如何配置SSL VPN

1、WebVPN准备工作。

c7206(config)# int fa0/0

c7206(config-if)# ip add 198.1.1.1 255.255.255.0

c7206(config-if)# no shutdown

c7206(config-if)# exit

!

c7206(config)# int fa2/0

c7206(config-if)# ip add 10.10.1.1 255.255.255.0

c7206(config-if)# no shutdown

c7206(config-if)# exit

!

c7206(config)# aaa new-model

c7206(config)# aaa authentication login default local

!为防止控制台超时而造成无法进入Exec，因此设置一个默认的认证方法，此配置与WebVPN无关。

!

c7206(config)# aaa authentication login aaa-webvpn local

c7206(config)# username steve6307 password cisco

!定义WebVPN认证方法

!

c7206(config)# webvpn gateway mygateway

c7206(config-webvpn-gateway)# ip address 198.1.1.1 port 443

c7206(config-webvpn-gateway)# inservice

!定义WebVPN在哪个接口上进行监听，此时IOS会自动产生自签名证书。

!

c7206(config)# webvpn context mywebvpn-context1

c7206(config-webvpn-context)# gateway mygateway domain group1

c7206(config-webvpn-context)# aaa authentication list aaa-webvpn

c7206(config-webvpn-context)# inservice

!在IOS中，WebVPN的context相当于ASA的tunnel-group

!在IOS中，domain相当于ASA的group-alias

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

2、配置SSLVPN。

将7206的disk0:格式化。

c7206# format disk0:

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

将SVC拷贝到7200的disk0:（flash）中。

注意：使用dynamips模拟器的话，最好通过ftp来拷贝文件！

c7206(config)# ip ftp username cisco

c7206(config)# ip ftp password cisco

!

c7206# copy ftp disk0:

Address or name of remote host []? 202.195.30.66

Source filename []? sslclient-win-1.1.2.169.pkg

Destination filename [sslclient-win-1.1.2.169.pkg]?

Accessing ftp://202.195.30.66/sslclient-win-1.1.2.169.pkg...

Loading sslclient-win-1.1.2.169.pkg !!

[OK - 415090/4096 bytes]

415090 bytes copied in 22.900 secs (18126 bytes/sec)

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

安装SVC。

c7206(config)# webvpn install svc disk0:/sslclient-win-1.1.2.169.pkg

SSLVPN Package SSL-VPN-Client : installed successfully

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

c7206(config)# int loopback0

c7206(config-if)# ip address 192.168.10.254 255.255.255.0

c7206(config-if)# exit

!IOS中，如果地址池不和内网在一个段，则需创建一个loopback接口。

!

c7206(config)# ip local pool ssl-user 192.168.10.1 192.168.10.99

!

c7206(config)# webvpn context mywebvpn-context1

c7206(config-webvpn-context)# policy group context1-policy

c7206(config-webvpn-group)# functions svc-enabled

c7206(config-webvpn-group)# svc address-pool ssl-user

c7206(config-webvpn-group)# exit

!允许用户进行SSL VPN。

!

c7206(config-webvpn-context)# default-group-policy context1-policy

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

3、配置SSL VPN隧道分离（可选）。

c7206(config)# webvpn context mywebvpn-context1

c7206(config-webvpn-context)# policy group context1-policy

c7206(config-webvpn-group)# svc split include 10.10.1.0 255.255.255.0

怎么搭建VPN服务器呢？下面我来教大家。

首先，我们点击电脑桌面左下角的微软按钮，弹出的界面，我们点击设置；

弹出的界面，我们点击网络和Internet；

弹出的界面，我们点击VPN；

弹出的界面，我们点击添加VPN连接；

弹出的界面，我们输入相关信息，最后，我们点击保存就可以了，这样我们就搭建VPN服务器了。

头条：

简单易懂网络安全技术SSL VPN全面解析 面试必备

SEO：

思科CCIE 网络安全技术SSL VPN 全面详解

       SSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP协议）为基础的VPN技术，工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。

       SSLVPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。与复杂的IPSecVPN相比，SSL通过相对简易的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要像传统IPSecVPN一样必须为每一台客户机安装客户端软件。

       SSL VPN广泛应用于基于Web的远程安全接入，为用户远程访问公司内部网络提供了安全保证。SSL VPN的典型组网架构如图 1所示。管理员在SSL VPN网关上创建企业网内服务器对应的资源；远程接入用户访问企业网内的服务器时，首先与SSL VPN网关建立HTTPS连接，选择需要访问的资源，由SSL VPN网关将资源访问请求转发给企业网内的服务器。SSL VPN通过在远程接入用户和SSL VPN网关之间建立SSL连接、SSL VPN网关对用户进行身份认证等机制，实现了对企业网内服务器的保护。

       SSL VPN的工作机制为：

       (1)        管理员以HTTPS方式登录SSL VPN网关的Web管理界面，在SSL VPN网关上创建与服务器对应的资源。

       (2)        远程接入用户与SSL VPN网关建立HTTPS连接。通过SSL提供的基于证书的身份验证功能，SSL VPN网关和远程接入用户可以验证彼此的身份。

       (3)        HTTPS连接建立成功后，用户登录到SSL VPN网关的Web页面，输入用户名、密码和认证方式（如RADIUS认证），SSL VPN网关验证用户的信息是否正确。

       (4)        用户成功登录后，在Web页面上找到其可以访问的资源，通过SSL连接将访问请求发送给SSL VPN网关。

       (5)        SSL VPN网关解析请求，与服务器交互后将应答发送给用户。

       SSL VPN是一种既简单又安全的远程隧道访问技术，使用非常简单。SSL VPN采用公匙加密的方式来保障数据在传输的过程中的安全性，它采用浏览器和服务器直接沟通的方式，既方便了用户的使用，又可以通过SSL协议来保证数据的安全。SSL协议是采用SSL/TLS综合加密的方式来保障数据安全的。SSL协议从其使用上来说可以分为两层：第一层是SSL记录协议，这种协议可以为数据的传输提供基本的数据压缩、加密等功能；第二层是SSL握手协议，主要用于检测用户的账号密码是否正确，进行身份验证登录。与IPSec VPN相比，SSL VPN具有架构简单、运营成本低、处理速度快、安全性能高的特点，所以在企业用户中得到大规模的使用。但是SSL协议是基于WEB开发的，通过浏览器来使用，由于近年来电脑病毒的多样性，要想保障SSL VPN的安全运营，就需要在SSL VPN的安全技术上有所更新。

认证方式：

1) LDAP认证：

       系统组织已经采用LDAP进行用户管理。它只需要在SSL VPN设备中根据LDAP中的OU组结构建立用户组结构，并为用户组绑定相应的OU结构，不需要再在设备中建立具体用户。当用户向SSL VPN提交用户名密码认证身份时，SSL VPN可自动将此认证信息提交给LDAP认证，并根据反馈的信息判断该用户是否为合法用户。

1) Radius认证

       在 SSL VPN设备中建立相应的用户组结构，并选用Radius认证并绑定相应的Class属性值。当用户向SSL VPN提交用户名密码认证信息时，SSL VPN就会将此信息以标准的Radius协议格式向Radius服务器发出认证请求，之后Radius将返回认证结果。

1) CA认证

       内置CA的SSL VPN安全网关，可以支持PKI体系的认证。

1) USB KEY认证

       将CA中心生成的数字证书颁发给USB KEY，并为该USB KEY设置PIN码。利用“硬件存储数字证书+PIN码”的方式为用户提供高安全的认证方式。

1) 硬件绑定

       仅使用用户名/密码认证的用户，为了保证用户登录 SSL VPN限定在某一台或是某几台客户端上，有效解决用户账号意外泄露、账号盗用导致数据泄露的问题，可绑定登录客户端。通常情况下，客户端绑定都是采用IP/MAC、MAC、IP绑定方式实现的。

1) 动态令牌认证

       动态令牌认证是技术领先的一种双因素身份认证体系，内嵌特殊运算芯片，与事件同步的技术手段。它是通过符合国际安全认可的OATH动态口令演算标准，使用HMAC-SHA1算法产生6位动态数字进行一次一密的方式认证。

        SSL VPN认证方式多种多样，指定的用户登录SSL VPN后，通过指定的账号访问指定的应用，可以达到增强重要系统认证安全性的目的。

了解最新开班，最新课程优惠，获取免费视频！一定要+WXdcm220681哦！

---