Thin-Client SSL VPN (WebVPN) على ASA مع مثال تكوين ASDM

المقدمة

تسمح تقنية SSL VPN للعميل قليل السمك بالوصول الآمن لبعض التطبيقات التي تحتوي على منافذ ثابتة، مثل Telnet(23) و SSH(22) و POP3(110) و IMAP4(143) و SMTP(25). يمكنك إستخدام شبكة VPN الخاصة ب Thin-Client SSL كتطبيق يقوده المستخدم أو تطبيق قائم على السياسات أو كليهما. وهذا يعني أنه يمكنك تكوين الوصول على مستخدم حسب المستخدم أو يمكنك إنشاء نهج مجموعة حيث تقوم بإضافة مستخدم واحد أو أكثر.

• SSL VPN (WebVPN) بدون عملاء—يوفر عميل بعيد يتطلب مستعرض ويب يدعم SSL للوصول إلى خوادم الويب HTTP أو HTTPS على شبكة منطقة محلية (LAN) للشركات. بالإضافة إلى ذلك، توفر الشبكة الخاصة الظاهرية (VPN) الخاصة ببروتوكول نظام ملفات الإنترنت العام (CIFS) وصولا إلى إستعراض ملفات Windows. يعد Outlook Web Access (OWA) مثالا للوصول إلى HTTP.

  ارجع إلى SSL VPN (WebVPN) بدون عملاء في مثال تكوين ASA لمعرفة المزيد حول SSL VPN عديم العملاء.

• Thin-Client SSL VPN (إعادة توجيه المنفذ)—يوفر عميلا عن بعد يقوم بتنزيل تطبيق صغير قائم على Java ويسمح بالوصول الآمن لتطبيقات بروتوكول التحكم في الإرسال (TCP) التي تستخدم أرقام منافذ ثابتة. يعد بروتوكول مكتب البريد (POP3) وبروتوكول نقل البريد البسيط (SMTP) وبروتوكول الوصول إلى رسائل الإنترنت (IMAP) وبروتوكول طبقة الأمان (SSH) وبروتوكول Telnet أمثلة للوصول الآمن. نظرا لتغيير الملفات الموجودة على الجهاز المحلي، يجب أن يكون لدى المستخدمين امتيازات إدارية محلية لاستخدام هذه الطريقة. لا تعمل هذه الطريقة ل SSL VPN مع التطبيقات التي تستخدم تعيينات المنافذ الديناميكية، مثل بعض تطبيقات بروتوكول نقل الملفات (FTP).

  ملاحظة: بروتوكول مخطط بيانات المستخدم (UDP) غير مدعوم.

• عميل SSL VPN (وضع النفق)- يقوم بتنزيل عميل صغير إلى محطة العمل البعيدة ويسمح بالوصول الآمن الكامل إلى الموارد على شبكة شركة داخلية. يمكنك تنزيل SSL VPN Client (SVC) بشكل دائم إلى محطة عمل بعيدة، أو يمكنك إزالة العميل بمجرد إغلاق جلسة العمل الآمنة.

  ارجع إلى SSL VPN Client (SVC) على ASA مع مثال تكوين ASDM لمعرفة المزيد حول عميل SSL VPN.

يوضح هذا المستند تكوين بسيطا لشبكة VPN الخاصة ب SSL Thin-Client على جهاز الأمان القابل للتكيف (ASA). يسمح التكوين للمستخدم بوضع برنامج Telnet بشكل آمن على موجه موجود داخل ASA. يتم دعم التكوين في هذا المستند ل ASA الإصدار 7.x والإصدارات الأحدث.

المتطلبات الأساسية

المتطلبات

قبل أن تحاول إجراء هذا التكوين، تأكد من استيفاء متطلبات محطات العملاء البعيدة التالية:

• مستعرض ويب تم تمكين SSL عليه

• Sun Java JRE الإصدار 1.4 أو إصدار أحدث

• تم تمكين ملفات تعريف الارتباط

• تم تعطيل المحصرات المنبثقة

• الامتيازات الإدارية المحلية (غير مطلوبة ولكن مقترحة بشدة)

ملاحظة: يتوفر أحدث إصدار من Sun Java JRE كتنزيل مجاني من موقع Java على الويب .

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• جهاز الأمان القابل للتكيف طراز 5510 من Cisco

• Cisco Adaptive Security Device Manager (ASDM) 5.2(1)

  ملاحظة: ارجع إلى السماح بوصول HTTPS إلى ASDM للسماح بتكوين ASA بواسطة ASDM.

• برنامج أجهزة الأمان المعدلة Cisco Adaptive Security Appliance، الإصدار 7.2(1)

• العميل البعيد Microsoft Windows XP Professional (SP 2)

تم تطوير المعلومات الواردة في هذا المستند في بيئة معملية. تمت إعادة تعيين جميع الأجهزة المستخدمة في هذا المستند إلى التكوين الافتراضي الخاص بها. إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر. تم تحديد جميع عناوين IP المستخدمة في هذا التكوين من عناوين RFC 1918 في بيئة معملية؛ وعناوين IP هذه ليست قابلة للتوجيه على الإنترنت وهي لأغراض الاختبار فقط.

الرسم التخطيطي للشبكة

يستخدم هذا المستند تكوين الشبكة الموضح في هذا القسم.

عندما يقوم عميل بعيد ببدء جلسة عمل باستخدام ASA، يقوم العميل بتنزيل برنامج Java صغير إلى محطة العمل. يتم تقديم قائمة بالموارد التي تم تكوينها مسبقا للعميل.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

معلومات أساسية

لبدء جلسة، يفتح العميل البعيد مستعرض SSL إلى الواجهة الخارجية ل ASA. بعد إنشاء الجلسة، يمكن للمستخدم إستخدام المعلمات التي تم تكوينها على ASA لاستدعاء أي وصول إلى Telnet أو التطبيق. يمثل ASA الاتصال الآمن ويسمح للمستخدم بالوصول إلى الجهاز.

ملاحظة: قوائم الوصول الواردة غير ضرورية لهذه الاتصالات لأن هيئة المعايير الإعلانية على علم بما يشكل جلسة قانونية.

تكوين VPN ل SSL قليل السمك باستخدام ASDM

أتمت in order to شكلت Thin-Client SSL VPN على ال ASA، هذا steps:

1. تمكين WebVPN على ASA

2. تكوين خصائص إعادة توجيه المنفذ

3. إنشاء سياسة مجموعة وربطها بقائمة إعادة توجيه المنافذ (التي تم إنشاؤها في الخطوة 2)

4. إنشاء مجموعة نفق وربطها بنهج المجموعة (الذي تم إنشاؤه في الخطوة 3)

5. إنشاء مستخدم وإضافة هذا المستخدم إلى نهج المجموعة (تم إنشاؤه في الخطوة 3)

الخطوة 1. تمكين WebVPN على ASA

أتمت in order to مكنت WebVPN على ال ASA، هذا steps:

1. ضمن تطبيق ASDM، انقر فوق تكوين، ثم انقر فوق VPN.

2. قم بتوسيع WebVPN، واختر وصول WebVPN.

   

3. ركزت القارن، وطقطقة يمكن.

4. انقر فوق تطبيق، ثم انقر فوق حفظ، ثم انقر فوق نعم لقبول التغييرات.

الخطوة 2. تكوين خصائص إعادة توجيه المنفذ

أتمت in order to شكلت ميناء forwarding صفة، هذا steps:

1. قم بتوسيع WebVPN، واختر إعادة توجيه المنفذ.

   

2. انقر فوق الزر إضافة.

   

3. في شاشة قائمة إعادة توجيه المنافذ الإضافية، أدخل اسم قائمة، ثم انقر فوق إضافة.

   يظهر مربع الحوار إضافة إدخال إعادة توجيه المنفذ.

   

4. في شاشة إضافة إدخال إعادة توجيه المنفذ، أدخل الخيارات التالية:

   1. في حقل منفذ TCP المحلي، أدخل رقم منفذ أو قبل القيمة الافتراضية.

      يمكن أن تكون القيمة التي أدخلتها أي رقم من 1024 إلى 65535.

   2. في حقل "الخادم البعيد"، أدخل عنوان IP.

      يستخدم هذا المثال عنوان الموجه.

   3. دخلت في البعيد TCP ميناء مجال، رقم أيسر.

      يستعمل هذا مثال ميناء 23.

   4. دخلت في الوصف مجال، وصف، وطقطقة ok.

5. انقر فوق موافق، ثم انقر فوق تطبيق.

6. انقر فوق حفظ، ثم انقر فوق نعم لقبول التغييرات.

الخطوة 3. إنشاء نهج مجموعة وربطه بقائمة إعادة توجيه المنافذ

لإنشاء سياسة مجموعة وربطها بقائمة إعادة توجيه المنافذ، أكمل الخطوات التالية:

1. قم بتوسيع عام، واختر نهج المجموعة.

   

2. انقر فوق إضافة، واختر نهج المجموعة الداخلي.

   يظهر مربع الحوار إضافة نهج مجموعة داخلي.

   

3. أدخل اسما أو وافق على اسم نهج المجموعة الافتراضي.

4. قم بإلغاء تحديد خانة الاختيار Tunneling Protocols Inherit، وحدد خانة الاختيار WebVPN.

5. انقر علامة التبويب WebVPN الموجودة في أعلى الشاشة، ثم انقر فوق علامة التبويب وظائف.

6. قم بإلغاء تحديد خانة الاختيار وراثة، وحدد خانة الاختيار تمكين تنزيل التطبيق التلقائي وتمكين إعادة توجيه المنافذ كما هو موضح في هذه الصورة:

   

7. أيضا ضمن علامة التبويب WebVPN، انقر فوق علامة التبويب إعادة توجيه المنفذ، وقم بإلغاء تحديد خانة الاختيار توريث لقائمة إعادة توجيه المنافذ.

   

8. انقر فوق السهم المنسدل لقائمة إعادة توجيه المنافذ، واختر قائمة إعادة توجيه المنافذ التي قمت بإنشائها في الخطوة 2.

9. قم بإلغاء تحديد خانة الاختيار توريث اسم التطبيق، وقم بتغيير الاسم في حقل النص.

   يعرض العميل اسم التطبيق عند الاتصال.

10. انقر فوق موافق، ثم انقر فوق تطبيق.

11. انقر فوق حفظ، ثم انقر فوق نعم لقبول التغييرات.

الخطوة 4. إنشاء مجموعة نفق وربطها بنهج المجموعة

يمكنك تحرير مجموعة النفق DefaultWebVPNGroup الافتراضية أو إنشاء مجموعة نفق جديدة.

لإنشاء مجموعة نفق جديدة، أكمل الخطوات التالية:

1. قم بتوسيع عامة، واختر مجموعة النفق.

   

2. انقر فوق إضافة، واختر وصول WebVPN.

   يظهر مربع الحوار إضافة مجموعة نفق.

   

3. أدخل اسما في حقل "الاسم".

4. انقر فوق السهم المنسدل لنهج المجموعة، واختر نهج المجموعة الذي أنشأته في الخطوة 3.

5. انقر فوق موافق، ثم انقر فوق تطبيق.

6. انقر فوق حفظ، ثم انقر فوق نعم لقبول التغييرات.

   يتم الآن ربط مجموعة النفق ونهج المجموعة وخصائص إعادة توجيه المنفذ.

الخطوة 5. إنشاء مستخدم وإضافة هذا المستخدم إلى نهج المجموعة

لإنشاء مستخدم وإضافة ذلك المستخدم إلى نهج المجموعة، أكمل الخطوات التالية:

1. قم بتوسيع عامة، واختر المستخدمين.

   

2. انقر فوق الزر إضافة.

   يظهر مربع الحوار إضافة حساب مستخدم.

   

3. أدخل قيم لمعلومات اسم المستخدم وكلمة المرور والامتياز، ثم انقر فوق علامة التبويب سياسة VPN.

   

4. انقر فوق السهم المنسدل لنهج المجموعة، واختر نهج المجموعة الذي أنشأته في الخطوة 3.

   يرث هذا المستخدم خصائص WebVPN ونهج نهج المجموعة المحددة.

5. انقر فوق موافق، ثم انقر فوق تطبيق.

6. انقر فوق حفظ، ثم نعم لقبول التغييرات.

تكوين VPN ل SSL قليل السمك باستخدام CLI

ASA Version 7.2(1)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0

!--- Output truncated



 port-forward portforward 3044 10.2.2.2 telnet Telnet to R1

!--- Configure the set of applications that WebVPN users !--- can access over forwarded TCP ports


group-policy NetAdmins internal

!--- Create a new group policy for enabling WebVPN access

group-policy NetAdmins attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn

!--- Configure group policy attributes

 webvpn
  functions port-forward auto-download

!--- Configure group policies for WebVPN

  port-forward value portforward

!--- Configure port-forward to enable WebVPN application access !--- for the new group policy

  port-forward-name value Secure Router Access

!--- Configure the display name that identifies TCP port !--- forwarding to end users



username user1 password tJsDL6po9m1UFs.h encrypted
username user1 attributes
 vpn-group-policy NetAdmins

!--- Create and add User(s) to the new group policy

http server enable
http 0.0.0.0 0.0.0.0 DMZ
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


tunnel-group NetGroup type webvpn
tunnel-group NetGroup general-attributes
 default-group-policy NetAdmins

!--- Create a new tunnel group and link it to the group policy

telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global


webvpn
 enable outside

!--- Enable Web VPN on Outside interface

 port-forward portforward 3044 10.2.2.2 telnet Telnet to R1
prompt hostname context

التحقق من الصحة

أستخدم هذا القسم للتحقق من أن التكوين لديك يعمل بشكل صحيح.

الإجراء

يوضح هذا الإجراء كيفية تحديد صلاحية التكوين وكيفية إختبار التكوين.

1. من محطة عمل عميلة، أدخل https://خارج_ASA_IP address ؛ حيث يكون outside_ASA_IPAddress هو عنوان SSL URL ل ASA.

   بمجرد قبول الشهادة الرقمية، ومصادقة المستخدم، تظهر صفحة ويب خدمة WebVPN.

   

   تظهر معلومات العنوان والمنفذ المطلوبة للوصول إلى التطبيق في العمود المحلي. لا تعرض الأعمدة "بايت خارج" و"بايت في" أي نشاط نظرا لعدم إستدعاء التطبيق في هذا الوقت.

2. أستخدم مطالبة DOS أو تطبيق Telnet آخر لبدء جلسة عمل Telnet.

3. في موجه الأمر، أدخل Telnet 127.0.0.1 3044.

   ملاحظة: يقدم هذا الأمر مثالا لكيفية الحصول على الوصول إلى المنفذ المحلي المعروض في صورة صفحة ويب لخدمة WebVPN في هذا المستند. لا يتضمن الأمر علامة نقطتين (:). اكتب الأمر كما هو موضح في هذا المستند.

   يتلقى ال ASA الأمر على ال يأمن جلسة، ولأنه يخزن خريطة من المعلومة، ال ASA يعرف فورا أن يفتح الآمن telnet جلسة إلى ال يخطط أداة.

   

   بمجرد إدخال اسم المستخدم وكلمة المرور، يكتمل الوصول إلى الجهاز.

4. للتحقق من الوصول إلى الجهاز، تحقق من وجود "وحدات البايت" و"وحدات البايت" في الأعمدة كما هو موضح في هذه الصورة:

   

الأوامر

يتم إقران العديد من أوامر العرض مع WebVPN. يمكنك تنفيذ هذه الأوامر في واجهة سطر الأوامر (CLI) لإظهار الإحصائيات ومعلومات أخرى. للحصول على معلومات تفصيلية حول أوامر العرض، ارجع إلى التحقق من تكوين WebVPN.

ملاحظة: الإنتاج مترجم يساند أداة (يسجل زبون فقط) (OIT) مؤكد عرض أمر. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .

استكشاف الأخطاء وإصلاحها

أستخدم هذا القسم لاستكشاف أخطاء التكوين وإصلاحها.

هل اكتملت عملية مصافحة SSL؟

بمجرد الاتصال ب ASA، تحقق مما إذا كان سجل الوقت الفعلي يظهر اكتمال تأكيد اتصال SSL.

هل يعمل SSL VPN Thin-Client؟

للتحقق من عمل SSL VPN Thin-Client، أكمل الخطوات التالية:

1. طقطقت monitore، وبعد ذلك طقطقت VPN.

2. مددت VPN إحصاء، وطقطقة جلسة.

   يجب أن تظهر جلسة عمل SSL VPN الخاصة بالعميل الدقيق في قائمة جلسات العمل. تأكد من التصفية بواسطة WebVPN كما هو موضح في هذه الصورة:

   

الأوامر

تقترن العديد من أوامر تصحيح الأخطاء ب WebVPN. للحصول على معلومات تفصيلية حول هذه الأوامر، ارجع إلى إستخدام أوامر تصحيح الأخطاء ل WebVPN.

ملاحظة: يمكن أن يؤثر إستخدام أوامر تصحيح الأخطاء سلبا على جهاز Cisco الخاص بك. قبل إستخدام أوامر debug، ارجع إلى معلومات مهمة عن أوامر تصحيح الأخطاء.

معلومات ذات صلة

• ClientWithout SSL VPN (WebVPN) على مثال تكوين ASA
• SSL VPN Client (SVC) على ASA مع مثال تكوين ASDM
• أجهزة الأمان المعدلة Cisco ASA 5500 Series Adaptive Security Appliances
• ASA مع WebVPN وتسجيل دخول أحادي باستخدام مثال تكوين ASDM و NTLMv1
• الدعم التقني والمستندات - Cisco Systems