使用SDM配置瘦客戶端SSL VPN(WebVPN)Cisco IOS

簡介

瘦客戶端SSL VPN技術可用於允許使用靜態埠的應用程式進行安全訪問。例如Telnet(23)、SSH(22)、POP3(110)、IMAP4(143)和SMTP(25)。 瘦客戶端可以是使用者驅動的、策略驅動的，也可以是兩者兼而有之。可以逐個使用者配置訪問，也可以建立包含一個或多個使用者的組策略。SSL VPN技術可以在三種主要模式下配置：無客戶端SSL VPN(WebVPN)、瘦客戶端SSL VPN（埠轉發）和SSL VPN客戶端（SVC全通道模式）。

1.無客戶端SSL VPN(WebVPN):

遠端客戶端僅需要一個啟用SSL的Web瀏覽器來訪問公司LAN上啟用http或https的Web伺服器。還可以通過通用網際網路檔案系統(CIFS)瀏覽Windows檔案。Outlook Web Access(OWA)客戶端便是http訪問的典型示例。

請參閱使用SDM的Cisco IOS上的無客戶端SSL VPN(WebVPN)配置示例，瞭解有關無客戶端SSL VPN的詳細資訊。

2.瘦客戶端SSL VPN（埠轉發）

遠端客戶端必須下載基於Java的小程式，以便安全訪問使用靜態埠號的TCP應用程式。不支援UDP。示例包括對POP3、SMTP、IMAP、SSH和Telnet的訪問。使用者需要本地管理許可權，因為會更改本地電腦上的檔案。這種SSL VPN的方法不適用於使用動態埠分配的應用程式，例如多個FTP應用程式。

3. SSL VPN客戶端（SVC — 全通道模式）：

SSL VPN客戶端將小型客戶端下載到遠端工作站，並允許對內部公司網路上的資源進行完全、安全的訪問。SVC可以永久下載到遠端站點，也可以在安全會話結束後刪除。

請參閱使用SDM的IOS上的SSL VPN客戶端(SVC)配置示例，瞭解有關SSL VPN客戶端的詳細資訊。

本檔案將示範精簡使用者端SSL VPN在Cisco IOS^® 路由器上的簡單設定。瘦客戶端SSL VPN在這些思科IOS路由器上運行：

• Cisco 870、1811、1841、2801、2811、2821和2851系列路由器

• Cisco 3725、3745、3825、3845、7200和7301系列路由器

必要條件

需求

嘗試此組態之前，請確保符合以下要求：

Cisco IOS路由器的要求

• 列出的所有裝有SDM和IOS版本12.4(6)T或更高版本的高級映像的路由器

• 裝有SDM的管理站

  Cisco將新路由器附帶預裝的SDM副本。如果路由器未安裝SDM，可從Software Download-Cisco Security Device Manager獲取軟體。您必須擁有具有服務合約的CCO帳戶。有關詳細說明，請參閱使用安全裝置管理器配置路由器。

客戶端電腦的要求

• 遠端客戶端應具有本地管理許可權；這不是必需的，但強烈建議這樣做。

• 遠端客戶端必須具有Java Runtime Environment(JRE)1.4版或更高版本。

• 遠端客戶端瀏覽器：Internet Explorer 6.0、Netscape 7.1、Mozilla 1.7、Safari 1.2.2或Firefox 1.0

• 在遠端客戶端上啟用Cookie和允許彈出視窗

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 思科進階企業軟體映像12.4(9)T

• 思科3825整合式服務路由器

• Cisco路由器和安全裝置管理員(SDM)版本2.3.1

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態開始。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。用於此配置的IP地址來自RFC 1918地址空間。它們在網際網路上是不合法的。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

設定

工作

本節包含設定本檔案中所述功能所需的資訊。

網路圖表

本檔案會使用以下網路設定：

配置瘦客戶端SSL VPN

使用安全裝置管理器(SDM)介面中提供的嚮導在Cisco IOS上配置瘦客戶端SSL VPN，或者在命令列介面(CLI)或在SDM應用程式中手動配置它。此示例使用嚮導。

1. 選擇Configure頁籤。

   1. 在導航窗格中，選擇VPN > WebVPN。

   2. 按一下Create WebVPN頁籤。

   3. 按一下Create a new WebVPN旁邊的單選按鈕。

   4. 按一下啟動所選任務按鈕。

      

2. WebVPN嚮導啟動。按「Next」（下一步）。

   

   輸入此WebVPN網關的IP地址和唯一名稱。按「Next」（下一步）。

   

3. User Authentication螢幕允許提供使用者身份驗證的機會。此組態使用路由器上本地建立的帳戶。您也可以使用驗證、授權及記帳(AAA)伺服器。

   1. 要新增使用者，請按一下Add。

   2. 在Add an Account（新增帳戶）螢幕上輸入使用者資訊，然後按一下OK。

   3. 在User Authentication螢幕上按一下Next。

      

   4. WebVPN Wizard螢幕允許配置Intranet網站，但此步驟被省略，因為此應用程式訪問使用埠轉發。如果要允許訪問網站，請使用無客戶端或完全客戶端SSL VPN配置，這些配置不在本文檔的範圍內。

      

   5. 按「Next」（下一步）。嚮導將顯示一個螢幕，允許配置全通道客戶端。這並不適用於瘦客戶端SSL VPN（埠轉發）。

   6. 取消選中Enable Full Tunnel。按「Next」（下一步）。

      

4. 自定義WebVPN門戶頁面的外觀或接受預設外觀。

   1. 按「Next」（下一步）。

      

   2. 預覽配置摘要，然後按一下完成>儲存。

      

5. 您已建立具有連結組策略的WebVPN網關和WebVPN上下文。配置瘦客戶端埠，這些埠在客戶端連線到WebVPN時可用。

   1. 選擇Configure。

   2. 選擇VPN > WebVPN。

   3. 選擇Create WebVPN。

   4. 選擇單選按鈕Configure advanced features for an existing WebVPN，然後按一下Launch the selected task。

      

   5. 歡迎螢幕提供了嚮導功能的亮點。按「Next」（下一步）。

      

   6. 從下拉選單中選擇WebVPN上下文和使用者組。按「Next」（下一步）。

      

   7. 選擇Thin Client(Port Forwarding)，然後按一下Next。

      

   8. 輸入要通過埠轉發提供的資源。服務埠必須是靜態埠，但您可以接受由嚮導分配的客戶端PC上的預設埠。按「Next」（下一步）。

      

   9. 預覽配置摘要，然後按一下完成>確定>儲存。

      

組態

SDM配置的結果。

Building configuration...

Current configuration : 4343 bytes
!
! Last configuration change at 15:55:38 UTC Thu Jul 27 2006 by ausnml
! NVRAM config last updated at 21:30:03 UTC Wed Jul 26 2006 by ausnml
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ausnml-3825-01
!
boot-start-marker
boot system flash c3825-adventerprisek9-mz.124-9.T.bin
boot-end-marker
!
no logging buffered
enable secret 5 $1$KbIu$5o8qKYAVpWvyv9rYbrJLi/
!
aaa new-model
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authorization exec default local 
!
aaa session-id common
!
resource policy
!
ip cef
!
ip domain name cisco.com
!
voice-card 0
 no dspfarm

!--- Self-Signed Certificate Information

crypto pki trustpoint ausnml-3825-01_Certificate
 enrollment selfsigned
 serial-number none
 ip-address none
 revocation-check crl
 rsakeypair ausnml-3825-01_Certificate_RSAKey 1024
!
crypto pki certificate chain ausnml-3825-01_Certificate
 certificate self-signed 02
  30820240 308201A9 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
!---------------------
!--- cut for brevity

  quit
!
username ausnml privilege 15 password 7 15071F5A5D292421
username fallback privilege 15 password 7 08345818501A0A12
username austin privilege 15 secret 5 $1$3xFv$W0YUsKDx1adDc.cVQF2Ei0
username sales_user1 privilege 5 secret 5 $1$2/SX$ep4fsCpodeyKaRji2mJkX/
username admin0321 privilege 15 secret 5 $1$FxzG$cQUJeUpBWgZ.scSzOt8Ro1
!
interface GigabitEthernet0/0
 ip address 192.168.0.37 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
interface GigabitEthernet0/1
 ip address 172.22.1.151 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
ip route 0.0.0.0 0.0.0.0 172.22.1.1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 100
!
control-plane
!
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 exec-timeout 40 0
 privilege level 15
 password 7 071A351A170A1600
 transport input telnet ssh
line vty 5 15
 exec-timeout 40 0
 password 7 001107505D580403
 transport input telnet ssh
!
scheduler allocate 20000 1000

!--- the WebVPN Gateway 

webvpn gateway gateway_1
 ip address 192.168.0.37 port 443 
 http-redirect port 80
 ssl trustpoint ausnml-3825-01_Certificate
 inservice

!--- the WebVPN Context

webvpn context webvpn
 title-color #CCCC66
 secondary-color white
 text-color black
 ssl authenticate verify all

!--- resources available to the thin-client

 port-forward "portforward_list_1"
   local-port 3002 remote-server "172.22.1.20" remote-port 110 description "Pop3 Email"
   local-port 3001 remote-server "172.22.1.30" remote-port 23 description "Router1"
   local-port 3000 remote-server "172.22.1.50" remote-port 25 description "Email"
   local-port 3003 remote-server "172.22.1.10" remote-port 22 description "Router2 SSH"

!--- the group policy

 policy group policy_1
   port-forward "portforward_list_1" 
 default-group-policy policy_1
 aaa authentication list sdm_vpn_xauth_ml_2
 gateway gateway_1 domain webvpn
 max-users 2
 inservice
!
end

驗證

驗證您的設定

使用本節內容，確認您的組態是否正常運作。

1. 使用客戶端電腦訪問WebVPN網關，網址為https://gateway_ip_address。如果建立唯一的WebVPN情景，請記住包含WebVPN域名。例如，如果已建立名為sales的域，請輸入https://gateway_ip_address/sales。

   

2. 登入並接受WebVPN網關提供的證書。按一下Start Application Access。

   

3. 系統隨即會顯示「應用程式訪問」螢幕。您可以使用本地埠號和本地環回IP地址訪問應用程式。例如，要通過Telnet連線到Router 1，請輸入telnet 127.0.0.1 3001。小型Java小程式將此資訊傳送到WebVPN網關，然後WebVPN網關以安全的方式將會話兩端連線在一起。成功的連線會導致Bytes Out和Bytes In列增加。

   

指令

有幾個show命令與WebVPN關聯。您可以在命令列介面(CLI)上執行這些命令，以顯示統計資訊和其他資訊。要詳細瞭解show命令的用法，請參閱驗證WebVPN配置。

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

疑難排解

使用本節內容，對組態進行疑難排解。

客戶端電腦必須裝載SUN Java 1.4或更高版本。從Java軟體下載獲取此軟體的副本

用於排除故障的命令

註：使用debug命令前，請先參閱有關Debug命令的重要信息資訊。

• show webvpn — — 有許多與WebVPN關聯的show命令。可以在CLI中執行這些操作以顯示統計資訊和其他資訊。要詳細瞭解show命令的用法，請參閱驗證WebVPN配置。

• debug webvpn — — 使用debug指令可能對路由器造成負面影響。要詳細瞭解debug命令的用法，請參閱使用WebVPN Debug命令。

相關資訊

• Cisco IOS SSLVPN
• SSL VPN - WebVPN
• Cisco IOS WebVPN問答
• 技術支援與文件 - Cisco Systems