Маршрутизаторы : Маршрутизаторы Cisco серии 7200

Пример конфигурации тонкого клиента SSL VPN (WebVPN) IOS с помощью SDM

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (10 февраля 2011) | Английский (12 ноября 2015) | Отзыв


Содержание


Введение

Технология тонкого клиента SSL VPN может использоваться для предоставления защищенного доступа приложениям, использующим статические порты. Примеры: Telnet (23), SSH (22), POP3 (110), IMAP4 (143) и SMTP (25). Тонкий клиент может управляться на уровне пользователей, политик или обоими способами. Доступ может быть настроен на уровне отдельных пользователей или путем создания групповых политик, включающих одного или нескольких пользователей. Технология SSL VPN может быть настроена в трех основных режимах: Бесклиентская сеть SSL VPN (WebVPN), тонкий клиент SSL VPN (переадресация портов) и клиент SSL VPN (SVC / режим полного туннеля).

1. Бесклиентская сеть SSL VPN (WebVPN):

На удаленном клиенте необходим только web-браузер с поддержкой SSL для доступа к web-серверам корпоративной локальной сети, поддерживающим протокол HTTP или HTTPS. Кроме того, файловая система Common Internet File System (CIFS) предоставляет доступ к файлам Windows. {\f3 Хороший пример реализации HTTP-доступа }—{\f3 клиент Outlook Web Access (OWA).}

Дополнительную информацию о бесклиентской сети SSL VPN см. в документе Пример конфигурации бесклиентской сети SSL VPN (WebVPN) на Cisco IOS с SDM.

2. Тонкий клиент SSL VPN (переадресация портов)

На удаленном клиенте необходимо загрузить небольшой Java-апплет, который обеспечивает безопасный доступ для TCP-приложений, использующих статические номера портов. Протокол UDP не поддерживается. Поддерживаемые протоколы: POP3, SMTP, IMAP, SSH и Telnet. Пользователю необходимы локальные административные привилегии, так как производятся изменения в файлах локальной машины. Этот вариант SSL VPN неприменим для приложений, использующих динамическое назначение портов, например для некоторых FTP-приложений.

3. Клиент SSL VPN (SVC / режим полного туннеля):

SSL VPN Client загружает небольшое клиентское приложение на удаленную рабочую станцию и обеспечивает полный защищенный доступ к ресурсам внутренней корпоративной сети. Клиент SVC может загружаться на удаленный узел на постоянной основе или удаляться по завершении защищенного сеанса.

Дополнительные сведения о клиенте SSL VPN см. в разделе Пример конфигурации клиента SSL VPN (SVC) на IOS с SDM.

Этот документ демонстрирует простую конфигурацию для VPN SSL Тонкого клиента на Cisco маршрутизатор IOS�. Режим SSL VPN с тонким клиентом действует на следующих маршрутизаторах Cisco IOS:

  • Маршрутизаторы Cisco серий 870, 1811, 1841, 2801, 2811, 2821 и 2851

  • Маршрутизаторы Cisco 3725, 3745, 3825, 3845, 7200 и 7301

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

Требования для маршрутизатора Cisco IOS

  • Любой из перечисленных маршрутизаторов с загруженным SDM и расширенным образом IOS версии 12.4(6)T или выше

  • Станция управления с загруженным SDM

    Новые маршрутизаторы Cisco поставляются с предустановленной копией SDM. Если на вашем маршрутизаторе ПО SDM не установлено, его можно загрузить в разделе загрузок ПО Cisco Security Device Manager. Для этого необходима учетная запись CCO и контракт на обслуживание. Дополнительные сведения см. в разделе Настройка маршрутизатора с помощью диспетчера устройств защиты.

Требования для клиентского компьютера

  • Рекомендуется наличие у удаленных клиентов прав локального администратора.

  • Удаленные клиенты должны иметь среду исполнения Java (JRE) версии 1.4 или выше.

  • Удаленные клиентские браузеры: Internet Explorer 6.0, Netscape 7.1, Mozilla 1.7, Safari 1.2.2 или Firefox 1.0

  • Cookie-файлы активированы, всплывающие окна разрешены на удаленных клиентах

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Расширенный корпоративный образ ПО (Cisco Advanced Enterprise Software Image) версии 12.4(9)T

  • Маршрутизатор с интегрированными сервисами Cisco 3825

  • Cisco Router and Security Device Manager (SDM), версия 2.3.1

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все описываемые в данном документе устройства были запущены со стандартными заводскими настройками. Если используемая сеть является действующей, убедитесь в понимании возможного влияния любой из применяемых команд. IP-адреса, используемые для этой конфигурации, относятся к пространству адресов RFC 1918. Они недействительны в Интернете.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

Задача

В этом разделе содержатся сведения, необходимые для настройки функций, описанных в данном документе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/70664/IOSthinclient-1.gif

Настройка SSL VPN с тонким клиентом

Настройте SSL VPN с тонким клиентом в системе Cisco IOS, используя мастера в интерфейсе диспетчера устройств защиты (SDM), либо настройте его вручную. В последнем случае можно использовать интерфейс командной строки (CLI) или ручные операции в приложении SDM. В этом примере используется мастер.

  1. Перейдите на вкладку Configure (Настройка).

    1. На панели навигации выберите VPN > WebVPN.

    2. Выберите вкладку Create WebVPN (Создать WebVPN).

    3. Установите переключатель в положение Create a new WebVPN (Создать новое соединение WebVPN).

    4. Нажмите кнопку Launch the selected task (Запустить выбранную задачу).

      /image/gif/paws/70664/IOSthinclient-2.gif

  2. Запустится мастер WebVPN. Нажмите кнопку Next.

    /image/gif/paws/70664/IOSthinclient-3.gif

    Введите IP-адрес и уникальное имя данного шлюза WebVPN. Нажмите кнопку Next.

    IOSthinclient-4.gif

  3. Экран User Authentication (Аутентификация пользователя) позволит предусмотреть аутентификацию пользователей. В этой конфигурации используется учетная запись, созданная локально на маршрутизаторе. Можно использовать сервер аутентификации, авторизации и учета (AAA).

    1. Для добавления пользователя нажмите кнопку Add (Добавить).

    2. На экране Add an Account (Добавление учетной записи) введите сведения о пользователе и нажмите кнопку OK.

    3. На экране User Authentication (Аутентификация пользователя) нажмите кнопку Next (Далее).

      /image/gif/paws/70664/IOSthinclient-5.gif

    4. Экран мастера WebVPN позволяет настроить web-сайты интрасети, но мы пропускаем этот шаг, потому что для доступа данного приложения используется переадресация портов. Если нужно разрешить доступ к web-сайтам, используйте бесклиентскую конфигурацию или полноценный клиент SSL VPN. Их применение выходит за рамки этого документа.

      /image/gif/paws/70664/IOSthinclient-6.gif

    5. Нажмите кнопку Next. Мастер отображает экран, который позволяет конфигурацию Полного Туннельного клиента. К SSL VPN с тонким клиентом (переадресацией портов) этот режим не относится.

    6. Снимите флажок Enable Full Tunnel (Разрешить полный туннель). Нажмите кнопку Next.

      /image/gif/paws/70664/IOSthinclient-7.gif

  4. Настройте внешний вид портала WebVPN или подтвердите внешний вид по умолчанию.

    1. Нажмите кнопку Next.

      /image/gif/paws/70664/IOSthinclient-8.gif

    2. Ознакомьтесь со сводкой конфигурации и выберите Finish > Save (Готово > Сохранить).

      /image/gif/paws/70664/IOSthinclient-9.gif

  5. Создан шлюз WebVPN и контекст WebVPN со связанной групповой политикой. Настройте порты тонкого клиента, которые станут доступны при подключении клиентов к WebVPN.

    1. Выберите Configure (Настройка).

    2. Выберите VPN > WebVPN.

    3. Выберите Create WebVPN (Создать WebVPN).

    4. Выберите переключатель Configure advanced features for an existing WebVPN (Настроить дополнительные функции существующего соединения WebVPN) и выберите Launch the selected task (Запустить выбранную задачу).

      /image/gif/paws/70664/IOSthinclient-10.gif

    5. Экран приветствия знакомит с возможностями мастера. Нажмите кнопку Next.

      /image/gif/paws/70664/IOSthinclient-11.gif

    6. В раскрывающихся меню выберите контекст WebVPN и группу пользователей. Нажмите кнопку Next.

      /image/gif/paws/70664/IOSthinclient-12.gif

    7. Выберите Thin Client (Port Forwarding) (Тонкий клиент [Переадресация портов]) и нажмите кнопку Next (Далее).

      /image/gif/paws/70664/IOSthinclient-13.gif

    8. Введите ресурсы, которые нужно сделать доступными через переадресацию портов. Порт службы должен быть статическим портом, но можно принять порт по умолчанию на клиентском ПК, назначенный мастером. Нажмите кнопку Next.

      /image/gif/paws/70664/IOSthinclient-14.gif

    9. Ознакомьтесь со сводкой конфигурации и выберите Finish > OK > Save (Готово > OK > Сохранить).

      /image/gif/paws/70664/IOSthinclient-15.gif

Конфигурация

Итоговая конфигурация SDM.

ausnml-3825-01
Building configuration...

Current configuration : 4343 bytes
!
! Last configuration change at 15:55:38 UTC Thu Jul 27 2006 by ausnml
! NVRAM config last updated at 21:30:03 UTC Wed Jul 26 2006 by ausnml
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ausnml-3825-01
!
boot-start-marker
boot system flash c3825-adventerprisek9-mz.124-9.T.bin
boot-end-marker
!
no logging buffered
enable secret 5 $1$KbIu$5o8qKYAVpWvyv9rYbrJLi/
!
aaa new-model
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authorization exec default local 
!
aaa session-id common
!
resource policy
!
ip cef
!
ip domain name cisco.com
!
voice-card 0
 no dspfarm

!--- Self-Signed Certificate Information

crypto pki trustpoint ausnml-3825-01_Certificate
 enrollment selfsigned
 serial-number none
 ip-address none
 revocation-check crl
 rsakeypair ausnml-3825-01_Certificate_RSAKey 1024
!
crypto pki certificate chain ausnml-3825-01_Certificate
 certificate self-signed 02
  30820240 308201A9 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
!---------------------
!--- cut for brevity

  quit
!
username ausnml privilege 15 password 7 15071F5A5D292421
username fallback privilege 15 password 7 08345818501A0A12
username austin privilege 15 secret 5 $1$3xFv$W0YUsKDx1adDc.cVQF2Ei0
username sales_user1 privilege 5 secret 5 $1$2/SX$ep4fsCpodeyKaRji2mJkX/
username admin0321 privilege 15 secret 5 $1$FxzG$cQUJeUpBWgZ.scSzOt8Ro1
!
interface GigabitEthernet0/0
 ip address 192.168.0.37 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
interface GigabitEthernet0/1
 ip address 172.22.1.151 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
ip route 0.0.0.0 0.0.0.0 172.22.1.1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 100
!
control-plane
!
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 exec-timeout 40 0
 privilege level 15
 password 7 071A351A170A1600
 transport input telnet ssh
line vty 5 15
 exec-timeout 40 0
 password 7 001107505D580403
 transport input telnet ssh
!
scheduler allocate 20000 1000

!--- the WebVPN Gateway 

webvpn gateway gateway_1
 ip address 192.168.0.37 port 443 
 http-redirect port 80
 ssl trustpoint ausnml-3825-01_Certificate
 inservice

!--- the WebVPN Context

webvpn context webvpn
 title-color #CCCC66
 secondary-color white
 text-color black
 ssl authenticate verify all

!--- resources available to the thin-client

 port-forward "portforward_list_1"
   local-port 3002 remote-server "172.22.1.20" remote-port 110 description "Pop3 Email"
   local-port 3001 remote-server "172.22.1.30" remote-port 23 description "Router1"
   local-port 3000 remote-server "172.22.1.50" remote-port 25 description "Email"
   local-port 3003 remote-server "172.22.1.10" remote-port 22 description "Router2 SSH"

!--- the group policy

 policy group policy_1
   port-forward "portforward_list_1" 
 default-group-policy policy_1
 aaa authentication list sdm_vpn_xauth_ml_2
 gateway gateway_1 domain webvpn
 max-users 2
 inservice
!
end

Проверка.

Проверка настроек

Этот раздел позволяет убедиться, что конфигурация работает правильно.

  1. С клиентского компьютера обратитесь к шлюзу WebVPN по адресу https://ip-адрес_шлюза. Не забудьте включить имя домена WebVPN, если создавались уникальные контексты WebVPN. Например, если создан домен sales, введите https://ip-адрес_шлюза/sales.

    /image/gif/paws/70664/IOSthinclient-16.gif

  2. Войдите и примите сертификат, предлагаемый шлюзом WebVPN. Щелкните Start Application Access (Запустить доступ к приложению).

    /image/gif/paws/70664/IOSthinclient-17.gif

  3. Появится экран Application Access (Доступ к приложению). KHsfh получить доступ к приложению с локальным номером порта и IP-адресом локального кольцевого интерфейса. Например, для установления сеанса Telnet с маршрутизатором 1 наберите: telnet 127.0.0.1 3001. Небольшой Java-апплет посылает эту информацию шлюзу WebVPN, который затем связывает обе стороны сеанса по защищенному каналу. Успешные подключения могут привести к увеличению счетчиков в столбцах Bytes Out (Отправлено байт) и Bytes In (Получено байт).

    /image/gif/paws/70664/IOSthinclient-18.gif

Команды

Некоторые команды show связаны с WebVPN. Эти команды можно выполнить в интерфейсе командной строки (CLI) для отображения статистики и другой информации. Использование команд show подробно иллюстрируется в разделе Проверка конфигурации WebVPN.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

На клиентских компьютерах должна быть загружена среда выполнения SUN Java версии 1.4 или выше. Копию этого ПО можно получить на сайте загрузки ПО Java

Команды для устранения неполадок

Примечание: Обратитесь к разделу Важные сведения о командах отладки перед использованием команд отладки.

  • {\f3 show webvpn ?}—{\f3 с WebVPN связано множество команд }{\f3 show}{\f3 .} Они запускаются из командной строки и отображают статистику и другие данные. Использование команд show подробно иллюстрируется в разделе Проверка конфигурации WebVPN.

  • {\f3 debug webvpn ?}—{\f3 использование команд }{\f3 debug}{\f3 может неблагоприятно сказаться на работе маршрутизатора.} Подробные сведения об использовании команд debug см. в разделе Использование команд отладки WebVPN.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 70664