瘦客戶端SSL VPN技術可用於允許使用靜態埠的應用程式進行安全訪問。例如Telnet(23)、SSH(22)、POP3(110)、IMAP4(143)和SMTP(25)。 瘦客戶端可以是使用者驅動的、策略驅動的,也可以是兩者兼而有之。可以逐個使用者配置訪問,也可以建立包含一個或多個使用者的組策略。SSL VPN技術可以在三種主要模式下配置:無客戶端SSL VPN(WebVPN)、瘦客戶端SSL VPN(埠轉發)和SSL VPN客戶端(SVC全通道模式)。
1.無客戶端SSL VPN(WebVPN):
遠端客戶端僅需要一個啟用SSL的Web瀏覽器來訪問公司LAN上啟用http或https的Web伺服器。還可以通過通用網際網路檔案系統(CIFS)瀏覽Windows檔案。Outlook Web Access(OWA)客戶端便是http訪問的典型示例。
請參閱使用SDM的Cisco IOS上的無客戶端SSL VPN(WebVPN)配置示例,瞭解有關無客戶端SSL VPN的詳細資訊。
2.瘦客戶端SSL VPN(埠轉發)
遠端客戶端必須下載基於Java的小程式,以便安全訪問使用靜態埠號的TCP應用程式。不支援UDP。示例包括對POP3、SMTP、IMAP、SSH和Telnet的訪問。使用者需要本地管理許可權,因為會更改本地電腦上的檔案。這種SSL VPN的方法不適用於使用動態埠分配的應用程式,例如多個FTP應用程式。
3. SSL VPN客戶端(SVC — 全通道模式):
SSL VPN客戶端將小型客戶端下載到遠端工作站,並允許對內部公司網路上的資源進行完全、安全的訪問。SVC可以永久下載到遠端站點,也可以在安全會話結束後刪除。
請參閱使用SDM的IOS上的SSL VPN客戶端(SVC)配置示例,瞭解有關SSL VPN客戶端的詳細資訊。
本檔案將示範精簡使用者端SSL VPN在Cisco IOS® 路由器上的簡單設定。瘦客戶端SSL VPN在這些思科IOS路由器上運行:
Cisco 870、1811、1841、2801、2811、2821和2851系列路由器
Cisco 3725、3745、3825、3845、7200和7301系列路由器
嘗試此組態之前,請確保符合以下要求:
Cisco IOS路由器的要求
列出的所有裝有SDM和IOS版本12.4(6)T或更高版本的高級映像的路由器
裝有SDM的管理站
Cisco將新路由器附帶預裝的SDM副本。如果路由器未安裝SDM,可從Software Download-Cisco Security Device Manager獲取軟體。您必須擁有具有服務合約的CCO帳戶。有關詳細說明,請參閱使用安全裝置管理器配置路由器。
客戶端電腦的要求
遠端客戶端應具有本地管理許可權;這不是必需的,但強烈建議這樣做。
遠端客戶端必須具有Java Runtime Environment(JRE)1.4版或更高版本。
遠端客戶端瀏覽器:Internet Explorer 6.0、Netscape 7.1、Mozilla 1.7、Safari 1.2.2或Firefox 1.0
在遠端客戶端上啟用Cookie和允許彈出視窗
本文中的資訊係根據以下軟體和硬體版本:
思科進階企業軟體映像12.4(9)T
思科3825整合式服務路由器
Cisco路由器和安全裝置管理員(SDM)版本2.3.1
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態開始。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。用於此配置的IP地址來自RFC 1918地址空間。它們在網際網路上是不合法的。
本節包含設定本檔案中所述功能所需的資訊。
本檔案會使用以下網路設定:
使用安全裝置管理器(SDM)介面中提供的嚮導在Cisco IOS上配置瘦客戶端SSL VPN,或者在命令列介面(CLI)或在SDM應用程式中手動配置它。此示例使用嚮導。
選擇Configure頁籤。
在導航窗格中,選擇VPN > WebVPN。
按一下Create WebVPN頁籤。
按一下Create a new WebVPN旁邊的單選按鈕。
按一下啟動所選任務按鈕。
WebVPN嚮導啟動。按「Next」(下一步)。
輸入此WebVPN網關的IP地址和唯一名稱。按「Next」(下一步)。
User Authentication螢幕允許提供使用者身份驗證的機會。此組態使用路由器上本地建立的帳戶。您也可以使用驗證、授權及記帳(AAA)伺服器。
要新增使用者,請按一下Add。
在Add an Account(新增帳戶)螢幕上輸入使用者資訊,然後按一下OK。
在User Authentication螢幕上按一下Next。
WebVPN Wizard螢幕允許配置Intranet網站,但此步驟被省略,因為此應用程式訪問使用埠轉發。如果要允許訪問網站,請使用無客戶端或完全客戶端SSL VPN配置,這些配置不在本文檔的範圍內。
按「Next」(下一步)。嚮導將顯示一個螢幕,允許配置全通道客戶端。這並不適用於瘦客戶端SSL VPN(埠轉發)。
取消選中Enable Full Tunnel。按「Next」(下一步)。
自定義WebVPN門戶頁面的外觀或接受預設外觀。
按「Next」(下一步)。
預覽配置摘要,然後按一下完成>儲存。
您已建立具有連結組策略的WebVPN網關和WebVPN上下文。配置瘦客戶端埠,這些埠在客戶端連線到WebVPN時可用。
選擇Configure。
選擇VPN > WebVPN。
選擇Create WebVPN。
選擇單選按鈕Configure advanced features for an existing WebVPN,然後按一下Launch the selected task。
歡迎螢幕提供了嚮導功能的亮點。按「Next」(下一步)。
從下拉選單中選擇WebVPN上下文和使用者組。按「Next」(下一步)。
選擇Thin Client(Port Forwarding),然後按一下Next。
輸入要通過埠轉發提供的資源。服務埠必須是靜態埠,但您可以接受由嚮導分配的客戶端PC上的預設埠。按「Next」(下一步)。
預覽配置摘要,然後按一下完成>確定>儲存。
SDM配置的結果。
ausnml-3825-01 |
---|
Building configuration... Current configuration : 4343 bytes ! ! Last configuration change at 15:55:38 UTC Thu Jul 27 2006 by ausnml ! NVRAM config last updated at 21:30:03 UTC Wed Jul 26 2006 by ausnml ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname ausnml-3825-01 ! boot-start-marker boot system flash c3825-adventerprisek9-mz.124-9.T.bin boot-end-marker ! no logging buffered enable secret 5 $1$KbIu$5o8qKYAVpWvyv9rYbrJLi/ ! aaa new-model ! aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authentication login sdm_vpn_xauth_ml_2 local aaa authorization exec default local ! aaa session-id common ! resource policy ! ip cef ! ip domain name cisco.com ! voice-card 0 no dspfarm !--- Self-Signed Certificate Information crypto pki trustpoint ausnml-3825-01_Certificate enrollment selfsigned serial-number none ip-address none revocation-check crl rsakeypair ausnml-3825-01_Certificate_RSAKey 1024 ! crypto pki certificate chain ausnml-3825-01_Certificate certificate self-signed 02 30820240 308201A9 A0030201 02020102 300D0609 2A864886 F70D0101 04050030 !--------------------- !--- cut for brevity quit ! username ausnml privilege 15 password 7 15071F5A5D292421 username fallback privilege 15 password 7 08345818501A0A12 username austin privilege 15 secret 5 $1$3xFv$W0YUsKDx1adDc.cVQF2Ei0 username sales_user1 privilege 5 secret 5 $1$2/SX$ep4fsCpodeyKaRji2mJkX/ username admin0321 privilege 15 secret 5 $1$FxzG$cQUJeUpBWgZ.scSzOt8Ro1 ! interface GigabitEthernet0/0 ip address 192.168.0.37 255.255.255.0 duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/1 ip address 172.22.1.151 255.255.255.0 duplex auto speed auto media-type rj45 ! ip route 0.0.0.0 0.0.0.0 172.22.1.1 ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 600 life 86400 requests 100 ! control-plane ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 exec-timeout 40 0 privilege level 15 password 7 071A351A170A1600 transport input telnet ssh line vty 5 15 exec-timeout 40 0 password 7 001107505D580403 transport input telnet ssh ! scheduler allocate 20000 1000 !--- the WebVPN Gateway webvpn gateway gateway_1 ip address 192.168.0.37 port 443 http-redirect port 80 ssl trustpoint ausnml-3825-01_Certificate inservice !--- the WebVPN Context webvpn context webvpn title-color #CCCC66 secondary-color white text-color black ssl authenticate verify all !--- resources available to the thin-client port-forward "portforward_list_1" local-port 3002 remote-server "172.22.1.20" remote-port 110 description "Pop3 Email" local-port 3001 remote-server "172.22.1.30" remote-port 23 description "Router1" local-port 3000 remote-server "172.22.1.50" remote-port 25 description "Email" local-port 3003 remote-server "172.22.1.10" remote-port 22 description "Router2 SSH" !--- the group policy policy group policy_1 port-forward "portforward_list_1" default-group-policy policy_1 aaa authentication list sdm_vpn_xauth_ml_2 gateway gateway_1 domain webvpn max-users 2 inservice ! end |
使用本節內容,確認您的組態是否正常運作。
使用客戶端電腦訪問WebVPN網關,網址為https://gateway_ip_address。如果建立唯一的WebVPN情景,請記住包含WebVPN域名。例如,如果已建立名為sales的域,請輸入https://gateway_ip_address/sales。
登入並接受WebVPN網關提供的證書。按一下Start Application Access。
系統隨即會顯示「應用程式訪問」螢幕。您可以使用本地埠號和本地環回IP地址訪問應用程式。例如,要通過Telnet連線到Router 1,請輸入telnet 127.0.0.1 3001。小型Java小程式將此資訊傳送到WebVPN網關,然後WebVPN網關以安全的方式將會話兩端連線在一起。成功的連線會導致Bytes Out和Bytes In列增加。
有幾個show命令與WebVPN關聯。您可以在命令列介面(CLI)上執行這些命令,以顯示統計資訊和其他資訊。要詳細瞭解show命令的用法,請參閱驗證WebVPN配置。
輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。
使用本節內容,對組態進行疑難排解。
客戶端電腦必須裝載SUN Java 1.4或更高版本。從Java軟體下載獲取此軟體的副本
註:使用debug命令前,請先參閱有關Debug命令的重要信息資訊。
show webvpn — — 有許多與WebVPN關聯的show命令。可以在CLI中執行這些操作以顯示統計資訊和其他資訊。要詳細瞭解show命令的用法,請參閱驗證WebVPN配置。
debug webvpn — — 使用debug指令可能對路由器造成負面影響。要詳細瞭解debug命令的用法,請參閱使用WebVPN Debug命令。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
15-Aug-2008 |
初始版本 |