SSL VPN 客户端 (SVC) 提供了与企业内部网络进行安全通信的全隧道。您能由用户配置在用户的访问,或者您能创建您放置一个或更多用户的不同的WebVPN上下文。
这些IOS路由器平台支持SSL VPN或WebVPN技术:
870, 1811, 1841, 2801, 2811, 2821, 2851
3725, 3745, 3825, 3845, 7200和7301
您在这些模式下能配置SSL VPN技术:
无客户端 SSL VPN (WebVPN) — 提供一个远程客户端,它要求通过启用了 SSL 的 Web 浏览器才能访问公司局域网 (LAN) 上的 HTTP 或 HTTPS Web 服务器。此外,利用无客户端 SSL VPN 还可以通过公用 Internet 文件系统 (CIFS) 协议浏览 Windows 文件。Outlook Web Access (OWA) 就是 HTTP 访问的一个示例。
参考在Cisco IOS的无客户端SSL VPN (WebVPN)与SDM配置示例为了得知更多无客户端SSL VPN。
瘦客户端 SSL VPN(端口转发)— 提供一个远程客户端,它下载基于 Java 的小程序,并允许以安全方式访问使用静态端口号的传输控制协议 (TCP) 应用程序。Point of Presence (POP3),简单邮件传输协议(SMTP)、网络邮件访问协议(IMAP)、安全壳SSH和Telnet是安全访问示例。由于本地计算机上的文件发生更改,因此用户必须有本地管理权限才能使用此方法。这种 SSL VPN 方法不能与使用动态端口分配的应用程序(如某些文件传输协议 (FTP) 应用程序)配合工作。
要了解有关瘦客户端 SSL VPN 的详细信息,请参阅使用 SDM 的瘦客户端 SSL VPN (WebVPN) IOS 配置示例。
Note: 不支持用户数据报协议 (UDP)。
SSL VPN客户端(SVC全通道模式) —下载一个小的客户端到远程工作站并且允许对资源的充分的安全访问在一个内部公司网络。您能永久下载SVC到远程工作站,或者您能去除客户端,一旦安全的会话是闭合的。
本文展示Cisco IOS路由器的配置供SSL VPN客户端使用。
尝试进行此配置之前,请确保满足以下要求:
Microsoft Windows 2000或XP
与SUN JRE 1.4或以上的Web浏览器或者ActiveX受控的浏览器
在客户端的本地管理权限
在与高级安全镜像的简介列出的其中一路由器(12.4(6)T或以上)
Cisco Secure设备管理器(SDM)版本2.3
如果尚未在路由器上加载 Cisco SDM,您可以从软件下载(仅限注册用户)获取该软件的免费副本。您必须拥有一个已签署服务合同的 CCO 帐户。有关安装和配置 SDM 的详细信息,请参阅 Cisco Router and Security Device Manager。
在路由器的一个数字认证
您能使用一不变自签证书或一外部Certificate Authority (CA)满足此要求。关于不变自署名的认证的更多信息,请参见不变自署名的认证。
本文档中的信息基于以下软件和硬件版本:
Cisco IOS路由器3825系列与12.4(9)T
Security Device Manager (SDM)版本2.3.1
Note: 本文的信息从设备在特定实验室环境里被创建了。All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.
本文档使用以下网络设置:
为路由器配置 SDM。(可选)
有适当的安全套件许可证的路由器已经有在闪存装载的SDM应用程序。参考下载和安装思科路由器和安全设备管理器(SDM)得到和配置软件。
下载SVC的复制到您的管理PC。
您能得到SVC程序包文件的复制从软件下载的:Cisco SSL VPN客户端(仅限注册用户)。您必须有与服务合同的一个有效CCO帐户。
设置正确的日期、时刻和时间区域,然后配置在路由器的一个数字认证。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
SVC最初被装载在Webvpn gateway路由器上。在客户端连接时候, SVC的复制动态地下载在PC上。为了更改此工作情况,请配置路由器对enable (event)软件永久在客户端计算机。
在此部分,向您显示必要步骤配置在本文描述的功能。此示例配置使用SDM向导对enable (event) SVC的操作在IOS路由器的。
完成这些步骤为了配置在IOS路由器的SVC :
完成这些步骤为了在IOS路由器上安装和enable (event) SVC软件:
打开SDM应用程序,点击配置,然后点击VPN。
扩展WebVPN,并且选择程序包。
在Cisco WebVPN客户端软件地区内,请点击浏览按钮。
挑选SVC位置对话框出现。
点击我的计算机单选按钮,然后点击访问找出SVC程序包您的管理PC。
点击OK键,然后点击Install按钮。
点击是,然后点击OK键。
SVC程序包的一个成功的安装在此镜像显示:
完成这些步骤为了配置WebVPN上下文和Webvpn gateway :
在SVC在路由器上后安装,请点击配置,然后点击VPN。
点击WebVPN,并且点击创建WebVPN选项。
检查创建一个新的WebVPN单选按钮,然后点击生成选定的任务。
WebVPN向导对话框出现。
单击 Next。
输入新的Webvpn gateway的IP地址,并且输入一个唯一名字对于此WebVPN上下文。
您能创建同样IP地址的(Webvpn gateway)不同的WebVPN上下文,但是每个名字一定是唯一。此示例使用此IP地址:https://192.168.0.37/sales
点击其次,并且继续对第3.步。
对于认证,您能使用AAA服务器,本地用户或者两个。此配置示例使用本地被创建的用户认证。
完成这些步骤为了配置SVC用户的用户数据库:
在您完成第2步后,请点击WebVPN向导用户认证对话框查找的本地此路由器单选按钮。
此对话框允许您添加用户到本地数据库。
点击添加,并且输入用户信息。
点击OK键,并且如所需要添加另外的用户。
在您添加必要的用户后,其次请点击,并且继续对第4.步。
配置内部网网站WebVPN向导对话框允许您选择您希望显示在您的SVC客户端的内部网资源。
完成这些步骤为了配置资源显示在用户:
在您完成第3步后,请点击位于配置内部网网站对话框的Add按钮。
输入URL列表名称,然后输入标题。
点击添加,并且选择网站添加您要显示在此客户端的网站。
输入URL和键路信息,然后点击OK键。
要添加对OWA Exchange服务器的访问,请点击添加并且选择电子邮件。
检查Outlook Web Access复选框,输入URL标签和键路信息和然后点击OK键。
在您添加期望资源后,请点击OK键,其次然后点击。
WebVPN向导全通道对话框出现。
验证启用全通道复选框被检查。
创建此WebVPN上下文客户端能使用IP地址的池。地址池必须对应于地址可用和可路由的在您的内部网。
点击椭圆(…)在IP地址旁边请缓冲字段,并且选择创建一个新的IP池。
在添加Ip local pool对话框中,请输入一个名字对于池,并且点击添加。
在添加IP地址范围对话框中,请输入SVC客户端的地址池范围,并且点击OK键。
Note: IP地址池应该在接口的范围直接地被连接到路由器。如果要使用一个不同的池范围,您能创建与您的新池产生关联的环回地址满足此要求。
单击 Ok。
如果希望您的远程客户端永久存储SVC点击的复制保持全通道客户端软件在客户端PC复选框上安装了。每次客户端连接,请清除此选项要求客户端下载SVC软件。
configure提前隧道选项,例如分割隧道、分割DNS、浏览器代理设置和DNS和WNS服务器。Cisco推荐您配置至少DNS和WINS服务器。
要配置先进的隧道选项,请完成这些步骤:
点击先进的隧道选择键。
点击DNS和WINS服务器选项,并且输入DNS和WINS服务器的主要IP地址。
要配置分割隧道和浏览器代理设置,请点击Settings选项分割隧道或浏览器的代理。
在您配置必要的选项后,其次请点击。
定制WebVPN入口页面或选择默认值。
定制WebVPN入口页面允许您定制WebVPN入口页面如何出现给您的用户。
在您配置WebVPN入口页面后,其次请点击,点击完成和然后点击OK键。
WebVPN向导提交浏览命令给路由器。
点击OK键保存您的配置。
Note: 如果收到一个错误信息, WebVPN许可证可能是不正确的。示例错误信息在此镜像表示:
要更正许可问题,请完成这些步骤:
单击 Configure,然后单击 VPN。
扩展WebVPN,并且点击编辑WebVPN选项。
突出显示您新建立的上下文,并且点击编辑按钮。
在最大用户数字段,请输入用户的正确的数量您的许可证的。
单击 OK,再单击 OK。
您的命令写到配置文件。
单击 Save,然后单击 Yes 接受更改。
ASDM 创建了以下这些命令行配置:
ausnml-3825-01 |
---|
ausnml-3825-01#show run Building configuration... Current configuration : 4393 bytes ! ! Last configuration change at 22:24:06 UTC Thu Aug 3 2006 by ausnml ! NVRAM config last updated at 22:28:54 UTC Thu Aug 3 2006 by ausnml ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname ausnml-3825-01 ! boot-start-marker boot system flash c3825-adventerprisek9-mz.124-9.T.bin boot-end-marker ! no logging buffered ! aaa new-model ! !--- Added by SDM for local aaa authentication. aaa authentication login sdm_vpn_xauth_ml_1 local aaa authentication login sdm_vpn_xauth_ml_2 local aaa authentication login sdm_vpn_xauth_ml_3 local aaa authentication login sdm_vpn_xauth_ml_4 local ! aaa session-id common ! resource policy ! ip cef ! ip domain name cisco.com ! voice-card 0 no dspfarm !--- Digital certificate information. crypto pki trustpoint TP-self-signed-577183110 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-577183110 revocation-check none rsakeypair TP-self-signed-577183110 ! crypto pki certificate chain TP-self-signed-577183110 certificate self-signed 01 3082024E 308201B7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 35373731 38333131 30301E17 0D303630 37323731 37343434 365A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3537 37313833 31313030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 F43F6DD9 32A264FE 4C5B0829 698265DC 6EC65B17 21661972 D363BC4C 977C3810 !--- Output suppressed. quit username wishaw privilege 15 secret 5 $1$r4CW$SeP6ZwQEAAU68W9kbR16U. username ausnml privilege 15 password 7 044E1F505622434B username sales privilege 15 secret 5 $1$/Lc1$K.Zt41zF1jSdKZrPgNK1A. username newcisco privilege 15 secret 5 $1$Axlm$7k5PWspXKxUpoSReHo7IQ1 ! interface GigabitEthernet0/0 ip address 192.168.0.37 255.255.255.0 ip virtual-reassembly duplex auto speed auto media-type rj45 no keepalive ! interface GigabitEthernet0/1 ip address 172.22.1.151 255.255.255.0 duplex auto speed auto media-type rj45 !--- Clients receive an address from this pool. ip local pool Intranet 172.22.1.75 172.22.1.95 ip route 0.0.0.0 0.0.0.0 172.22.1.1 ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 600 life 86400 requests 100 ! control-plane ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 ! scheduler allocate 20000 1000 !--- Identify the gateway and port. webvpn gateway gateway_1 ip address 192.168.0.37 port 443 http-redirect port 80 ssl trustpoint TP-self-signed-577183110 inservice !--- SVC package file. webvpn install svc flash:/webvpn/svc.pkg ! !--- WebVPN context. webvpn context sales title-color #CCCC66 secondary-color white text-color black ssl authenticate verify all ! !--- Resources available to this context. url-list "WebServers" heading "Intranet Web" url-text "SalesSite" url-value "http://172.22.1.10" url-text "OWAServer" url-value "http://172.22.1.20/exchange" ! nbns-list NBNS-Servers nbns-server 172.22.1.15 master !--- Group policy for the context. policy group policy_1 url-list "WebServers" functions svc-enabled svc address-pool "Intranet" svc default-domain "cisco.com" svc keep-client-installed svc dns-server primary 172.22.1.100 svc wins-server primary 172.22.1.101 default-group-policy policy_1 aaa authentication list sdm_vpn_xauth_ml_4 gateway gateway_1 domain sales max-users 2 inservice ! ! end |
Use this section to confirm that your configuration works properly.
要测试您的配置,请进入http://192.168.0.37/sales一已启用SSL客户端Web浏览器。
有若干 show 命令与 WebVPN 关联。您能执行这些at命令命令行界面(CLI)到show statistics和其他信息。有关 show 命令的详细信息,请参阅验证 WebVPN 配置。
Note: 命令输出解释程序(仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。
使用本部分可排除配置故障。
问题:SSL VPN客户端无法连接路由器。
解决方案:在IP地址池的不足的IP地址也许导致此问题。增加IP地址的数量在IP地址池的在路由器的为了解决此问题。
几个清除命令与WebVPN产生关联。关于这些命令的详细信息,请参见使用WebVPN清除命令。
有若干 debug 命令与 WebVPN 关联。有关这些命令的详细信息,请参阅使用 WebVPN Debug 命令。
Note: 使用 debug 命令可能会对 Cisco 设备造成负面影响。使用 debug 命令之前,请参阅有关 Debug 命令的重要信息。