Cisco SSL ××× 配置詳解
基於SSL、DTLS和IPsec的徹底網絡遠程訪問--徹底網絡訪問幾乎可以爲任何應用或網絡資源提供網絡層遠程用戶鏈接,並且一般可以將接入擴展到託管計算機,例如公司擁有的筆記本電腦。創建鏈接時,能夠使用自動下載的Cisco AnyConnect ××× Client、Cisco IPsec ××× Client 以及 Microsoft和 Mac OS X第2層通道協議(L2TP)/IPsec ××× Client。Cisco AnyConnect ××× Client 將自動基於網絡限制使其通道協議適應最有效的方法。這是使用 DTLS 協議爲延遲敏感型流量提供優化鏈接的第一種 ××× 產品,例如IP語音(VoIP)流量或基於 TCP 的應用接入。
試驗目的:
掌握
SSL ×××
的配置步驟
掌握如何安裝
SSL ××× client
試驗準備工做:
路由器
IOS
使用
c7200-advipservicesk9_li-mz.124-11.t.bin
SSL ×××
客戶端軟件:
sslclient-win-1.1.3.173.pkg
此文件能夠從
Cisco
站點下載,或者
SDM 2.4.1
軟件的安裝包,默認就自帶此版本
試驗拓撲:
試驗過程:
第一步:
對路由器進行基礎配置,測試直連通信是否正常
第二步:
將
SSL ××× Server
的時間設置準確,已保證能客戶端時間同步
第三步:
將
Cisco SSL ××× Client
軟件,使用
TFTP Server
安裝到路由器的
disk0:
中,並完成初始化安裝
第四步:
啓用
AAA
,並配置
SSL ××× Client
撥號的用戶名和密碼,並指定認證方式爲
AAA
本地認證,配置分配給
SSL client
地址池範圍
第五步:
定義
Web***
的策略集,指定客戶端的訪問地址,端口等信息
第六步:
關聯地址池,關聯
AAA
認證策略,定義
Client
撥號的策略,以及
DNS
地址等
第七步:
由於
SSL ××× Client
軟件,目前還不支持
windows 7
平臺,故撥號我將在
windows XP
環境下進行。使用
https
的方式訪問
SSL ××× SERVER
,
Windows XP
必須先安裝
jre
,
SSL ××× Client
是基於
jAVA
環境運行的。
設置
IE6
容許彈出窗口
此時將進入
WEB××× Service
,登陸頁面,輸入
SSL ××× server
上定義的撥號用戶名和密碼
|
SSL#sh ip int brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES unset administratively down down
FastEthernet0/1 unassigned YES unset administratively down down
SSL#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SSL(config)#int f0/0
SSL(config-if)#ip add 192.168.10.11 255.255.255.0
SSL(config-if)#no sh
SSL(config-if)#int f0/1
SSL(config-if)#ip add 192.168.204.11 255.255.255.0
SSL(config-if)#no sh
SSL(config-if)#end
SSL#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 4/35/84 ms
SSL#ping 192.168.204.11
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.204.11, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/7/8 ms
SSL#
|
|
SSL(config)#clock timezone UTC +8
SSL(config)#exit
SSL#clock set 18:38:00 24 Mar 2010
SSL#
Mar 24 10:38:00.003: %SYS-6-CLOCKUPDATE: System clock has been updated from 18:37:25 UTC Wed Mar 24 2010 to 18:38:00 UTC Wed Mar 24 2010, configured from console by console.
SSL#
SSL#show clock
18:38:46.483 UTC Wed Mar 24 2010
|
|
SSL#format disk0:
Format operation may take a while. Continue? [confirm]
Format operation will destroy all data in "disk0:". Continue? [confirm]
Format: Drive communication & 1st Sector Write OK...
Writing Monlib sectors.
.....................................................................................................................................................
Monlib write complete
Format: All system sectors written. OK...
Format: Total sectors in formatted partition: 130883
Format: Total bytes in formatted partition: 67012096
Format: Operation completed successfully.
Format of disk0 complete
SSL#copy tftp disk0:
Address or name of remote host []? 192.168.10.1
Source filename []? sslclient-win-1.1.3.173.pkg
Destination filename [sslclient-win-1.1.3.173.pkg]?
Accessing tftp://192.168.10.1/sslclient-win-1.1.3.173.pkg...
Loading sslclient-win-1.1.3.173.pkg from 192.168.10.1 (via FastEthernet0/0): !!
[OK - 416354 bytes]
416354 bytes copied in 16.064 secs (25918 bytes/sec)
SSL#dir disk0:
Directory of disk0:/
1-rw- 416354 Mar 24 2010 18:45:20 +08:00 sslclient-win-1.1.3.173.pkg
66846720 bytes total (66428928 bytes free)
使用
web***
命令將
sslclient
完成初始化安裝
SSL(config)#web*** install svc disk0:/sslclient-win-1.1.3.173.pkg
SSL××× Package SSL-×××-Client : installed successfully
SSL(config)#exit
SSL#dir disk0:
Directory of disk0:/
1 drw- 0 Mar 24 2010 18:50:46 +08:00 web***
66846720 bytes total (66424832 bytes free)
|
|
SSL(config)#aaa new-model
SSL(config)#aaa authentication login web*** local
SSL(config)#
SSL(config)#username admin privilege 15 password admin
在路由器建立迴環接口來模擬
SSL ××× Client
的網關地址,並定義地址池
SSL(config)#int lo0
SSL(config-if)#ip add 192.168.0.254 255.255.255.0
SSL(config-if)#exit
SSL(config)#ip local pool ssl***-pool 192.168.0.100 192.168.0.253
|
|
//
配置
web***
的網名名稱爲
×××GW
SSL(config)#web*** gateway ×××GW
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSL(config-web***-gateway)#?
SSL××× Gateway Submode commands:
exit Exit from gateway configuration mode
hostname Hostname used in URL & Cookie mangling
http-redirect enable HTTP redirect feature
inservice Enable web*** gateway
ip Virtual Gateway IP config
no Negate or set default values of a command
ssl SSL configurations for front end client connections
//
配置虛擬網關
IP
,以及開放的端口
SSL(config-web***-gateway)#ip address 192.168.204.11 port 443
//
開啓
web***
網關服務
SSL(config-web***-gateway)#inservice
|
|
SSL(config)#web*** context WEBTEXT
//
關聯虛擬網關的名稱
SSL(config-web***-context)#gateway ×××GW
SSL(config-web***-context)#
//
關聯
AAA
認證策略
SSL(config-web***-context)#aaa authentication list web***
//
開啓服務
SSL(config-web***-context)#inservice
SSL(config-web***-context)#
Mar 24 11:06:02.687: %SSL×××-5-UPDOWN: ssl*** context : WEBTEXT changed state to UP
//
定義策略組的名稱爲
SSL×××-POLICY
SSL(config-web***-context)#policy group SSL×××-POLICY
SSL(config-web***-group)#functions svc-enabled
//
關聯地址池名稱
SSL(config-web***-group)#svc address-pool ssl***-pool
SSL(config-web***-group)#banner "This IS Cisco IOS SSL ××× "
//
配置首選
DNS
,備用
DNS
地址
SSL(config-web***-group)#svc dns-server primary 218.30.19.40
SSL(config-web***-group)#svc dns-server secondary 61.134.1.4
SSL(config-web***-group)#svc split include 192.168.10.0 255.255.255.0
SSL(config-web***-group)#exit
//
應用到默認的策略組
SSL(config-web***-context)#default-group-policy SSL×××-POLICY
SSL(config-web***-group)#exit
SSL(config-web***-context)#exit
SSL(config)#exit
SSL#write memory
Building configuration...
[OK]
|
打開
IE
瀏覽器,使用
https
方式登陸到
SSL ××× SERVER
,當彈出安全警報時,點擊「是」
繼續點擊「是」接受「安全警報」
此時,開始進入會話初始化階段,將看到咱們定義的「
banner
」消息
第八步
:
從路由器上下載
SSL ××× Client
,安裝到
XP
上
若是
IE6
的安全級別爲默認的設置,將不會主動安裝
ActiveX
控件,此時會彈出窗口,詢問咱們是否安裝非活動
ActiveX
控件,以下圖所示:點擊安裝
ActiveX
控件,瀏覽器將從
××× Server
上下載安裝
SSL ××× client
軟件,注意觀察,瀏覽器已經正常加載了
Java
。
點擊「
yes
」贊成安裝協議
如圖所示:已經從
××× client
成功下載完
Cisco SSL ××× Client
,點擊「安裝」
安裝進行時,請稍等。。。。。。
SSL ×××
認證過程當中,提示找不到有效證書,點擊「是」下載安裝證書
點擊「安裝證書」,將證書安裝到系統當中
下一步
選擇默認安裝路徑便可,下一步
點擊「是」確認安裝此證書
證書完成以後,再次發起鏈接,嘗試進入
SSL ××× Client
撥號階段,點擊「是」
正在創建鏈接中
SSL ××× Client
會話已經創建完成,
×××
撥入成功
雙擊「金×××鑰匙」圖標,查看鏈接狀態的,路由信息等,客戶端成功創建以後,從定義的地址池中得到
IP
地址爲
192.168.0.100
第九步:
檢查
SSL ××× Server
的工做狀態
|
SSL#show ip local pool
Pool Begin End Free In use
ssl***-pool 192.168.0.100 192.168.0.253 153 1
SSL#show web*** session context WEBTEXT
Web××× context name: WEBTEXT
Client_Login_Name Client_IP_Address No_of_Connections Created Last_Used
admin
192.168.204.111 1 00:07:09 00:00:50
SSL#show web*** stats
User session statistics:
Active user sessions : 2 AAA pending reqs : 0
Peak user sessions : 2 Peak time : 00:16:11
Active user TCP conns : 1 Terminated user sessions : 1
Session alloc failures : 0 Authentication failures : 0
××× session timeout : 0 ××× idle timeout : 0
User cleared ××× sessions: 0 Exceeded ctx user limit : 0
Exceeded total user limit: 0
CEF switched packets - client: 0 , server: 0
CEF punted packets - client: 0 , server: 0
|
第十步
:
SDM
,能夠實時監控
SSL ×××
狀態,而且對
SSL ×××
配置調整更加靈活
若是初次在
XP
上使用
SDM
時,可能使
SDM
沒法正常工做
解決方法:
以下圖所示,
Internet
屬性
-
安全,勾選「容許活動的內容在個人計算機上運行」,默認此項沒有打鉤,肯定以後,再次打開
SDM
登陸便可。
監視
-×××
狀態
SDM
配置
SSL ×××
更加方便
相關文章
- 1. Cisco SSL ××× 配置詳解
- 2. cisco asa Easy ××× 配置詳解
- 3. 怎麼去配置Cisco SSL ×××?
- 4. Cisco SSL ×××配置實例
- 5. CISCO ACL配置詳解
- 6. Apache SSL服務器配置SSL詳解
- 7. 思科CISCO ACL配置詳解
- 8. Cisco Packet Tracer---VLAN配置詳解
- 9. CISCO 雙線接入MAP配置詳解
- 10. Cisco GRE 基礎配置詳解
- 更多相關文章...
- • MyBatis配置文件詳解 - MyBatis教程
- • Eclipse Debug 配置 - Eclipse 教程
- • IntelliJ IDEA 代碼格式化配置和快捷鍵
- • IDEA下SpringBoot工程配置文件沒有提示
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 外部其他進程嵌入到qt FindWindow獲得窗口句柄 報錯無法鏈接的外部符號 [email protected] 無法被([email protected]@[email protected]@@引用
- 2. UVa 11524 - InCircle
- 3. The Monocycle(bfs)
- 4. VEC-C滑窗
- 5. 堆排序的應用-TOPK問題
- 6. 實例演示ElasticSearch索引查詢term,match,match_phase,query_string之間的區別
- 7. 數學基礎知識 集合
- 8. amazeUI 復擇框問題解決
- 9. 揹包問題理解
- 10. 算數平均-幾何平均不等式的證明,從麥克勞林到柯西
歡迎關注本站公眾號,獲取更多信息
