版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
CiscoSSLVPN配置实例
注意:这里得配置就是SSLVPN得隧道模式
一、网络拓扑图
二、SSLVPNServer配置
软件版本:
CiscoIOSSoftware,7200Software(C7200-ADVSECURITYK9-M),Version12、
4(9)T1,RELEASESOFTWARE(fc2)
VPN客户端软件:sslclient-win-1、1、2、169、pkg
1、格式化diskO
R1#formatdiskO:
Formatoperationmaytakeawhile>Continue?[confirm]
Formatoperationwilldestroyalldatain"disk。:"、Continue?[confirm]
Format:Drivemunication&1stSectorWriteOK、、、
WritingMonlibsectors、
Monlibwriteplete
Format:Allsystemsectorswritten.OK、、、
Format:Totalsectorsinformattedpartition:8009
Format:Totalbytesinformattedpartition:4100608
Format:Operationpletedsuccessfully
FormatofdiskOplete
2、上传软件
R1#copyt:
Addressornameofremotehost[]?192>168、10、100
Source[]?sslclient-win-1>1、2^169、pkg
Destination[sslclient-win-11、2、169、pkg]?
Accessingt、、、
Loadingsslclient-win-1、1、2、169、pkgfrom192、168、10、100(viaFastEthemetO/O):!!
[OK-415090bytes]
415090bytescopiedin12、892secs(32197bytes/sec)
3、安装client软件
R1(config)#webvpninstallsvcdisk0:/sslclient-win-11、2、169、pkg
SSLVPNPackageSSL-VPN-Client:installedsuccessfully
4、配置SSLVPN
R1(config)#aaanew-model
R1(config)#aaaauthenticationlogindefaultlocal〃为防止控制台超时而造成无法进
入Exec
R1(config))#aaaauthenticationloginwebvpnlocal
R1(config)#iplocalpoolssl-add11、1、1、1011、1、1、20
R1(config)#usernameuseripassword123〃定义WebVPN本地认证用户名,密码
R1(config))#webvpngatewayvpngateway〃定义WebVPN在哪个接口上进行监听.此时
IOS会自动产生自签名证书。
R1(config-webvpn-gateway)#ipaddress192>168,10>10port443
R1(config-webvpn-gateway)#inservice〃启用webvpngateway酉己置
R1(config)#webvpncontextwebcontext〃定义webvpn得相关配置,相当J-ASA得
tunnelgroup,在这里可以定义
R1(config-webvpn-context)#gatewayvpngateway〃将context与gateway相关联
R1(config-webvpn-context)#aaaauthenticationlistwebvpn
R1(config-webvpn-context)#inservice〃启用webvpncontext配置
R1(config-webvpn-context)#policygroupsslvpn-policy〃进入sslvpn策略组
R1(config-webvpn-group)#functionssvc-enabled
R1(config-webvpn-group)#svcaddress-poolssl-add〃分配svc使用得地址池
R1(config-webvpn-group)#svcsplitinclude192>168、20、0255、255、255、0〃定
义隧道分离得目标地址,如果不配置,则默认为0、0、0、0
R1(config-webvpn-group)#exit
R1(config-webvpn-context)#default-group-policyssvpn-policy〃当配置了多个policy
group后,默认使用得策略组
注意:
在IOS中,如果地址池不与内网在一个段,则需创建一个与地址池在同一网段得loopback
接口作为vpn客户端得网关。
还可以在context中指定virtual-host,类似于iis中得文件头,允许多个主机映射到同一个
IP地址
同时context中还可以设置web登陆框得样式,比如logo,title等
5、完整配置
R1#showrunning-config
Buildingconfiguration>、、
Currentconfiguration:3223bytes
!
version12^4
servicetimestampsdebugdatetimemsec
servicetimestampslogdatetimemsec
noservicepassword-encryption
hostnameR1
boot-start-marker
boot-end-marker
!
!
aaanew-model
!
!
aaaauthenticationlogindefaultlocal
aaaauthenticationloginwebvpnlocal
!
aaasession-idmon
!
resourcepolicy
ipcef
cryptopkitrustpointTP-self-signed-4294967295
enrollmentselfsigned
subject-namecn=IOS-Self-Signed-Certificate-4294967295
revocation-checknone
rsakeypairTP-self-signed-4294967295
I
!
cryptopkicertificatechainTP-self-signed-4294967295
certificateself-signed01
3082023A308201A3A003020102020101300D06092A864886F70D0101
04050030
31312F302D06035504031326494F532D53656C662D5369676E65642D
43657274
696669636174652D34323934393637323935301E170D331393039
30335A170D32333303030305A3031312F302D0603550403132649
4F532D53656C662D5369676E65642D43657274696669636174652D34
32393439
363732393530819F300D06092A864886F70D010101050003818D0
8100C6F2B499879D1CEB3638BA59B459A72167BBFDD2CD733E3E6FB6
D1347E43
8CC21C65BAC01E285001349771CF8062C54F254CA6DB2D5ACDDB864D
CFF71A50
F3C205661405E49B18CE2DAB469C58E85B4A1FD659DCBCA512A34543
4F6842B6
24B9A7BDCE36E98AA5463EB32D2C5BC0FAA247C1E44DB4554537465F
18895A14
66D1UZU3U1UUU1A3623U6U3UUFU603551D1301U1FF04053UU3U1U1FF
300D0603
551D110406300482025231301F0603551D230418301680149F7F1B46
F6903BC5
803F4AD72433EBD05813E29D301D0603551D0E041604149F7F1B46F6
903BC580
3F4AD72433EBD05813E29D300D06092A864886F70D01010405000381
81002516
3F75E2AA335441139A9179DBDFED2529DF5A972FC2BFDE0E0279D1F5
8D30CAC7
59BE79C685825281AB2D0B082CA84D0185A4DB198977BC829E59F764
ADE75E22
9A7FF37A9D83819A2287BE75773FAA32D38DD3C22C0DF23F7D45D7A3
E8006C1A
6B9E0540124832416EEAA0FFB31240F394044BCB75210037FEF5AD15
F49B
quit
usernameuseripassword0123
!
!
I
!
!
!
interfaceLoopbackO
ipaddress111、1、1255、255、255、0
I
interfaceFastEthernetO/O
ipaddress192>168、10、10255、255、255、0
duplexhalf
!
interfaceSerial1/0
ipaddress10^1、1、1255、255、255、0
serialrestart-delay0
!
interfaceSerial1/1
noipaddress
shutdown
serialrestart-delayU
!
interfaceSerial1/2
noipaddress
shutdown
serialrestart-delay0
!
interfaceSerial1/3
noipaddress
shutdown
serialrestart-delay0
!
routerrip
version2
network10、0、0、0
network11、0、0、0
network192、168、10、0
noauto-summary
!
iplocalpoolssl-add11、1、1、1011、1、1、20
noipserver
noipsecure-server
!
!
!
loggingalarminformational
i
i
control-plane
!
!
linecon0
exec-timeout00
stopbits1
lineaux0
stopbits1
linevty04
!
!
webvpngatewayvpngateway
ipaddress192,168、10、10port443
ssltrustpointTP-self-signed-4294967295
inservice
!
webvpninstallsvcdiskO:/webvpn/svc^pkg
!
webvpncontextwebcontext
sslauthenticateverifyall
!
!
policygroupsslvpn-policy
functionssvc-enabled
svcaddress-pool"ssl-add"
svcsplitinclude192>168^20、0255、255、255、0
default-group-policysslvpn-policy
aaaauthenticationlistwebvpn
gatewayvpngatewaydomainsshvpn
inservice
!
!
end
R2#showrunning-config
Buildingconfiguration.、、
Currentconfiguration:973bytes
!
version12、4
servicetimestampsdebugdatetimemsec
servicetimestampslogdatetimemsec
noservicepassword-encryption
!
hostnameR2
!
boot-start-marker
boot-end-marker
!
!
noaaanew-model
!
resourcepolicy
ipcef
interfaceLoopbackl
ipaddress22.1、1、1255、255、255、0
!
interfaceFastEthernetO/O
ipaddress192>168、20、10255、255、255、0
duplexhalf
I
interfaceSerial1/0
ipaddress10.1、1、2255、255、255、252
serialrestart-delay0
!
interfaceSerial1/1
noipaddress
shutdown
serialrestart-delay0
!
interfaceSerial1/2
noipaddress
shutdown
serialrestart-delay0
!
interlaceSerial1/3
noipaddress
shutdown
serialrestart-delay0
!
routerrip
version2
network10、0、0>0
network22.0、0、0
network192、168、20、0
noauto-summary
!
noipserver
noipsecure-server
!
!
!
loggingalarminformational
!
!
!
!
!
control-plane
!
!
linecon0
exec-timeout00
stopbits1
lineaux0
stopbits1
linevty04
!
end
三、客户端配置
在浏览器中输入访问WebVPN,这时会弹出提示信息,点击“确定”
需要安装证书,点击“就是",这里第一个感叹号就是因为这个证书只路由器自签发得,没有
经过验证,而第二个感叹号就是因为配置WebVPN时应该注意证书颁发后得证书得有效期,
往往颁发证书时得有有效期限时间会比当前时间晚一二天
安全善强因
您与谡站点交换的信息不会被其它人查看或更改。但谡站点
拧的安全证书有问期。
该安全证书由您没有选定信任的公司颁发.可以查看
证书以便确定您是否信任该验证机构。
该安全证书已到期或还未生效0
安全证书上的名称无效,或者与站点名称不匹配。
是否继笠?
是QL)「一香⑨…J[查看证书处)]
这时会弹出网页,输入用户与密码,点击login
3frbTPKService-licrosoftInternetExplorer
文件中制船工)fiftd)樗⑷Xfld)制断8)
ww心/台食ee备融回,
,眈Ohups//itt16610htnl
WebVPNService
Login
Pleaseenteryourusernameandpassword
Username:useri
Password:•••
LognMCie”
这时会自动安装SSLVPNClient软件
http<://192...IX
EnterWebAddress(URL)
3■
需要点击允许安装ACTIVE控件,会弹出安装界面,点击安装
正在进行SSLVPNClient
inn.SSLVPNCU04TforWEBVPN
Theinstallornasbeenlaunched.
IftheCiscoSSLVPNClientdoesnotstart
properly,Clic<heretoendthesession
cleanly.
■HLSSLVPNCu^lforWEBVPN
TheEtellerIsextrsrtinotherequiredfiles.Please
点击安装证书
证书0®
常视详细信息证书路径
闻证和信息
发给:IOS-S«1£-Si14294g67295
破发者:IOS-Self-Signed-Certificite_4294967295
有效起始日期2008-12-16到2320-1-1
;安装证书道二二颁发者说明9
安装证书之后,这样VPN连接就建立起来,在屏幕得右下部会显示出黄色得小钥匙得标
四、验证配置
在客户端上可以查瞧VPN得状态。
9CiscoSystemsSSLVPHClient
CtscthSTIMS
IMLSSLVPNCUENTforWEBVPN
iU.LLH.LdRouteDetailsAbout
AddressInforB&tionSSLInferB&tion
Server:192.168.10.10Cipher:BC4WD5
Client:11.1.1.10Version:TLSvl
BytesTransportInformation.
Sent:7129LocalLAN:Disabled
Received;980SplitEnabled
FraaesConnectionIn.foraation
Sent:43Tims:00:01:05
Received:12
可以查瞧VPN隧道得分离子网。
.CiscoSyste*sSSLVPNClient区
HLSSLVPNCUENTforWEBVPN
StatisticsiBouteDeull?l|kbout|
LocalLASKontesSecureRoutes
KetworkSubnetM^skNetworkSubnetMask
192.1682
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 珠宝行业市场分析员应知应会知识题
- 软件开发工程师面试题及答案详解
- 深度解析(2026)GBT 19247.1-2003印制板组装 第1部分通 用规范 采用表面安装和相关组装技术的电子和电气焊接组装的要求
- 玫瑰痤疮术后中医辅助护理方案
- 分光仪项目可行性分析报告范文(总投资6000万元)
- 环境湿度与皮肤刺激性的相关性研究
- 深度解析(2026)《GBT 18916.55-2021取水定额 第55部分:皮革》
- 企业人力资源管理专业面试题
- 生物技术员面试题及基因工程含答案
- 渔业技术员面试题及捕捞技术考核含答案
- 支撑梁钢筋自动计算表模板
- 生物安全实验室自查报告及整改措施
- 2026年党支部主题党日活动方案
- 夫妻调解和好协议书
- 医疗健康大数据的精准营养方案
- 幼儿园中班交通安全教育课件
- 食堂卫生检查与考核标准建立
- 2025 年国家层面数据资产政策汇编(全景解读版)
- 2025新疆交通投资(集团)有限责任公司所属公司招聘26人笔试历年典型考点题库附带答案详解2套试卷
- 2025年成本会计考试题及答案6
- 全域土地综合整治项目社会稳定风险评估报告
评论
0/150
提交评论