Маршрутизаторы : Маршрутизаторы Cisco серии 7200

Пример конфигурации клиента SSL VPN на IOS с помощью SDM

21 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (28 июля 2008) | Английский (10 ноября 2015) | Отзыв


Содержание


Введение

Клиент VPN SSL (SVC) предоставляет полноценной туннель для защищенной связи с корпоративной внутренней сетью. Можно настроить доступ пользователя на основе его данных, либо создать различные WebVPN-контексты и поместить в них одного или более пользователей.

Технология SSL VPN или WebVPN-технология поддерживается на следующих платформах IOS маршрутизаторов:

  • 870, 1811, 1841, 2801, 2811, 2821, 2851

  • 3725, 3745, 3825, 3845, 7200 и 7301

Можно настроить технологию SSL VPN на работу в следующих режимах:

  • Бесклиентная SSL VPN (WebVPN) . Предоставляет удаленному клиенту, имеющему браузер с поддержкой SSL, доступ к веб-серверам HTTP или HTTPS в корпоративной локальной сети (LAN). Кроме того, Clientless SSL VPN обеспечивает доступ к файлам Windows через протокол CIFS. Web-клиент Outlook (OWA) представляет собой пример клиента доступа HTTP.

    Дополнительную информацию о бесклиентной SSL VPN см. в документе Пример конфигурации бесклиентной SSL VPN (WebVPN) на Cisco IOS с SDM.

  • Тонкий клиент SSL VPN (переадресация портов). В этом варианте конфигурации предусматривается удаленный клиент, загружающий небольшой Java-апплет и обеспечивающий защищенный доступ к приложениям TCP, использующим статические номера портов. Поддерживается защищенный доступ к протоколам POP3, SMTP, IMAP, ssh и Telnet. Пользователю необходимы локальные административные привилегии, так как производятся изменения в файлах локальной машины. Данный метод SSL VPN не функционирует с приложениями, использующими динамическое назначение портов, такими как некоторые приложения, использующие протокол передачи файлов (FTP).

    Дополнительные сведения о тонком клиенте SSL VPN см. в разделе Пример конфигурации тонкого клиента SSL VPN (WebVPN) IOS с SDM.

    Примечание: Протокол UDP не поддерживается.

  • SSL VPN Client (SVC Full Tunnel Mode) (SSL VPN Client (Режим полнофункционального туннеля SVC)). Загружает небольшой клиент для удаленной рабочей станции и предоставляет полный защищенный доступ к ресурсам внутренней корпоративной сети. Возможно выполнение загрузки SVC для постоянного использования или удаление клиента после завершения защищенной сессии.

В данном документе описана конфигурация маршрутизатора Cisco IOS для использования клиентом SSL VPN.

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию:

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Маршрутизатор Cisco IOS, серии 3825 с 12.4 (9) T

  • Менеджер устройств безопасности CISCO (SDM) версии 2.3.1

Примечание: Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Если используемая сеть является действующей, убедитесь в понимании возможного влияния любой из применяемых команд.

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/70790/svcios01.gif

Предварительные действия

  1. Настройте маршрутизатор для SDM. Дополнительно

    Маршрутизаторы с соответствующей лицензией пакета безопасности уже имеют загруженное во флеш-память приложение SDM. Дополнительную информацию о получении и настройке программного обеспечения см. в документе Загрузка и установка маршрутизатора Cisco и менеджера устройств безопасности (SDM).

  2. Загрузите копию клиента (SVC) на ваш управляющий компьютер.

    Вы можете получить копию программного обеспечения SVC с Software Download: Cisco SSL VPN Client (Загрузка программного обеспечения: клиент Cisco SSL VPN) (только для зарегистрированных пользователей). Для этого необходима действующая учетная запись CCO и контракт на обслуживание.

  3. Установите дату, время, часовой пояс и настройте цифровой сертификат на маршрутизаторе.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

В начальной стадии клиент SVC загружается в маршрутизатор шлюза WebVPN. При каждом подключении клиента копия SVC загружается на персональный компьютер. Для изменения этого режима настройте маршрутизатор на постоянное присутствие программного обеспечения на компьютере клиента.

Настройка SVC на IOS

В данном разделе описаны действия, необходимые для настройки функций, описанных в документе. В данном примере конфигурации используется мастер SDM для активации SVC на маршрутизаторе IOS.

Выполните эти шаги для настройки SVC на маршрутизаторе IOS:

  1. Установите и активируйте программное обеспечение SVC на маршрутизаторе IOS

  2. С помощью мастера SDM настройте WebVPN-контекст и WebVPN-шлюз

  3. Настройте базу данных пользователей SVC

  4. Настройте ресурсы, предоставляемые пользователям

Шаг 1. Установите и активируйте программное обеспечение SVC на маршрутизаторе IOS

Выполните эти шаги, чтобы установить и включить программное обеспечение SVC на маршрутизаторе IOS:

  1. Запустите приложение SDM, нажмите Configure и затем нажмите VPN.

  2. Разверните WebVPN, и выберите Packages.

    /image/gif/paws/70790/svcios02.gif

  3. В области "Cisco WebVPN Client Software" нажмите кнопку Browse.

    Отобразится диалоговое окно "Select SVC location".

    /image/gif/paws/70790/svcios03.gif

  4. Нажмите селективную кнопку My Computer и затем кнопку Browse и найдите пакет программ SVC на управляющем компьютере.

  5. Нажмите OK и затем кнопку Install.

    /image/gif/paws/70790/svcios04.gif

  6. Нажмите кнопку Yes, а затем OK.

    Пример успешной установки пакета программ SVC показан на рисунке:

    /image/gif/paws/70790/svcios05.gif

Шаг 2. Настройте WebVPN-контекст и WebVPN-шлюз с помощью мастера SDM

Выполните эти шаги для настройки контекста WebVPN и Шлюза WebVPN:

  1. После установки SVC на маршрутизатор нажмите Configure и затем нажмите VPN.

  2. Нажмите WebVPN и перейдите на вкладку Create WebVPN.

    /image/gif/paws/70790/svcios06.gif

  3. Нажмите селективную кнопку Create a New WebVPN и затем нажмите Launch the selected task.

    Отобразится диалоговое окно "WebVPN Wizard".

    /image/gif/paws/70790/svcios07.gif

  4. Нажмите кнопку Next.

    /image/gif/paws/70790/svcios08.gif

  5. Введите IP-адрес нового WebVPN-шлюза и уникальное имя WebVPN-контекста.

    Можно создать различные WebVPN-контексты для одного IP-адреса (WebVPN-шлюза), но каждое имя должно быть уникальным. В данном примере используется следующий IP-адрес: https://192.168.0.37/продажи

  6. Нажмите кнопку Next и перейдите к шагу 3.

Шаг 3. Настройте базу данных пользователей SVC

Для аутентификации можно использовать сервер AAA и/или локальных пользователей. В данном примере конфигурации для аутентификации используются локально созданные учетные записи пользователей.

Выполните эти шаги для настройки базы данных пользователей для пользователей SVC:

  1. После выполнения Шага 2 нажмите селективную кнопку Locally on this router, расположенную в диалоговом окне мастера WebVPN "User Authentication".

    /image/gif/paws/70790/svcios09.gif

    Данное диалоговое окно предназначено для внесения пользователей в локальную базу данных.

  2. Нажмите кнопку Add и введите данные пользователя.

    /image/gif/paws/70790/svcios10.gif

  3. Нажмите кнопку OK и при необходимости добавьте пользователей.

  4. После завершения добавления пользователей нажмите кнопку Next и перейдите к шагу 4.

Шаг 4. Настройка ресурсов, предоставляемых пользователям

Диалоговое окно мастера WebVPN "Configure Intranet Websites" (Настройка веб-сайтов внутрикорпоративной сети (Интранет)) позволяет выбрать ресурсы интранет, предоставляемые клиентам SVC.

Выполните эти шаги для настройки ресурсов для представления пользователям:

  1. После завершения Шага 3 нажмите кнопку Add, расположенную в диалоговом окне Configure Intranet Websites.

    /image/gif/paws/70790/svcios11.gif

  2. Введите имя списка URL и затем введите заголовок.

    /image/gif/paws/70790/svcios12.gif

  3. Нажмите кнопку Add и выберите Website для добавления веб-сайтов, доступ к которым предоставляется клиенту.

  4. Введите URL и сведения о соединении, и затем нажмите OK.

  5. Для предоставления доступа к серверам обмена OWA нажмите Add и выберите E-mail.

    /image/gif/paws/70790/svcios13.gif

  6. Установите флажок на Outlook Web Access, введите метку URL и информацию о ссылке и нажмите OK.

    /image/gif/paws/70790/svcios14.gif

  7. После добавления необходимых ресурсов нажмите OK и затем кнопку Next.

    Отображается диалоговое окно полнофункционального туннеля мастера WebVPN.

    /image/gif/paws/70790/svcios15.gif

  8. Убедитесь, что установлен флажок Enable Full Tunnel.

  9. Создайте пул IP-адресов, которые могут использовать клиенты данной WebVPN. Адресный пул должен соответствовать адресам, доступным и используемым в вашей сети интранет.

  10. Нажмите кнопку (...), расположенную рядом с полем "IP Address Pool" и выберите Create a new IP Pool.

    /image/gif/paws/70790/svcios16.gif

  11. В диалоговом окне Add IP Local Pool введите название пула и нажмите Add.

    /image/gif/paws/70790/svcios17.gif

  12. В диалоговом окне "Add IP address range" введите диапазон адресов для клиентов SVC и нажмите OK.

    Примечание: Пул IP-адреса должен быть в диапазоне интерфейса, непосредственно связанного с маршрутизатором. Если вы хотите использовать диапазон пула, не входящий в диапазон вышеназванного интерфейса, вы можете создать адрес обратной связи, ассоциированный с созданным вами новым пулом, для удовлетворения данным требованиям.

  13. Нажмите кнопку OK.

    /image/gif/paws/70790/svcios18.gif

  14. Если вы хотите, чтобы удаленные клиенты сохраняли копию SVC, установите флажок Keep the Full Tunnel Client Software installed on client's PC (Оставлять программное обеспечение полнофункционального туннеля клиента установленным на компьютере клиента). Очистите эту опцию, чтобы потребовать, чтобы клиент загрузил программное обеспечение SVC каждый раз, когда клиент соединяется.

  15. Настройте дополнительные параметры туннеля, такие как разделенное туннелирование, раздельный DNS, настройки браузера для прокси-сервера, а также серверы DNS и WINS. Компания Cisco рекомендует произвести настройку как минимум серверов DNS и WINS.

    Для настройки дополнительных параметров туннеля выполните следующие действия:

    1. Нажмите кнопку Advanced Tunnel Options.

      /image/gif/paws/70790/svcios19.gif

    2. Перейдите на вкладку DNS and WINS Servers и введите первичные IP-адреса серверов DNS и WINS.

    3. Для настройки раздельного туннелирования и настроек браузера для прокси-сервера перейдите на вкладки Split Tunneling или Browser Proxy Settings.

      /image/gif/paws/70790/svcios20.gif

  16. После настройки необходимых параметров нажмите кнопку Next.

  17. Измените страницу портала WebVPN или выберите значения по умолчанию.

    Окно "Customize WebVPN Portal Page" позволяет вам изменить внешний вид страницы портала.

    /image/gif/paws/70790/svcios21.gif

  18. После настройки страницы портала WebVPN нажмите Next, Finish и нажмите OK.

    Мастер WebVPN представит список совершенных настроек.

  19. Нажмите OK для сохранения конфигурации.

    Примечание: При получении сообщения об ошибках лицензия WebVPN может быть неправильной. Пример сообщения об ошибке показан на следующем рисунке:

    /image/gif/paws/70790/svcios22.gif

    Для решения проблемы с лицензией выполните следующие шаги:

    1. Нажмите Configure и VPN.

    2. Разверните меню WebVPN и перейдите на вкладку Edit WebVPN.

      /image/gif/paws/70790/svcios23.gif

    3. Выделите созданный контекст и нажмите кнопку Edit.

      /image/gif/paws/70790/svcios24.gif

    4. В поле "Maximum Number of users" введите правильное количество пользователей для вашей лицензии.

    5. Нажмите OK и OK.

      Ваши команды сохранены в конфигурационный файл.

    6. Нажмите Save и Yes, чтобы принять изменения.

Результаты

ASDM создает следующие конфигурации командных строк:

ausnml-3825-01
ausnml-3825-01#show run
Building configuration...

Current configuration : 4393 bytes
!
! Last configuration change at 22:24:06 UTC Thu Aug 3 2006 by ausnml
! NVRAM config last updated at 22:28:54 UTC Thu Aug 3 2006 by ausnml
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ausnml-3825-01
!
boot-start-marker
boot system flash c3825-adventerprisek9-mz.124-9.T.bin
boot-end-marker
!
no logging buffered
!
aaa new-model
!

!--- Added by SDM for local aaa authentication.

aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authentication login sdm_vpn_xauth_ml_3 local
aaa authentication login sdm_vpn_xauth_ml_4 local
!
aaa session-id common
!
resource policy
!
ip cef
!
ip domain name cisco.com
!
voice-card 0
 no dspfarm

!--- Digital certificate information.

crypto pki trustpoint TP-self-signed-577183110
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-577183110
 revocation-check none
 rsakeypair TP-self-signed-577183110
!
crypto pki certificate chain TP-self-signed-577183110
 certificate self-signed 01
  3082024E 308201B7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 35373731 38333131 30301E17 0D303630 37323731 37343434 
  365A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3537 37313833 
  31313030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 
  F43F6DD9 32A264FE 4C5B0829 698265DC 6EC65B17 21661972 D363BC4C 977C3810 
  

!--- Output suppressed.

  quit
username wishaw privilege 15 secret 5 $1$r4CW$SeP6ZwQEAAU68W9kbR16U.
username ausnml privilege 15 password 7 044E1F505622434B
username sales privilege 15 secret 5 $1$/Lc1$K.Zt41zF1jSdKZrPgNK1A.
username newcisco privilege 15 secret 5 $1$Axlm$7k5PWspXKxUpoSReHo7IQ1
!
interface GigabitEthernet0/0
 ip address 192.168.0.37 255.255.255.0
 ip virtual-reassembly
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/1
 ip address 172.22.1.151 255.255.255.0
 duplex auto
 speed auto
 media-type rj45

!--- Clients receive an address from this pool.

ip local pool Intranet 172.22.1.75 172.22.1.95
ip route 0.0.0.0 0.0.0.0 172.22.1.1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 100
!
control-plane
!
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
!
scheduler allocate 20000 1000

!--- Identify the gateway and port.

webvpn gateway gateway_1
 ip address 192.168.0.37 port 443 
 http-redirect port 80
 ssl trustpoint TP-self-signed-577183110
 inservice

!--- SVC package file.

webvpn install svc flash:/webvpn/svc.pkg
!

!--- WebVPN context.

webvpn context sales
 title-color #CCCC66
 secondary-color white
 text-color black
 ssl authenticate verify all
!

!--- Resources available to this context.

 url-list "WebServers"
   heading "Intranet Web"
   url-text "SalesSite" url-value "http://172.22.1.10"
   url-text "OWAServer" url-value "http://172.22.1.20/exchange"
 !
 nbns-list NBNS-Servers
   nbns-server 172.22.1.15 master 


!--- Group policy for the context.

 policy group policy_1
   url-list "WebServers"
   functions svc-enabled
   svc address-pool "Intranet"
   svc default-domain "cisco.com"
   svc keep-client-installed
   svc dns-server primary 172.22.1.100
   svc wins-server primary 172.22.1.101
 default-group-policy policy_1
 aaa authentication list sdm_vpn_xauth_ml_4
 gateway gateway_1 domain sales
 max-users 2
 inservice
!

!
end

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Процедура

Для тестирования конфигурации введите http://192.168.0.37/продажи в поддерживающий SSL клиентский Web-браузер.

Команды

Некоторые команды show связаны с WebVPN. Эти команды можно выполнить в интерфейсе командной строки (CLI) для отображения статистики и другой информации. Дополнительные сведения о командах show см. в разделе Проверка конфигурации WebVPN.

Примечание: Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

Неполадки с подключением SSL

Проблема: Клиенты SSL VPN не могут подключиться к маршрутизатору.

Решение: Недостаточное количество IP-адресов в адресном пуле может вызвать подобную проблему. Для решения данной проблемы увеличьте количество IP-адресов в адресном пуле маршрутизатора.

Команды для устранения неполадок

Некоторые команды clear ассоциированы с WebVPN. Дополнительную информацию о данных командах см. в документе Использование команд WebVPN "clear".

Некоторые команды debug связаны с WebVPN. Дополнительную информацию о данных командах см. в документе Использование команд WebVPN debug.

Примечание: Использование команд debug может неблагоприятно сказаться на производительности модуля Cisco. Перед использованием команд debug ознакомьтесь с документом Важные сведения о командах debug.


Дополнительные сведения


Document ID: 70790