如何配置SSL VPN

如何配置SSL VPN,第1张

1、WebVPN准备工作。

c7206(config)# int fa0/0

c7206(config-if)# ip add 198.1.1.1 255.255.255.0

c7206(config-if)# no shutdown

c7206(config-if)# exit

!

c7206(config)# int fa2/0

c7206(config-if)# ip add 10.10.1.1 255.255.255.0

c7206(config-if)# no shutdown

c7206(config-if)# exit

!

c7206(config)# aaa new-model

c7206(config)# aaa authentication login default local

!为防止控制台超时而造成无法进入Exec,因此设置一个默认的认证方法,此配置与WebVPN无关。

!

c7206(config)# aaa authentication login aaa-webvpn local

c7206(config)# username steve6307 password cisco

!定义WebVPN认证方法

!

c7206(config)# webvpn gateway mygateway

c7206(config-webvpn-gateway)# ip address 198.1.1.1 port 443

c7206(config-webvpn-gateway)# inservice

!定义WebVPN在哪个接口上进行监听,此时IOS会自动产生自签名证书

!

c7206(config)# webvpn context mywebvpn-context1

c7206(config-webvpn-context)# gateway mygateway domain group1

c7206(config-webvpn-context)# aaa authentication list aaa-webvpn

c7206(config-webvpn-context)# inservice

!在IOS中,WebVPN的context相当于ASA的tunnel-group

!在IOS中,domain相当于ASA的group-alias

------------------------------------------------------

2、配置SSLVPN。

将7206的disk0:格式化。

c7206# format disk0:

------------------------------------------------------

将SVC拷贝到7200的disk0:(flash)中。

注意:使用dynamips模拟器的话,最好通过ftp来拷贝文件!

c7206(config)# ip ftp username cisco

c7206(config)# ip ftp password cisco

!

c7206# copy ftp disk0:

Address or name of remote host []? 202.195.30.66

Source filename []? sslclient-win-1.1.2.169.pkg

Destination filename [sslclient-win-1.1.2.169.pkg]?

Accessing ftp://202.195.30.66/sslclient-win-1.1.2.169.pkg...

Loading sslclient-win-1.1.2.169.pkg !!

[OK - 415090/4096 bytes]

415090 bytes copied in 22.900 secs (18126 bytes/sec)

------------------------------------------------------

安装SVC。

c7206(config)# webvpn install svc disk0:/sslclient-win-1.1.2.169.pkg

SSLVPN Package SSL-VPN-Client : installed successfully

------------------------------------------------------

c7206(config)# int loopback0

c7206(config-if)# ip address 192.168.10.254 255.255.255.0

c7206(config-if)# exit

!IOS中,如果地址池不和内网在一个段,则需创建一个loopback接口。

!

c7206(config)# ip local pool ssl-user 192.168.10.1 192.168.10.99

!

c7206(config)# webvpn context mywebvpn-context1

c7206(config-webvpn-context)# policy group context1-policy

c7206(config-webvpn-group)# functions svc-enabled

c7206(config-webvpn-group)# svc address-pool ssl-user

c7206(config-webvpn-group)# exit

!允许用户进行SSL VPN。

!

c7206(config-webvpn-context)# default-group-policy context1-policy

------------------------------------------------------

3、配置SSL VPN隧道分离(可选)。

c7206(config)# webvpn context mywebvpn-context1

c7206(config-webvpn-context)# policy group context1-policy

c7206(config-webvpn-group)# svc split include 10.10.1.0 255.255.255.0

第一步:配置身份证书

在这里我们生成一个名为sslvpnkeypair的自签名证书,并将这个自答名证书应用在“outside”接口上面。默认情况下,我们的安全设备每次重新启动以后,都全重新生成我们的证书,这个证书我们也可以从厂商购买自己的证书,这个证书即使我们的网络设备重启了它仍然存在。

第二步:将SSL VPN客户端映象上传到ASA

用户可以从思科的网站(cisco.com)获得客户端映象。在选择要下载哪个映象给TFTP服务器时,记住你需要为用户所使用的每种操作系统下载单独的映象。在选择并下载客户端软件后,就可以将其TFTP到ASA。如果没有的话,我可以提供一个给大家测试用用。

第三步:启用SSL VPN访问

如何不启用的话,那么我们输入网址将打不开该SSL VPN的页面。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/313136.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-04-29
下一篇2023-04-29

发表评论

登录后才能评论

评论列表(0条)

    保存