Cisco远程访问(SSL)虚拟专用网的工作原理

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Cisco远程访问(SSL)虚拟专用网的工作原理相关的知识,希望对你有一定的参考价值。

博文目录
一、SSL虚拟专用网的工作原理
1、SSL 虚拟专用网客户端模式
2、SSL 虚拟专用网的验证、加密和内容控制
3、SSL 虚拟专用网适合使用在什么环境呢?
二、SSL虚拟专用网与IPSec 虚拟专用网的区别
1、SSL 虚拟专用网的优、缺点
2、SSL 虚拟专用网与IPSec 虚拟专用网比较
三、配置无客户端SSL 虚拟专用网

虚拟专用网:(Virtual Private Network),请看英文的首字母,就知道是什么了,由于它是敏/感词汇,所以文中全部使用虚拟专用网来代替。

一、SSL虚拟专用网的工作原理

SSL 虚拟专用网是一种新兴技术,此技术通过网页浏览器的本地SSL加密,提供灵活、低成本的基于Internet的远程访问解决方案。SSL 虚拟专用网不需要在计算机中预先安装专用的客户端软件,任何可以访问Internet的计算机都能够建立SSL 虚拟专用网会话,从而实现随时随地的访问网络。

1、SSL 虚拟专用网客户端模式

如下图所示,以ASA安全设备作为虚拟专用网网关为例,实现SSL 虚拟专用网的两个组件包括SSL 虚拟专用网服务器和SSL 虚拟专用网客户端。
技术图片

SSL 虚拟专用网可以按照以下三种访问方法进行部署:

1)无客户端模式:
无客户端模式其实并不是完全没有客户端,而是使用用户计算机上的web浏览器进行远程访问,而不需要其他软件。无客户端模式提供对网页资源的安全访问,以及基于网页内容的访问。还可以通过通用Internet文件系统(Common Internet File System CIFS)提供远程文件共享。CIFS在门户网站网页中列出一个文件服务器连接列表,从而使远程用户能够浏览列出的域、服务器、目录文件夹、文件等。无客户端模式的缺点是其只能保护web流量。

2)瘦客户端模式(也称为端口转发模式):
瘦客户端模式提供对基于TCP服务的远程访问,如POP、POP3、SMTP、SSH等。瘦客户端模式在建立SSL 虚拟专用网会话后由SSL 虚拟专用网应用程序动态地下载Java或activeX程序到用户桌面,其允许一些非web的程序通过SSL 虚拟专用网进行传输。瘦客户端模式扩展了网页浏览器的加密功能。

3)胖客户端模式(也称为隧道模式或全隧道客户端模式):
胖客户端模式提供对大量应用程序支持的远程访问,可以通过下载SSL 虚拟专用网客户端(SSL 虚拟专用网 Client,SVC)软件,提供对所有应用程序的全网络层(第3层)访问。使用胖客户端模式时,其客户端软件一般在客户到中心站点建立SSL 虚拟专用网后,动态下载安装到用户计算机上。由于需要在用户计算机上安装客户端,所有用户必须拥有其计算机的管理员权限。若没有管理员权限则无法安装客户端,只能使用无客户端或瘦客户端模式。

2、SSL 虚拟专用网的验证、加密和内容控制

SSL 虚拟专用网通常支持两种方式的验证:数字证书与用户名和密码。用户使用HTTPS协议进行访问,在获得证书后在WEB练篮球中输入用户名、密码进入,开始访问内容资源。

SSL 虚拟专用网使用SSL对数据流量进行加密:SSL由Netscape公司开发的。SSL的最新版本为SSLv3,其支持Rc4、DES和3DES.经过发展,IETF基于SSL建立了一个传输层加密(TLS)的草案标准,RFC2246定义了TLS 1.0。

对于无客户端模式或瘦客户端模式的SSL 虚拟专用网来说,可以根据不同的用户来开放不同的应用程序从而对用户的访问进行控制。使用SSL 虚拟专用网的用户初始连接到一个Web页面,使用用户名、密码登录页面,在页面中列出相应连接的列表,用户使用列表访问相应服务器。

3、SSL 虚拟专用网适合使用在什么环境呢?

  • 用户是否使用Web浏览器访问应用程序;
  • 用户可能使用非私有计算机访问,即使用无管理员权限的计算机访问;
  • 管理员对用户计算机的管理权较小,不能控制用户安装软件;
  • 除此之外,还要考虑非Web的应用程序是否支持,这时就需要查看厂商所支持的非Web程序列表。这主要是非私有计算机上可能没有管理员权限而导致无法安装客户端所致。

二、SSL虚拟专用网与IPSec 虚拟专用网的区别

1、SSL 虚拟专用网的优、缺点

SSL 虚拟专用网对于使用Web浏览器与公司服务器进行相互访问的用户来说无疑是非常理想的。SSL 虚拟专用网的优点主要体现在以下几方面:

  • SSL 虚拟专用网的无客户端、瘦客户端方式可以做到用户端无须安装任何软件(除Web浏览器等系统自带软件外);

  • 可以从任何地方安全地访问公司内部服务器;

  • 支持多种类型的浏览器;

  • 用户不需要进行特殊的培训;

  • SSL 虚拟专用网可以和地址转换设备一起使用;

  • 可以对各种应用程序进行更加细致的控制;

由于SSL 虚拟专用网是建立在TCP协议的基础之上,所以其加密内容为应用层内容,并且比较容易受到Dos等拒绝服务第三者访问。并且,SSL 虚拟专用网对数据的验证功能仅使用TCP序列号进行数据验证,而IPSec 虚拟专用网使用HMAC进行验证,比SSL 虚拟专用网效果更好。

2、SSL 虚拟专用网与IPSec 虚拟专用网比较

SSL 虚拟专用网与IPSec 虚拟专用网都有各自的优点和缺点,下面简单地对这两种技术进行对比:
技术图片
技术图片

三、配置无客户端SSL 虚拟专用网

网络环境如下:

技术图片

环境分析:
R1路由器的loop back 0接口模拟内网有一台服务器;
ISP路由器loop back 0接口模拟Internet网服务器;
R2配置dhcp,出差员工(VM2)自动获取IP地址、网关及DNS;

开始配置:

R1配置如下:

R1(config)#int f0/0    #进入接口
R1(config-if)#ip add 192.168.10.1 255.255.255.0   #接口配置IP地址
R1(config-if)#no shutdown    #启用接口
R1(config-if)#exit   
R1(config)#int loo0   #进入loop back 0接口 
R1(config-if)#ip add 1.1.1.1 255.255.255.255   #配置IP地址
R1(config-if)#no shutdown   #启用接口
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.254   #配置默认路由,去往模拟公网的那台路由器

ASA配置如下:

ASA(config)# int eth 0/0   #进入接口
ASA(config-if)# nameif inside   #接口配置为inside
ASA(config-if)# ip add 192.168.10.254 255.255.255.0   #配置IP地址
ASA(config-if)# no shu
ASA(config-if)# exit
ASA(config)# int eth0/1    #进入接口
ASA(config-if)# nameif outside   #接口配置为outside
ASA(config-if)# ip add 192.168.20.254 255.255.255.0  #配置IP地址
ASA(config-if)# no shu
ASA(config-if)# exit
ASA(config)# route outside 0 0 192.168.20.1   #配置去往模拟公网的那台路由器的默认路由
ASA(config)# route inside 1.1.1.1 255.255.255.255 192.168.10.1  #配置去往内网的静态
ASA(config)# access-list out_to_in permit ip any any   #允许外网访问内网
ASA(config)# access-group out_to_in in interface outside  #ACL应用在outside
ASA(config)# fixup protocol icmp  #允许icmp协议

ISP配置如下:

ISP(config)#int f0/0   #进入接口
ISP(config-if)#ip add 192.168.30.1 255.255.255.0   #接口配置IP地址
ISP(config-if)#no shutdown    #启用接口
ISP(config-if)#exit
ISP(config)#int f1/0  #进入接口
ISP(config-if)#ip add 192.168.20.1 255.255.255.0   #接口配置IP地址
ISP(config-if)#no shutdown   #启用接口
ISP(config-if)#exit
ISP(config)#int loo0  #进入loop back 0接口
ISP(config-if)#ip add 2.2.2.2 255.255.255.255   #接口配置IP地址
ISP(config-if)#no shutdown   #启用接口
ISP(config-if)#exit

R2配置如下:

R2(config)#int f0/0    #进入接口
R2(config-if)#ip add 192.168.30.254 255.255.255.0  #接口配置IP地址
R2(config-if)#no shutdown   #启用接口
R2(config-if)#exit
R2(config)#int f1/0   #进入接口
R2(config-if)#ip add 192.168.40.254 255.255.255.0   #接口配置IP地址
R2(config-if)#no shutdown    #启用接口
R2(config-if)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1   #配置去往模拟公网路由器的默认
R2(config)#ip dhcp pool lan  #开启dhcp服务,名字为lan
R2(dhcp-config)#network 192.168.40.0 255.255.255.0  #下发网段
R2(dhcp-config)#default-router 192.168.40.254  #下发网关
R2(dhcp-config)#dns-server 8.8.8.8 114.114.114.114  #下发首选dns和备用dns
R2(dhcp-config)#exit
R2(config)#access-list 10 permit any  #acl抓取所有流量
R2(config)#ip nat inside source list 10 interface fastEthernet 0/0 overload  #应用在0/0接口
R2(config)#exit
R2(config)#int f0/0  #进入接口
R2(config-if)#ip nat outside   #启用nat,outside方向
R2(config-if)#int f1/0  #进入接口
R2(config-if)#ip nat inside  #启用nat,inside方向
R2(config-if)#exit

至此桥接的PC机就可以获取IP地址了,需要运行一下CMD窗口,输入ipconfig /release释放一下IP地址, 然后再输入ipconfig /renew重新获取一下,再查看网卡详细信息就会发现自动获取IP地址、网关和DNS了。如下图:
技术图片
技术图片
技术图片
技术图片
技术图片

开始今天的重点,配置无客户端SSL 虚拟专用网:

ASA(config)# username benet password pwd@123 #创建SSL 虚拟专用网的验证账户和密码
ASA(config)# web  #SSL虚拟专用网应用在外网接口
ASA(config-web虚拟专用网)# enable outside 
INFO: Web虚拟专用网 and DTLS are enabled on ‘outside‘.
ASA(config-web虚拟专用网)# svc image disk0:/sslclient-win-1.1.3.173.pkg #配置SSL虚拟专用网客户端位置
ASA(config-web虚拟专用网)# svc enable  
ASA(config-web虚拟专用网)# exit
ASA(config)# ip local pool dzc 192.168.100.10-192.168.100.100 #配置SSL虚拟专用网地址池,地址池名字为dzc
ASA(config)# access-list 100 permit ip 1.1.1.1 255.255.255.255 any #抓取隧道分离的流量
ASA(config)# access-list 100 permit ip 192.168.10.0 255.255.255.0 any#抓取隧道分离的流量
ASA(config)# group-policy local-policy internal  #创建本地组策略,名字为local-policy
ASA(config)# group-policy local-policy attributes   #配置本地组策略的属性
ASA(config-group-policy)# 虚拟专用网-tunnel-protocol web svc  #允许客户端使用SSL 虚拟专用网客户端
ASA(config-group-policy)# split-tunnel-policy tunnelspecified   #配置隧道分离的方式,满足访问控制列表后隧道分离
ASA(config-group-policy)# split-tunnel-network-list value 100 #调用隧道分离ACL
ASA(config-group-policy)# web  #配置提醒用户安装SSL虚拟专用网客户端
ASA(config-group-web虚拟专用网)# svc ask enable   
ASA(config-group-web虚拟专用网)# exit 
ASA(config-group-policy)# exit
ASA(config)# tunnel-group ssl type web  #配置隧道组,名字为ssl,组的类型为ssl 虚拟专用网
ASA(config)# tunnel-group ssl general-attributes  #配置隧道组的属性
ASA(config-tunnel-general)# address-pool dzc  #隧道组调用地址池
ASA(config-tunnel-general)# default-group-policy local-policy  #隧道组调用组策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group ssl web***-attributes   #配置下拉列表,再隧道组属性中配置
ASA(config-tunnel-web虚拟专用网)# group-alias benet.com enable #下载菜单的名字为benet.com
ASA(config-tunnel-web虚拟专用网)# group-alias accp.com enable  #下载菜单的名字为accp.com
ASA(config-tunnel-web虚拟专用网)# exit
ASA(config)# web虚拟专用网  #启用下拉菜单
ASA(config-web虚拟专用网)# tunnel-group-list enable  
ASA(config-web虚拟专用网)# exit

无客户端SSL虚拟专用网也就配置完成了,开始验证

技术图片
这里输入创建的验证账户密码登录即可:
技术图片
登录后的界面:
技术图片

———————— 本文至此结束,感谢阅读 ————————

以上是关于Cisco远程访问(SSL)虚拟专用网的工作原理的主要内容,如果未能解决你的问题,请参考以下文章

Cisco路由器实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

远程访问虚拟专用网---SSL 虚拟专用网

Cisco 路由器之Easy虚拟专用网(解决出差员工访问公司内网)

Cisco ASA防火墙之Easy虚拟专用网(解决出差员工访问公司内网的问题)

Cisco 路由器上配置Easy虚拟专用网(解决员工出差访问公司内网)

Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网