概述
在IOS12.4(14)T 中,思科加入了SSL VPN. 在路由器上运行SSL VPN 叫做WEB VPN.
归根结底,思科把VPN3000 集线器的WEBVPN 技术拿到了路由器上来.并且倒入了思科的IOS.
1.1 WEB VPN 对于用户终端的需求:
1.支持SSL
的浏览器(IE,Netscape,Mozilla 或者FireFox)
2.Sum Microsystem Java Runtime(
端口的转发,thin client 特性)
3.可选的E-Mail 客户端:微软的Outlook,Netscape Mail
或者Eudora
1.2 WEB VPN 的限制:
1.支持支SSL v3, 不支持TLS
2.不支持Cisco 安全桌面和CiscoSSL VPN 客户端,所以Router
只能够支持无客户和瘦客户的连接
3.被Macromedia Flash 所调用的URL 不支持安全的检索
1.3 WEB VPN 的优点
当访问WEB VPN 的时候,VPN3000,ASA
和路由器所看到的界面是一样的,所以对于客户来说是不需要额外的技
第2章 WebVPN 的实施
建立WebVPN
的配置不是很复杂,本人通过Cisco2691 的模拟器进行配置实验.
1. 配置AAA,DNS 和证书(必须)
2. 配置WebVPN( 必须)
3. 建立URL 和端口转发题目(可选)
4.
维护,监控WebVPN( 可选)
2.1 必须的配置方法
1. 配置AAA 提供验证客户信息
2. 建立DNS 来解析URL
的名字信息
3. 为路由器获取SSL 证书
2.1.1
AAA 配置
进行SSL VPN 验证的用户信息可以保存在路由器本地(LOCAL),
或者TACACS+和RADIUS 的服务器上.
R1(config)#aaa new-model 开启AAA 功能
R1(config)#aaa authentication login
webvpn local 认证采用本地数据库,认证的列表名字为webvpn
R1(config)#username test password test 建立一个本地账户为:test
如果需要保存到认证服务器,需要如下配置:
R1(config)#aaa
new-model 开启AAA
功能
R1(config)#aaa authentication login webvpn group radius
认证信息保存到RADIUS 服务器上,认证的列表名字为webvpn
R1(config)#radius-server host 192.168.1.1 key cisco
配置认证服务器
R1(config)#username test
password test 建立一个本地账户为:test
2.1.2 DNS
的配置
DNS 的作用:
1.保护SSL 的连接,建立RSA
密钥对(需要一个公钥,才能用派生算法产生一个私钥)
2.解析URL 的名字
配置:
R1(config)#hostname
R1 必须
R1(config)#ip domain-name
cisco.com 必须
R1(config)#ip
name-server 192.168.1.1 让192.168.1.1
解析FQDN
2.1.3 SSL
证书的配置
使用SSL, 启动了WebVPN
的路由器需要一个证书:证书的密钥用于保护用户的桌面和路由器之间的数据. 获得证书的方法:
1. 通过一个CA( 证书颁发机构)获取
2. 自行建立自签发证书
3. 通过CA 获取坛子里面的兄弟已经介绍过了.所以,我着重说明自签发证书
R1(config)#crypto
pki trustpoint SSLVPN 指定信任点名字为SSLVPN
R1(ca-trustpoint)#enrollment selfsigned 指定要自签发证书
R1(ca-trustpoint)#subject-name
CN=SSLVPN OU=Cisco O=Cisco 配置证书的组件:CN,OU,O
R1(ca-trustpoint)#rsakeypair SSLVPN 1024 指定RSA密钥的标签和建立的签名,以及密钥的模数(SSLVPN 为签名)
R1(config)#crypto pki enroll SSLVPN 生成证书
%Includetherouterserialnumberinthesubjectname?[yes/no]:
*Mar 1 00:14:51.519: %SSH-5-ENABLED:
SSH 1.99 has been enabled
*Mar 1 00:14:51.539: %CRYPTO-6-AUTOGEN: Generated
new 1024 bit key pair
% Please answer 'yes' or 'no'.
%Include the router
serial number in the subject name?[yes/no]:
no % Include an IP address in the
subject name? [no]: no
Generate
Self Signed Router Certificate? [yes/no]: y
Router Self Signed
Certificate successfully created
2.1.4 WebVPN 的配置
现在可以建立WEBVPN:
R1(config)#webvpn enable gateway-addr 192.168.1.2 指定192.168.1.2 这个接口接收WEBVPN 的连接,如果路由器开启了HTTPS
的功能,那么必须指定gateway-addr( 其中192.168.1.2 为外网接口IP 地址)
R1(config)#webvpn R1(config-webvpn)#ssl trustpoint SSLVPN
加载一个证书信任点,就是刚才建立的自信任证书
R1(config-webvpn)#ssl
encryption 3des-sha1 选择SSL
隧道加密的方式
R1(config-webvpn)#title “Welcome To SSLVPN”
通过认证后的主页标题
R1(config-webvpn)#title-color
标题用的颜色,默认是紫色
R1(config-webvpn)#text-color 标题栏中文本的颜色
R1(config-webvpn)#secondary-color
辅助标题栏的颜色
R1(config-webvpn)#secondary-text-color
black 辅助标题文本的颜色
R1(config-webvpn)#login-message
“Please enter Name and Password” 用户执行验证的提示语
R1(config-webvpn)#logo file
flash:test.gif 显示登陆和主页上的标识图片
R1(config-webvpn)#idle-timeout
1800 SSLVPN 空闲超时时间,默认是1800s
2.1.5 建立URL
和端口转发条目
当用户成功验证后,会进入WebVpn 的主页(叫做入口页面).可以列出用户能够访问的URL
和端口转发的应用程序.默认为空.
2.1.5.1 入口页面URL
R1(config)#webvpn
R1(config-webvpn)#url-list SSLVPN
定义一个URL 列表为SSLVPN
R1(config-webvpn-url)#heading “Access URLs” 出现在主页上URL
的标题
R1(config-webvpn-url)#url-text test url-value http://www.test.com 超级连接的文本名字为:test, 真正的连接为: http://www.test.com
R1(config-webvpn-url)#exit
2.1.5.2
入口页面端口转发
实际是有点端口重定向的意思,当在客户端的CMD 下输入telnet 127.0.0.1
60002,将会远程登陆到192.168.1.3 上.建议本地的local-port 使用客户端没有采用的端口号. 一般大于60000 就可以了!
R1(config)#webvpn
R1(config-webvpn)#port-forward list ssh local-port
60001 remote-server
192.168.1.3 remote-port 22
R1(config-webvpn)#port-forward list telnet local-port 60002 remote-server
192.168.1.3 remote-port 23
注:WEBVPN
的基本配置就这些,不需要安全桌面.所以,配置起来还是比较方便的
如果远端客户端太多的话,不要用自发证书.因为会消耗路由器的资源.
2.1.6 维护WEB VPN
查看WebVPN 的会话:
Show webvpn session
查看WebVPN
的统计信息: Show webvpn
statistics