The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Основы Cisco WebVPN (cisco web vpn)


<< Предыдущая ИНДЕКС Правка src / Печать Следующая >>
Ключевые слова: cisco, web, vpn,  (найти похожие документы)
From: Михаил Сгибнев <mixa(@).dreamcatcher.ru> Date: 2006-10-31 09:17:19 Subject: Основы Cisco WebVPN
Автор: Сгибнев Михаил

Технология Cisco WebVPN была разработана для организации удаленного доступа к сетям. Для организации безопасного соединения, WebVPN использует Secure Socket Layer Protocol и Transport Layer Security (SSL/TLS1). Для организации WebVPN можно использовать возможности Cisco IOS, Cisco VPN 3000 Concentrator или Cisco ASA 5500.

Подсоединение через WebVPN очень сильно отличается от использования IPSec, так как в этом случае не происходит обмена ключами, работа ведется с использованием сертификата. Рассмотрим виды удаленного доступа:



В клиентском режиме доступны функции: В режиме тонкого клиента доступен только форвардинг портов.

В туннельном режиме организуется виртуальный сетевой интерфейс, который используется для доступа в в удаленную сеть.

Настоятельно образаю ваше внимание на то, что эта технология очень быстро развивается и возможности, предоставляемые IOS 12.4-2 несравнимы с тем, что умеет 12.4-9. В данной статье действует очень сильное ограничение - не используется авторизация Radius, что не позволяет предоставлять доступ на основе групп. Мы рассматриваем настройку WebVPN на Cisco IOS.

Настройка

Первым делом необходимо создать сертификат и поднять HTTPS-сервер. Для этого необходимо выполнить следующую последовательность действий: Проверить правильность создания сертификата можно командами: Далее, непосредственно настройка самого WebVPN. Нам необходимо создать шлюз, указать на нем перенаправлять клиентов, пришедших на 80 порт на порт 443 и использовать локальный сертификат: Далее, создаем контекст, в котором будут описаны наши правила. Обратите внимание, что присутствуют некие функции дизайна начальной страницы :-) В случае, если мы планируем использовать SSL VPN client, то его необходимо установить. Текущей версией в настоящее время является sslclient-win-1.1.2.169.zip Проверим, в конфигурации должна появиться строка: Далее, добавляем в контекст следущие строки: Обратите внимание на настройки для IE. Такая конфигурация имеет смысл для организации удаленного рабочего места сотрудника, например скоринговой точки, поскольку экспортирует маршрут по умолчанию и все данные будут направляться в виртуальный интерфейс Cisco SSL VPN. Для создания исключений необходимо воспользоваться ключевыми фразами exclude и include: Для того, чтобы описать сеть или хост, трафик к которому пойдет НЕ через туннель и чтобы описать сеть или хост, трафик к которому пойдет ЧЕРЕЗ туннель.

Если планируется работа с хостами локальной сети (например, сетевой принтер) то добавьте строку: Для работы клиента необходимо настроить Loopback (при этом для использования OSPF нужно указать тип сети) и задать пул адресов: Вот, собственно, и все. Я не стал рассматривать организацию общего доступа к файлам, так как считаю что организация SSL VPN также решает этот вопрос. Опытным путем было выяснено, что субьективно туннель работает значительно быстрее, чем форвардинг портов, в частности при использовании форвардинга на канале 128к пользоваться MSTSC было практически невозможно, а при туннеле наблюдалась вполне комфортная работа.

Литература:

Cisco IOS WebVPN
Cisco IOS WebVPN Q&A
Cisco Search


P.S. Не претендую на полное изложение материала. Замечания и предложения прошу писать в форум и комментарии.

<< Предыдущая ИНДЕКС Правка src / Печать Следующая >>

Обсуждение [ RSS ]
  • 1, ded (??), 15:33, 18/01/2007 [ответить]  
  • +/
    1) Команды сильно отличаются от приведенных выше,  потому метод китайских программистов Copy-Paste-4ever! неприменим. Наша версия advsecurityk9-mz.124-4.T2:
    !
    webvpn enable gateway-addr 10.11.12.13
    !
    webvpn
    ssl trustpoint TP-self-signed-12345678
    !

    2) Непонятно как использовать SSLclient на винде. Он проинсталлировался, что-то должно измениться в Internet Explorere?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру