SSL VPN :
在做实验之前让咱们先来明白一下
现在市场上VPN 产品许多,并且技术各异,就比方传统的IPSec VPN来讲, SSL能让公司完成更多远程用户在不一样地点接入,完成更多网络资源访问,且对客户端装备要求低,因而降低了配置和运转支撑本钱。许多企业用户采用孙大剩SSL VPN作为远程平安接入技术,首要看重的是其接入控制功用。
SSL VPN 提供加强的远程平安接入功用。 IPSec VPN 议决在两站点间树立隧道提供直接〔非代理方式〕接入,完成对整个网络的透明访问;一旦隧道树立,用户PC 就好似物理地处于企业LAN 中。这带来许多平安风险,尤其是在接入用户权限过大的情况下。
SSLVPN 提供平安、可代理衔接,只需经认证的用户才干对资源执行访问,这就平安多了。 SSLVPN 能对加密隧道执行细分,从而使得终端用户能够同时接入会议小结 Internet 和访问内部企业网资源,也就是说它具有可控功用。另外,SSLVPN 还能细化接入控制功用,易于将不一样访问权限赋予不一样用户,完成伸缩性访问;这种准确的接入控制功用对远程接入IPSec VPN 来说几乎是不能够完成的。
SSL VPN 根本上不受接入位置限定,能够从众多 Internet 接入装备、任何远程位置访问网络资源。SSLVPN 通讯基于规* TCP/UDP 低血糖的原因协议传输,因而能遍历一切NAT装备、基于代理的防火墙和形态检测防火墙。这使得用户能够从任何地点接入,无论是处于其他公司网络中基于代理的防火墙之后,或是宽带衔接中。IPSec VPN 在稍庞杂的网络构造中难于完成,由于它很难完成防火墙和NAT恩断义绝遍历,没力处理IP地址冲突。
另外,SSLVPN能完成从可维护企业装备或非维护装备接入,如家用PC或公共Internet 接入场所,而IPSec VPN 客户端只好从可维护或固定装备接入。随着远程接入需求的不时增长,远程接入IPSec VPN 在访问控制方面遭到极大挑衅,并且维护和运转支撑本钱较高,它是完成点对点衔接的最好处理方案,但要完成恣意位置的远程平安接入,SSLVPN 要理想得多。
SSL VPN 不须要庞杂的客户端支撑,这就易于安装和配置,清楚降低本钱。IPSec VPN 须要在远程终端用户一方安装特定装备,以树立平安隧道,并且许多情况下在外部〔或非企业控制〕装备中树立隧道相当难处。另外,这类庞杂的客户端难于晋级,对新用户来说面对的费事能够更多,如系统运转支撑疑问、时间开支疑问、维护疑问等。 IPSec 处理方案原始本钱较低,但运转支撑本钱高。
如今,已有 SSL 开发商能提供网络层支持,执行网络运用访问,就好似远程机器处于 LAN 中一样;同时提供运用层接入,执行 Web 运用和许多客户端/效劳器运用访问。明白了上述根本要素之后,下面咱们将开端实验:
1,ASA 名人名言录的根本配置:
Archasa(config)# int e0/0
Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
Archasa(config-if)# nameif outside
Archasa(config-if)# no shut
Archasa(config-if)# e*it
Archasa(config)# int e0/1
Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
Archasa(config-if)# nameif inside
Archasa(config-if)# no shut
Archasa(config-if)# e*it
Archasa(config)# webvpn
Archasa(config-webvpn)# enable outside
Archasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.2.169.pkg
Archasa(config-webvpn)# svc enable
#上述配置是在外网口上启动WEBVPN ,并同时启动SSL VPN 功用
2、SSL VPN 配置预备任务
#树立SSL VPN 用户地址池
Archasa(config)# ip local pool ssl-ur 10.10.10.1-10.10.10.50
#配置SSL VPN 数据流不做NAT翻译
Archasa(config)# access-list go-vpn permit ip 172.20.50.0 255.255.255.0 10.10.10.0 255.255.255.0
Archasa(config)# nat (inside) 0 access-list go-vpn
3、WEB VPN 隧道组与战略组的配置
#树立名为mysslvpn-group-policy 的组战略
Archasa(config)# group-policy mysslvpn-group-policy internal
Archasa(config)# group-policy mysslvpn-group-policy attributes
Archasa(config-group-policy)# vpn-tunnel-protocol webvpn
Archasa(config-group-policy)# webvpn
#在组战略中启用力可以改变物体的什么SSL VPN
Archasa(config-group-webvpn)# svc enable
Archasa(config-group-webvpn)# e*it
Archasa(config-group-policy)# e*it
Archasa(config)#
#树立SSL VPN 用户
Archasa(config-webvpn)# urname test password woaicisco
#把mysslvpn-group-plicy 战略赋予用户test
Archasa(config)# urname test attributes
Archasa(config-urname)# vpn-group-policy mysslvpn-group-policy
Archasa(config-urname)# e*it
Archasa(config)# tunnel-group mysslvpn-group type webvpn
Archasa(config)# tunnel-group mysslvpn-group general-attributes
#运用用户地址池
Archasa(config-tunnel-general)# address-pool ssl-ur
Archasa(config-tunnel-general)# e*it
老公我爱你
Archasa(config)# tunnel-group mysslvpn-group webvpn-attributes
Archasa(config-tunnel-webvpn)# group-alias group2 enable
Archasa(config-tunnel-webvpn)# e*it
Archasa(config)# webvpn
Archasa(config-webvpn)# tunnel-group-list enable
4、配置SSL VPN 隧道分别
#留意,SSL VPN 隧道分别是可选取的,可依据理论需求来做。
#这里的源地址是ASA 的INSIDE 地址,目标地址一直是ANY
Archasa(config)# access-list split-ssl e*tended permit ip 10.10.1.0 255.255.255.0 any
Archasa(config)# group-policy mysslvpn-group-policy attributes
Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
根本上整个配置就完成了,下面能够执行测试:在浏览器中输入
s://192.168.0.1
访问WEBVPN,在随后弹出的对话框中输入用户名和密码单击登陆。这时系统会弹出要求安装SSL VPN CLIENT 顺序,单击"YES〞,系统自动安装并衔接SSLVPN ,在SSLVPN 连通之后在您的右下角的职务栏上会呈现一个小钥匙状,你能够双击翻开检查其形态。
随着现在互联网的飞速开展,企业规模也越来越大,一些分支企业、在外办公以及SOHO一族们,需要随时随地的接入到我们企业的网络中,来完成我们一些日常的工作,这时我们VPN在这里就成了一个比拟重要的一个角色了。
SSL VPN设备有很多。如Cisco 路由器、Cisco PI*防火墙、Cisco ASA 防火墙、Cisco VPN3002 硬件客户端或软件客户端。这极大地简化了远程端管理和配置。说的简单点就是在Server 米小圈上学记故事端配置复杂的策略和密钥管理等命令,而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术,主要的目的当然就是简化远端设备的配置和管理。
则今天我们看看我们要实现的是SSL VPN,那什么是SSL VPN呢?
SSL VPN是解决远程用户访问敏感公司数据最简单最平安的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN,这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。
什么是SSL VPN?
