SSL VPN với Clientless I. Mô tả:
SSL VPN cung cấp giải pháp truy cập từ xa, cho phép người dùng bên ngoài có thể sử dụng tài
nguyên được bảo vệ một cách bảo mật thông qua SSL. Giải pháp này cho phép truy cập tài
nguyên từ nhiều vị trí mà không cần sử dụng tiện ích VPN Client. SSL VPN hay còn gọi là
WEBVPN cho phép sử dụng những dịch vụ VPN thông qua giao diện WEB. Và router sẽ đóng
vai trò như proxy để chuyển những kết nối từ bên ngoài vào tài nguyên bên trong.
WEBVPN có 3 mode hoạt động:
Clientless: Những dịch vụ bao gồn HTTP và chia sẽ file
Thin Client: Với tính năng port-forwarding cho phép những dịch vụ TCP (với port không thay
đổi) như: http, smtp, pop3, imap, telnet
Tunnel mode: Hoạt động tương tự như IPSec VPN với việc thiết lập tunnel cho phép tất cả dịch
vụ có thể được sử dụng.
Trong bài tập này sử dụng Clientless để thực hiện SSL VPN đảm bảo người dùng bên ngoài có
thể sử dụng được dịch vụ http và chia sẽ file
II. Cấu hình
Xác định phương thức xác thực
GATEWAY(config)#aaa new-model
GATEWAY(config)#aaa authentication login SSL local

Cấu hình Webvpn Gateway (hoạt động tương tự như proxy cho những kết nối đến tài nguyên
được bảo vệ)
GATEWAY(config)#webvpn gateway SSLVPN
% Generating 1024 bit RSA keys, keys will be non-exportable [OK]

Địa chỉ mà có thể truy cập từ bên ngoài
GATEWAY(config-webvpn-gateway)#ip address 150.1.1.1


Xác định chức năng cho chia sẽ file
GATEWAY(config-webvpn-group)#functions file-access
GATEWAY(config-webvpn-group)#functions file-browse
GATEWAY(config-webvpn-group)#nbns-list NBNS
Mặc định ta sẽ có phần “textbox” để nhập đường link cho web, tuy nhiên vì lý do bảo mật, phần
“textbox” này có thể được ẩn đi.
GATEWAY(config-webvpn-group)#hide-url-bar

Gán chính sách nhóm vào Context
GATEWAY(config-webvpn-context)#default-group-policy ADMIN

III. Cấu hình đầy đủ

GATEWAY
Building configuration

Current configuration : 3200 bytes
!
hostname GATEWAY
!
aaa new-model
!
aaa authentication login SSL local
!
crypto pki trustpoint TP-self-signed-1769152701
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1769152701
webvpn gateway SSLVPN
ip address 150.1.1.1 port 443
ssl trustpoint TP-self-signed-1769152701
inservice
!
webvpn context WEBVPN
ssl authenticate verify all
!
url-list "WEB_URL"
url-text "Internal_Website" url-value "http://192.168.1.2"
!
nbns-list "NBNS"
nbns-server 192.168.1.2
!
cifs-url-list "FILE_URL"
url-text "Internal_File" url-value "cifs://192.168.1.2" !
policy group ADMIN
url-list "WEB_URL"
cifs-url-list "FILE_URL"
nbns-list "NBNS"
functions file-access
functions file-browse
hide-url-bar
default-group-policy ADMIN
aaa authentication list SSL
gateway SSLVPN
inservice


Lúc này có thể sử dụng được dịch vụ http hoặc chia sẽ file
Truy cập Web nội bộ thành công
Truy cập ứng dụng chia sẽ file. Với thông tin người dùng được khai báo trên máy chủ mà thực
hiện việc chia sẽ file

Truy cập thành công thư mục chia sẽ

Có thể thực hiện những mọi thao tác với thư mục và file được chia sẽ