使用SDM的瘦客户端SSLVPN(WebVPN)IOS.PDFVIP

使用 SDM 的瘦客户端 SSL VPN (WebVPN) IOS 配置示例 目录 简介 先决条件 要求 使用的组件 规则 配置 任务 网络图 配置瘦客户端 SSL VPN 配置 验证 检验配置 命令 故障排除 用于排除故障的命令 相关信息 简介 瘦客户端 SSL VPN 技术可用于允许使用静态端口的应用程序进行安全访问。例如，Telnet (23)、 SSH (22)、POP3 (110)、IMAP4 (143) 和 SMTP (25)。瘦客户端可以由用户和/或策略驱动。可以 根据每个用户配置访问，也可以创建包含一个或多个用户的组策略。SSL VPN 技术可配置为三种主 要模式：无客户端 SSL VPN (WebVPN)、瘦客户端 SSL VPN（端口转发）和 SSL VPN 客户端 （SVC 全隧道模式）。 1. 无客户端SSL VPN (WebVPN) ： 远程客户端只需一个启用了 SSL 的 Web 浏览器，便可访问公司局域网内启用了 http 或 https 的 Web 服务器。也可以使用通用 Internet 文件系统 (CIFS) 来访问浏览 Windows 文件。Outlook Web Access (OWA) 客户端是 http 访问的一个好例子。 请参阅在 Cisco IOS 上使用 SDM 配置无客户端 SSL VPN (WebVPN) 的配置示例 ，以便了解有关 无客户端 SSL VPN 的详细信息。 2. Thin-Client SSL VPN (波尔特转发) 远程客户端必须下载一个基于 Java 的小程序，才能以安全方式访问使用静态端口号的 TCP 应用程 序。不支持 UDP。示例包括对 POP3、SMTP、IMAP、SSH 和 Telnet 的访问。由于更改的是本地 计算机中的文件，因此用户需要具有本地管理权限。此 SSL VPN 方法不适用于使用动态端口分配 的应用程序，例如一些 FTP 应用程序。 3. SSL VPN客户端(全SVC隧道模式) ： SSL VPN Client 将一个小客户端下载到远程工作站，从而允许对公司内部网络中的资源进行全面安 全的访问。可将 SVC 永久下载到远程站，也可以在安全会话结束后将其删除。 请参阅在 IOS 上使用 SDM 配置 SSL VPN 客户端 (SVC) 的配置示例 ，以便了解有关 SSL VPN 客 户端的详细信息。 本文展示Thin-Client SSL的VPN一个简单配置在Cisco IOS路由器。瘦客户端 SSL VPN 在以下 Cisco IOS 路由器上运行： Cisco 870、1811、1841、2801、2811、2821 和 2851 系列路由器 Cisco 3725、3745、3825、3845、7200 和 7301 系列路由器 先决条件 要求 尝试进行此配置之前，请确保满足以下要求： Cisco IOS 路由器要求 以上列出的加载有 SDM 和 IOS 12.4(6)T 或更高版本的高级映像的任何路由器 加载有 SDM 的管理站Cisco 提供的新路由器附带有 SDM 的预安装副本。如果路由器未装有 SDM，可从软件下载 - Cisco 安全设备管理器获取该软件。您必须拥有一个已签署服务合同的 CCO 帐户。有关详细说明，请参阅使用安全设备管理器配置路由器。 客户端计算机要求 远程客户端应当具有本地管理特权；这不是必需的，但强烈建议进行此设置。 远程客户端必须安装有 Java Runtime Environment (JRE) 1.4 或更高版本。 远程客户端浏览器：Internet Explorer 6.0、Netscape 7.1、Mozilla 1.7、Safari 1.2.2 或 Firefox 1.0 已在远程客户端上启用 Cookie，并允许弹出窗口 使用的组件 本文档中的信息基于以下软件和硬件版本： Cisco 高级企业软件映像 12.4(9)T Cisco 3825 集成业务路由器 Cisco Router and Security Device Manager (SDM) 2.3.1 版本 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。用于此配置 的 IP 地址来自 RFC 1918 地址空间。这些 IP 地址不能在 Internet