SSL ×××是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec ×××相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL ×××, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec ×××一样必须为每一台客户机安装客户端软件。

试验平台软件如下::
 
路由器IOS使用 c7200-advipservicesk9_li-mz.124-11.t.bin 
 
SSL ××× 客户端软件:sslclient-win-1.1.3.173.pkg (只支持XP,若需要支持XP以上请到思科下载或从最新版的SDM中提取)
客户端:XP

拓扑图如下:

 第一步: 路由器基础联通配置
 

 
  
  1. R1#show ip int br  
  2. Interface                  IP-Address      OK? Method Status                Protocol  
  3. FastEthernet0/0            unassigned      YES unset  administratively down down  
  4. FastEthernet1/0            2.2.2.1         YES manual up                    up  
  5. FastEthernet1/1            unassigned      YES unset  administratively down down  
  6. Loopback0                  1.1.1.1         YES manual up                    up  
  7. Loopback1                  9.9.9.9         YES manual up                    up 

第二步:安装客户端

 
  
  1. R1#format disk0:   
  2.  
  3. Format operation may take a while. Continue? [confirm]   
  4. Format operation will destroy all data in "disk0:". Continue? [confirm]   
  5. Format: Drive communication & 1st Sector Write OK...   
  6. Writing Monlib sectors.   
  7. .....................................................................................................................................................   
  8. Monlib write complete   
  9. Format: All system sectors written. OK...   
  10. Format: Total sectors in formatted partition: 130883   
  11. Format: Total bytes in formatted partition: 67012096   
  12. Format: Operation completed successfully.   
  13. Format of disk0 complete   
  14. SSL#copy tftp disk0:   
  15. Address or name of remote host []? 2.2.2.3  
  16. Source filename []? sslclient-win-1.1.3.173.pkg   
  17. Destination filename [sslclient-win-1.1.3.173.pkg]?   
  18. Accessing tftp://2.2.2.3/sslclient-win-1.1.3.173.pkg...   
  19. Loading sslclient-win-1.1.3.173.pkg from 2.2.2.3 (via FastEthernet0/0): !!   
  20. [OK - 416354 bytes]   
  21. 416354 bytes copied in 16.064 secs (25918 bytes/sec)   
  22. SSL#dir disk0:   
  23. Directory of disk0:/   
  24. 1-rw- 416354 Mar 24 2010 18:45:20 +08:00 sslclient-win-1.1.3.173.pkg   
  25. 66846720 bytes total (66428928 bytes free)   
  26. R1(config)#web*** install svc disk0:/sslclient-win-1.1.3.173.pkg  // 安装客户端  
  27. SSL××× Package SSL-×××-Client : installed successfully  

第三步:登录基础配置

 
  
  1. interface Loopback0 //设置为SSL×××网关  
  2.  ip address 1.1.1.1 255.255.255.0  
  3. !  
  4.  
  5. aaa new-model  
  6. !  
  7. aaa authentication login ssl*** local //验证方式  
  8. !  
  9. ip local pool ssl***-pool 1.1.1.2 1.1.1.7 //分配地址池  
  10. username ssl*** password 0 ssl***  //登陆用户密码 

第四步:SSL×××主要配置

 
  
  1. web*** gateway ssl***gateway //配置SSL×××网关  
  2.  ip interface FastEthernet1/0 port 443 //监听接口和端口  
  3.  ssl trustpoint TP-self-signed-4294967295  
  4.  inservice //使能网关  
  5.  !  
  6. web*** install svc disk0:/web***/svc.pkg  
  7.  !  
  8. web*** context ssl***text //配置关联  
  9.  ssl authenticate verify all  
  10.  !  
  11.  !  
  12.  policy group ssl***-policy  //创建策略  
  13.    functions svc-enabled  //使能SSL  
  14.    svc address-pool "ssl***-pool" //关联地址池  
  15.  default-group-policy ssl***-policy //默认使用策略  
  16.  aaa authentication list ssl*** //关联验证方式  
  17.  gateway ssl***gateway //关联网关  
  18.  inservice //使能关联  

 

第五步:验证

客户机登录到https://2.2.2.1

点查看证书-安装证书-确定

输入用户名和密码

成功后跳转到以下界面并下载安装客户端

 

安装成功后,在桌面右下方出现一把钥匙的图标 查看如下:成功分配到地址:

 

尝试ping路由器,SSL×××连接成功

 

查看路由器SSL×××信息:

 
  
  1.  
  2. R1#show ip local pool  
  3.  
  4.  Pool                     Begin           End             Free  In use  
  5.  ssl***-pool              1.1.1.2         1.1.1.7            5       1  
  6.  
  7. R1#show web*** session user ssl*** context all  
  8. Web××× user name = ssl*** ; IP address = 2.2.2.3 ; context = ssl***text 
  9.     No of connections: 1  
  10.     Created 00:24:26, Last-used 00:10:38  
  11.     STC IP address 1.1.1.4 netmask 255.255.255.0  
  12.     CSTP Started 00:23:22, Last-recieved 00:00:37  
  13.     CSTP DPD-Request sent 0  
  14.     Client Port: 59191  
  15.     User Policy Parameters  
  16.       Group name = ssl***-policy  
  17.     Group Policy Parameters  
  18.       idle timeout = 2100 sec  
  19.       session timeout = 43200 sec  
  20.       functions =  
  21.                 svc-enabled  
  22.  
  23.       citrix disabled  
  24.       address pool name = "ssl***-pool" 
  25.       dpd client timeout = 300 sec  
  26.       dpd gateway timeout = 300 sec  
  27.       keep ssl*** client installed = disabled 
  28.       rekey interval = 3600 sec  
  29.       rekey method =  
  30.       lease duration = 43200 sec