c7206(config)# int fa0/0
c7206(config-if)# ip add 198.1.1.1 255.255.255.0
c7206(config-if)# no shutdown
c7206(config-if)# exit
!
c7206(config)# int fa2/0
c7206(config-if)# ip add 10.10.1.1 255.255.255.0
c7206(config-if)# no shutdown
c7206(config-if)# exit
!
c7206(config)# aaa new-model
c7206(config)# aaa authentication login default local
!为防止控制台超时而造成无法进入Exec,因此设置一个默认的认证方法,此配置与WebVPN无关。
!
c7206(config)# aaa authentication login aaa-webvpn local
c7206(config)# username steve6307 password cisco
!定义WebVPN认证方法
!
c7206(config)# webvpn gateway mygateway
c7206(config-webvpn-gateway)# ip address 198.1.1.1 port 443
c7206(config-webvpn-gateway)# inservice
!定义WebVPN在哪个接口上进行监听,此时IOS会自动产生自签名证书。
!
c7206(config)# webvpn context mywebvpn-context1
c7206(config-webvpn-context)# gateway mygateway domain group1
c7206(config-webvpn-context)# aaa authentication list aaa-webvpn
c7206(config-webvpn-context)# inservice
!在IOS中,WebVPN的context相当于ASA的tunnel-group
!在IOS中,domain相当于ASA的group-alias
------------------------------------------------------
2、配置SSLVPN。
将7206的disk0:格式化。
c7206# format disk0:
------------------------------------------------------
将SVC拷贝到7200的disk0:(flash)中。
注意:使用dynamips模拟器的话,最好通过ftp来拷贝文件!
c7206(config)# ip ftp username cisco
c7206(config)# ip ftp password cisco
!
c7206# copy ftp disk0:
Address or name of remote host []? 202.195.30.66
Source filename []? sslclient-win-1.1.2.169.pkg
Destination filename [sslclient-win-1.1.2.169.pkg]?
Accessing ftp://202.195.30.66/sslclient-win-1.1.2.169.pkg...
Loading sslclient-win-1.1.2.169.pkg !!
[OK - 415090/4096 bytes]
415090 bytes copied in 22.900 secs (18126 bytes/sec)
------------------------------------------------------
安装SVC。
c7206(config)# webvpn install svc disk0:/sslclient-win-1.1.2.169.pkg
SSLVPN Package SSL-VPN-Client : installed successfully
------------------------------------------------------
c7206(config)# int loopback0
c7206(config-if)# ip address 192.168.10.254 255.255.255.0
c7206(config-if)# exit
!IOS中,如果地址池不和内网在一个段,则需创建一个loopback接口。
!
c7206(config)# ip local pool ssl-user 192.168.10.1 192.168.10.99
!
c7206(config)# webvpn context mywebvpn-context1
c7206(config-webvpn-context)# policy group context1-policy
c7206(config-webvpn-group)# functions svc-enabled
c7206(config-webvpn-group)# svc address-pool ssl-user
c7206(config-webvpn-group)# exit
!允许用户进行SSL VPN。
!
c7206(config-webvpn-context)# default-group-policy context1-policy
------------------------------------------------------
3、配置SSL VPN隧道分离(可选)。
c7206(config)# webvpn context mywebvpn-context1
c7206(config-webvpn-context)# policy group context1-policy
c7206(config-webvpn-group)# svc split include 10.10.1.0 255.255.255.0
第一步:配置身份证书在这里我们生成一个名为sslvpnkeypair的自签名证书,并将这个自答名证书应用在“outside”接口上面。默认情况下,我们的安全设备每次重新启动以后,都全重新生成我们的证书,这个证书我们也可以从厂商购买自己的证书,这个证书即使我们的网络设备重启了它仍然存在。
第二步:将SSL VPN客户端映象上传到ASA
用户可以从思科的网站(cisco.com)获得客户端映象。在选择要下载哪个映象给TFTP服务器时,记住你需要为用户所使用的每种操作系统下载单独的映象。在选择并下载客户端软件后,就可以将其TFTP到ASA。如果没有的话,我可以提供一个给大家测试用用。
第三步:启用SSL VPN访问
如何不启用的话,那么我们输入网址将打不开该SSL VPN的页面。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)