如何配置SSL VPN

1、WebVPN准备工作。

c7206(config)# int fa0/0

c7206(config-if)# ip add 198.1.1.1 255.255.255.0

c7206(config-if)# no shutdown

c7206(config-if)# exit

!

c7206(config)# int fa2/0

c7206(config-if)# ip add 10.10.1.1 255.255.255.0

c7206(config-if)# no shutdown

c7206(config-if)# exit

!

c7206(config)# aaa new-model

c7206(config)# aaa authentication login default local

!为防止控制台超时而造成无法进入Exec，因此设置一个默认的认证方法，此配置与WebVPN无关。

!

c7206(config)# aaa authentication login aaa-webvpn local

c7206(config)# username steve6307 password cisco

!定义WebVPN认证方法

!

c7206(config)# webvpn gateway mygateway

c7206(config-webvpn-gateway)# ip address 198.1.1.1 port 443

c7206(config-webvpn-gateway)# inservice

!定义WebVPN在哪个接口上进行监听，此时IOS会自动产生自签名证书。

!

c7206(config)# webvpn context mywebvpn-context1

c7206(config-webvpn-context)# gateway mygateway domain group1

c7206(config-webvpn-context)# aaa authentication list aaa-webvpn

c7206(config-webvpn-context)# inservice

!在IOS中，WebVPN的context相当于ASA的tunnel-group

!在IOS中，domain相当于ASA的group-alias

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

2、配置SSLVPN。

将7206的disk0:格式化。

c7206# format disk0:

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

将SVC拷贝到7200的disk0:（flash）中。

注意：使用dynamips模拟器的话，最好通过ftp来拷贝文件！

c7206(config)# ip ftp username cisco

c7206(config)# ip ftp password cisco

!

c7206# copy ftp disk0:

Address or name of remote host []? 202.195.30.66

Source filename []? sslclient-win-1.1.2.169.pkg

Destination filename [sslclient-win-1.1.2.169.pkg]?

Accessing ftp://202.195.30.66/sslclient-win-1.1.2.169.pkg...

Loading sslclient-win-1.1.2.169.pkg !!

[OK - 415090/4096 bytes]

415090 bytes copied in 22.900 secs (18126 bytes/sec)

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

安装SVC。

c7206(config)# webvpn install svc disk0:/sslclient-win-1.1.2.169.pkg

SSLVPN Package SSL-VPN-Client : installed successfully

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

c7206(config)# int loopback0

c7206(config-if)# ip address 192.168.10.254 255.255.255.0

c7206(config-if)# exit

!IOS中，如果地址池不和内网在一个段，则需创建一个loopback接口。

!

c7206(config)# ip local pool ssl-user 192.168.10.1 192.168.10.99

!

c7206(config)# webvpn context mywebvpn-context1

c7206(config-webvpn-context)# policy group context1-policy

c7206(config-webvpn-group)# functions svc-enabled

c7206(config-webvpn-group)# svc address-pool ssl-user

c7206(config-webvpn-group)# exit

!允许用户进行SSL VPN。

!

c7206(config-webvpn-context)# default-group-policy context1-policy

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

3、配置SSL VPN隧道分离（可选）。

c7206(config)# webvpn context mywebvpn-context1

c7206(config-webvpn-context)# policy group context1-policy

c7206(config-webvpn-group)# svc split include 10.10.1.0 255.255.255.0

第一步：配置身份证书

在这里我们生成一个名为sslvpnkeypair的自签名证书，并将这个自答名证书应用在“outside”接口上面。默认情况下，我们的安全设备每次重新启动以后，都全重新生成我们的证书，这个证书我们也可以从厂商购买自己的证书，这个证书即使我们的网络设备重启了它仍然存在。

第二步：将SSL VPN客户端映象上传到ASA

用户可以从思科的网站(cisco.com)获得客户端映象。在选择要下载哪个映象给TFTP服务器时，记住你需要为用户所使用的每种操作系统下载单独的映象。在选择并下载客户端软件后，就可以将其TFTP到ASA。如果没有的话，我可以提供一个给大家测试用用。

第三步：启用SSL VPN访问

如何不启用的话，那么我们输入网址将打不开该SSL VPN的页面。

---