SSL VPN基于IOS路由器的配置

摘 要：南昌大學主校區與幾個分校區之間物理距離較遠，決定租用Internet專線，使用VPN穿透技術連接分校區與主校區的網絡，使之成為一個大型的跨地區的局域網絡。但由于路由器的基本功能不支持VPN技術，需要對現有路由器進行軟升級，即改造現有路由器的IOS，安裝VPN的軟件補丁，使之能夠適應VPN的協議，文章重在說明如何對現有路由器進行軟升級和對路由器的配置。

關鍵詞：VPN；IOS；路由器

南昌大學主校區與幾個分校區之間物理距離較遠，決定租用Internet專線，使用VPN穿透技術連接分校區與主校區的網絡，使之成為一個大型的跨地區的局域網絡。但由于路由器的基本功能不支持VPN技術，需要對現有路由器進行軟升級，即改造現有路由器的IOS，安裝VPN的軟件補丁，使之能夠適應VPN的協議，本文重在說明如何對現有路由器進行軟升級和對路由器的配置。

網絡環境簡化拓撲圖如下。

1 基本配置

路由器R1的配置如下。

路由器ISP的配置如下。

服務器In安裝Windows 2003系統，啟用遠程桌面。

服務器Out安裝Windows 2003系統，搭建網站www.isp.com，配置DNS，新建區域isp.com，并能夠解析www.isp.com。

主機PC1安裝Windows XP系統，配置DNS指向200.3.3.1。

測試結果：主機PC1可以ping通200.1.1.1，主機PC1可以訪問網站www.isp.com，但不能通過遠程桌面登錄到服務器In。

2 SSL VPN服務器R1的配置

安裝SVC軟件sslclient-win-1.1.3.173.pkg。

定義AAA，創建SSL VPN用戶。

啟用WebVPN，產生自簽名證書。

定義IP地址池。

建立WebVPN環境。

定義組策略。

3 SSL VPN客戶端的配置

在客戶端主機PC1的瀏覽器中輸入https：//200.1.1.1/group1，出現登錄界面，輸入用戶名和密碼登錄后，自動安裝SSL VPN Client，然后安裝證書，安裝完成后會自動建立VPN連接，連接成功后在屏幕右下角的任務欄會顯示一個黃色的小鑰匙標志。

4 測試

4.1 使用ipconfig /all命令查看主機PC1的IP配置，增加了“本地連接2”。

4.2 主機PC1可以ping通10.10.1.1，可以通過遠程桌面登錄到服務器In。

4.3 由于配置了分離隧道，主機PC1可以在連接VPN期間同時訪問網站www.isp.com。

4.4 查看VPN會話信息。