SSL VPN基于IOS路由器的配置

摘 要：南昌大學(xué)主校區(qū)與幾個分校區(qū)之間物理距離較遠(yuǎn)，決定租用Internet專線，使用VPN穿透技術(shù)連接分校區(qū)與主校區(qū)的網(wǎng)絡(luò)，使之成為一個大型的跨地區(qū)的局域網(wǎng)絡(luò)。但由于路由器的基本功能不支持VPN技術(shù)，需要對現(xiàn)有路由器進(jìn)行軟升級，即改造現(xiàn)有路由器的IOS，安裝VPN的軟件補(bǔ)丁，使之能夠適應(yīng)VPN的協(xié)議，文章重在說明如何對現(xiàn)有路由器進(jìn)行軟升級和對路由器的配置。

關(guān)鍵詞：VPN；IOS；路由器

南昌大學(xué)主校區(qū)與幾個分校區(qū)之間物理距離較遠(yuǎn)，決定租用Internet專線，使用VPN穿透技術(shù)連接分校區(qū)與主校區(qū)的網(wǎng)絡(luò)，使之成為一個大型的跨地區(qū)的局域網(wǎng)絡(luò)。但由于路由器的基本功能不支持VPN技術(shù)，需要對現(xiàn)有路由器進(jìn)行軟升級，即改造現(xiàn)有路由器的IOS，安裝VPN的軟件補(bǔ)丁，使之能夠適應(yīng)VPN的協(xié)議，本文重在說明如何對現(xiàn)有路由器進(jìn)行軟升級和對路由器的配置。

網(wǎng)絡(luò)環(huán)境簡化拓?fù)鋱D如下。

1 基本配置

路由器R1的配置如下。

路由器ISP的配置如下。

服務(wù)器In安裝Windows 2003系統(tǒng)，啟用遠(yuǎn)程桌面。

服務(wù)器Out安裝Windows 2003系統(tǒng)，搭建網(wǎng)站www.isp.com，配置DNS，新建區(qū)域isp.com，并能夠解析www.isp.com。

主機(jī)PC1安裝Windows XP系統(tǒng)，配置DNS指向200.3.3.1。

測試結(jié)果：主機(jī)PC1可以ping通200.1.1.1，主機(jī)PC1可以訪問網(wǎng)站www.isp.com，但不能通過遠(yuǎn)程桌面登錄到服務(wù)器In。

2 SSL VPN服務(wù)器R1的配置

安裝SVC軟件sslclient-win-1.1.3.173.pkg。

定義AAA，創(chuàng)建SSL VPN用戶。

啟用WebVPN，產(chǎn)生自簽名證書。

定義IP地址池。

建立WebVPN環(huán)境。

定義組策略。

3 SSL VPN客戶端的配置

在客戶端主機(jī)PC1的瀏覽器中輸入https：//200.1.1.1/group1，出現(xiàn)登錄界面，輸入用戶名和密碼登錄后，自動安裝SSL VPN Client，然后安裝證書，安裝完成后會自動建立VPN連接，連接成功后在屏幕右下角的任務(wù)欄會顯示一個黃色的小鑰匙標(biāo)志。

4 測試

4.1 使用ipconfig /all命令查看主機(jī)PC1的IP配置，增加了“本地連接2”。

4.2 主機(jī)PC1可以ping通10.10.1.1，可以通過遠(yuǎn)程桌面登錄到服務(wù)器In。

4.3 由于配置了分離隧道，主機(jī)PC1可以在連接VPN期間同時訪問網(wǎng)站www.isp.com。

4.4 查看VPN會話信息。