百度 VPN 配置

第1章 WebVPN
概述
在IOS12.4(14)T 中,思科加入了SSL VPN. 在路由器上運行SSL VPN 叫做WEB VPN.
歸根結底,思科把VPN3000 集線器的WEBVPN 技術拿到了路由器上來.並且倒入了思科的IOS.
1.1 WEB VPN 對於使用者終端的需求:
   1.支援SSL
的瀏覽器(IE,Netscape,Mozilla 或者FireFox)
   2.Sum Microsystem Java Runtime(
連接埠的轉寄,thin client 特性)
   3.可選的E-Mail 用戶端:微軟的Outlook,Netscape Mail
或者Eudora
1.2 WEB VPN 的限制:
  
1.支援支SSL v3, 不支援TLS
   2.不支援Cisco 安全案頭和CiscoSSL VPN 用戶端端,所以Router
只能夠支援無客戶和瘦客戶的串連
   3.被Macromedia Flash 所調用的URL 不支援安全的檢索
1.3 WEB VPN 的優點
當訪問WEB VPN 的時候,VPN3000,ASA
和路由器所看到的介面是一樣的,所以對於客戶來說是不需要額外的技

第2章 WebVPN 的實施
建立WebVPN
的配置不是很複雜,本人通過Cisco2691 的模擬器進行配置實驗.
   1. 配置AAA,DNS 和認證(必須)
   2. 配置WebVPN( 必須)
   3. 建立URL 和連接埠轉寄題目(可選)
   4.
維護,監控WebVPN( 可選)
2.1 必須的配置方法
   1. 配置AAA 提供驗證客戶資訊
   2. 建立DNS 來解析URL
的名字資訊
   3. 為路由器擷取SSL 憑證
2.1.1
AAA 配置
進行SSL VPN 驗證的使用者資訊可以儲存在路由器本地(LOCAL),
或者TACACS+和RADIUS 的伺服器上.
R1(config)#aaa new-model   開啟AAA 功能
R1(config)#aaa authentication login
webvpn local 認證採用本機資料庫,認證的列表名字為webvpn

R1(config)#username test password test  建立一個本地賬戶為:test
如果需要儲存到證明伺服器,需要如下配置:
R1(config)#aaa
new-model  開啟AAA
功能
R1(config)#aaa authentication login webvpn group radius
認證資訊儲存到RADIUS 伺服器上,認證的列表名字為webvpn

R1(config)#radius-server host 192.168.1.1 key cisco
配置證明伺服器
R1(config)#username test
password test  建立一個本地賬戶為:test

2.1.2 DNS
的配置
DNS 的作用:
   1.保護SSL 的串連,建立RSA
金鑰組(需要一個公開金鑰,才能用派生演算法產生一個私密金鑰)
   2.解析URL 的名字
配置:
R1(config)#hostname
R1  必須
R1(config)#ip domain-name
cisco.com  必須
R1(config)#ip
name-server 192.168.1.1 讓192.168.1.1
解析FQDN
2.1.3 SSL
認證的配置
使用SSL, 啟動了WebVPN
的路由器需要一個認證:認證的密鑰用於保護使用者的案頭和路由器之間的資料. 獲得認證的方法:
   1. 通過一個CA( 憑證授權單位)擷取
  
2. 自行建立自簽發認證
   3. 通過CA 擷取罈子裡面的兄弟已經介紹過了.所以,我著重說明自簽發認證
R1(config)#crypto
pki trustpoint SSLVPN 指定信任點名字為SSLVPN

R1(ca-trustpoint)#enrollment selfsigned 指定要自簽發認證
R1(ca-trustpoint)#subject-name
CN=SSLVPN OU=Cisco O=Cisco 配置認證的組件:CN,OU,O

R1(ca-trustpoint)#rsakeypair SSLVPN 1024 指定RSA密鑰的標籤和建立的簽名,以及密鑰的模數(SSLVPN 為簽名)

R1(config)#crypto pki enroll SSLVPN 產生認證
%Includetherouterserialnumberinthesubjectname?[yes/no]:
*Mar 1 00:14:51.519: %SSH-5-ENABLED:
SSH 1.99 has been enabled
*Mar 1 00:14:51.539: %CRYPTO-6-AUTOGEN: Generated
new 1024 bit key pair
% Please answer 'yes' or 'no'.
%Include the router
serial number in the subject name?[yes/no]:
no % Include an IP address in the
subject name? [no]: no
Generate
Self Signed Router Certificate? [yes/no]: y
Router Self Signed
Certificate successfully created
2.1.4 WebVPN 的配置
現在可以建立WEBVPN:

R1(config)#webvpn enable gateway-addr 192.168.1.2  指定192.168.1.2 這個介面接收WEBVPN 的串連,如果路由器開啟了HTTPS
的功能,那麼必須指定gateway-addr( 其中192.168.1.2 為外網介面IP 位址)

R1(config)#webvpn R1(config-webvpn)#ssl trustpoint SSLVPN
載入一個認證信任點,就是剛才建立的自信任認證
R1(config-webvpn)#ssl
encryption 3des-sha1 選擇SSL
隧道加密的方式
R1(config-webvpn)#title “Welcome To SSLVPN”
通過認證後的首頁標題
R1(config-webvpn)#title-color  
標題用的顏色,預設是紫色
R1(config-webvpn)#text-color   標題列中文本的顏色
R1(config-webvpn)#secondary-color
輔助標題列的顏色
R1(config-webvpn)#secondary-text-color
black  輔助標題文本的顏色
R1(config-webvpn)#login-message
“Please enter Name and Password” 使用者執行驗證的提示
R1(config-webvpn)#logo file
flash:test.gif  顯示登陸和首頁上的標識圖片
R1(config-webvpn)#idle-timeout
1800 SSLVPN  空閑逾時時間,預設是1800s

2.1.5 建立URL
和連接埠轉寄條目
當使用者成功驗證後,會進入WebVpn 的首頁(叫做入口頁面).可以列出使用者能夠訪問的URL
和連接埠轉寄的應用程式.預設為空白.
2.1.5.1 入口頁面URL

R1(config)#webvpn
R1(config-webvpn)#url-list SSLVPN
定義一個URL 列表為SSLVPN
R1(config-webvpn-url)#heading “Access URLs” 出現在首頁上URL
的標題
R1(config-webvpn-url)#url-text test url-value http://www.test.com 超級串連的文本名字為:test, 真正的串連為: http://www.test.com

R1(config-webvpn-url)#exit
2.1.5.2
入口頁面連接埠轉寄
實際是有點連接埠重新導向的意思,當在用戶端的CMD 下輸入telnet 127.0.0.1
60002,將會遠程登陸到192.168.1.3 上.建議本地的local-port 使用用戶端沒有採用的連接埠號碼. 一般大於60000 就可以了!

R1(config)#webvpn
R1(config-webvpn)#port-forward list ssh local-port
60001 remote-server
192.168.1.3 remote-port 22

R1(config-webvpn)#port-forward list telnet local-port 60002 remote-server

192.168.1.3 remote-port 23
注:WEBVPN
的基本配置就這些,不需要安全案頭.所以,配置起來還是比較方便的
如果遠端用戶端太多的話,不要用自發認證.因為會消耗路由器的資源.
2.1.6 維護WEB VPN

查看WebVPN 的會話:
Show webvpn session
查看WebVPN
的統計資訊: Show webvpn
statistics