SSL ×××基于IOS路由器的配置

实验演示使用网络拓扑图如下。

clip_p_w_picpath002

图5.17 SSL ×××基于IOS路由器实验拓扑图

1.基本配置

? 路由器R1的配置如下。

R1(config)# int F0/0

R1(config-if)# no shut

R1(config-if)# ip add 10.10.1.254 255.255.255.0

R1(config-if)# int S1/0

R1(config-if)# no shut

R1(config-if)# ip add 200.1.1.1 255.255.255.252

R1(config)# ip route 0.0.0.0 0.0.0.0 S1/0

? 路由器ISP的配置如下。

ISP(config)# int F0/0

ISP(config-if)# no shut

ISP(config-if)# ip add 200.2.2.2 255.255.255.252

ISP(config)# int S1/0

ISP(config-if)# no shut

ISP(config-if)# ip add 200.1.1.2 255.255.255.252

ISP(config)# int F2/0

ISP(config-if)# no shut

ISP(config-if)# ip add 200.3.3.2 255.255.255.252

? 服务器In安装Windows 2003系统,启用远程桌面。

? 服务器Out安装Windows 2003系统,搭建网站www.isp.com,配置DNS,新建区域isp.com,并能够解析www.isp.com

? 主机PC1安装Windows XP系统,配置DNS指向200.3.3.1。

? 测试。

主机PC1可以ping通200.1.1.1。

主机PC1可以访问网站www.isp.com,但不能通过远程桌面登录到服务器In。

   

2.SSL ×××服务器R1的配置

? 安装SVC软件sslclient-win-1.1.3.173.pkg。

R1#format flash:

R1#copy tftp flash:

R1(config)#web*** install svc flash:/sslclient-win-1.1.3.173.pkg

SSL××× Package SSL-×××-Client : installed successfully

? 定义AAA,创建SSL ×××用户。

R1(config)#aaa new-model

R1(config)#aaa authentication login ***_authen local

R1(config)#username cisco password cisco

? 启用Web×××,产生自签名证书。

R1(config)#web*** gateway ***_gateway //定义Web×××虚拟网关,路由器会自动产生自签名证书

R1(config-web***-gateway)#ip address 200.1.1.1 port 443

R1(config-web***-gateway)#inservice //启用Web×××虚拟网关

R1(config-web***-gateway)#exit

? 定义IP地址池。

R1(config)#ip local pool ***_pool 192.168.1.1 192.168.1.200

//IP地址池与内网10.10.1.0不在同一网段,需要创建一个Loopback接口

R1(config)#int lo0

R1(config-if)#ip address 192.168.1.254 255.255.255.0

R1(config-if)#exit

? 建立Web×××环境。

R1(config)#web*** context ***_context //相当于ASA中的tunnel-group

R1(config-web***-context)#gateway ***_gateway domain group1 //将网关与context相关联

R1(config-web***-context)#aaa authentication list ***_authen

R1(config-web***-context)#inservice //启用Web×××环境

R1(config-web***-context)#exit

? 定义组策略。

R1(config)#web*** context ***_context

R1(config-web***-context)#policy group ***_group_policy

R1(config-web***-group)#functions svc-enabled //启用SVC

R1(config-web***-group)#svc address-pool ***_pool

R1(config-web***-group)#svc split include 10.10.1.0 255.255.255.0 //分离隧道

R1(config-web***-group)#exit

R1(config-web***-context)#default-group-policy ***_group_policy //指定默认的组策略

R1(config-web***-context)#exit

3.SSL ×××客户端的配置

在客户端主机PC1的浏览器中输入https://200.1.1.1/group1,出现登录界面,如图 5.18所示。

clip_p_w_picpath004

图5.18 基于IOS路由器的SSL ×××客户端登录界面

输入用户名和密码登录后,自动安装SSL ××× Client,然后安装证书,安装完成后会自动建立×××连接,连接成功后在屏幕右下角的任务栏会显示一个***的小钥匙标志。

4.测试

(1)使用ipconfig /all命令查看主机PC1的IP配置,增加了“本地连接 2”。

Ethernet adapter 本地连接 2:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Cisco Systems ××× Adapter

Physical Address. . . . . . . . . : 00-05-9A-3C-78-00

Dhcp Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.1.1

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . :

(2)主机PC1可以ping通10.10.1.1,可以通过远程桌面登录到服务器In。

(3)由于配置了分离隧道,主机PC1可以在连接×××期间同时访问网站www.isp.com

(4)查看×××会话信息。

R1#sh web*** session context all

Web××× context name: ***_context

Client_Login_Name Client_IP_Address No_of_Connections Created Last_Used

cisco 200.2.2.1 1 00:10:11 00:01:58