 10.1.1.254 255.255.255.0

?????? no shutdown

???? ? interface GigabitEthernet0/1

?????? nameif Outside

?????? security-level 0

?????? ip address 202.100.1.254 255.255.255.0

?????? no shutdown?
－－－－－－－－－－基本SSL *** Anyconnect配置－－－－－-－－－??????

ciscoasa# sho run web***

?????? web***

?????? enable Outside

?????? svc p_w_picpath disk0:/anyconnect-win-2.5.6005-k9.pkg 1

?????? svc enable

ciscoasa(config)# sho run ip local pool

??? ip local pool svc1 100.1.1.1-100.1.1.100

ciscoasa(config)# sho run group-policy

??? group-policy DfltGrpPolicy attributes

??? dns-server value 10.1.1.100

??? ***-tunnel-protocol l2tp-ipsec svc web***

?? address-pools value svc1

－－－－－－－－－－－－－ASDM? 連接配置－－－－－－

因為SBL 這個功能要用ASDM 配置，如果你硬要用CLI來做我也攔不到你，只要你做的到（通過CLI 來編寫XML文件，然后調用)

ciscoasa(config)# sho run http

??? http server enable 500

??? http 0.0.0.0 0.0.0.0 Outside

ciscoasa(config)# sho run aaa

??? aaa authentication http console LOCAL

ciscoasa(config)# sho run username

??? username svc1 password kRHNXQoFliPpegtM encrypted privilege 15

經上面的一系列配置已經完成了SSL *** anyconnect 的 配置，可以先用外網PC做一下連接測試：

?

（因為我們用的默認group-policy ，認證方式默認是本地數據庫認證）

點擊連接：看到右下角連接成功。

－－－－－－－－－用ASDM進行SBL 功能配置－－－－－－－－－－－－

1、打開ASDM，連接到我們的ASA:

2、 打開configuration → Network (Client) Access →? AnyConnect Clinet Profile,點擊右邊的Add:??

3、 創建XML文件（高手可以在CLI中自己編，嘿嘿）。

?

現我們到CLI 中驗證一下：

①用dir 命令可以看到Flash下面多了一個sbl.xml的文件，這就是我們通過ASDM添加的。

②用show run group-policy,可以看到調用了一個叫sbl的策略文件：

③用more flash:/sbl.xml,在輸出中可以找到這樣一句代碼：

從顯示上來看這個就是關于SBL這個功能的，但是現在是fasle狀態，我們最后在來觀察這個地方的變化。

4、編輯剛才創建的Anyconnect Client Profile ：sbl

鉤上Perferenes里面的第一個選項：

現在我們在用more flash:/sbl.xml，可以看到

變成了

5、在組策略中調用sbl.xml文件和開啟可選客戶端模塊下載：

打開configuration → Network (Client) Access → Group Policies,選中DfltGrpPolicy,點編輯：

點擊Advanced → AnyConnect Client在Optional Client Modules to Download 中選AnyConnect SBL

在Client Profile to Download 中選中我們剛才創建的sbl：

?

應用、保存。至此在ASA上的配置已經完成。在下篇中將做電腦上的配置和測試。

?

轉載于:https://blog.51cto.com/chenglin/1021078

總結

以上是生活随笔為你收集整理的ASA SSL ××× Anyconnect SBL（Start Before Logon）用于在外网登录域（上）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。