请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 1313|回复: 6

【原创】IOS-XE远程连接之一SSLVPN

[复制链接]
发表于 2018-12-28 14:13:17 | 显示全部楼层 |阅读模式
IOS-XE和之间配置SSLVPN有点不太一样,今天分享下配置案例。
需要:
1,至少自签名证书。
2,anyconnect的pkg文件。

下面是关键配置:
hostname csr1kv
!
aaa new-model
!
aaa authenticationsuppress null-username
aaa authenticationlogin sslvpn local
aaa authorizationnetwork sslvpn local
!
no ip domain lookup
!
crypto pkitrustpoint csr1kv.local
enrollment selfsigned
subject-name cn=csr1kv.local
revocation-check none
rsakeypair csr1kv.local
!         
!
crypto pkicertificate chain csr1kv.local
certificate self-signed 01
  B84230DF 77267A70 ADBEF775 3791C3CF EF45FF13637343C9 9589D487 E0F4D050
  3E1A1CEE CEFCC9F8 168F91A2 D62EE440 A1674943D20F8EDB DB465130 109147BE
  99C342C5 921D3DBD 910CBECB 5638
        quit
#省略自签名部分
!
username adminprivilege 15 secret 5 $1$bVLV$u0lFX9bJ3IFSF7M6R7UFe.
username ciscopassword 7 060506324F41
!
!
crypto ssl proposalsslvpn-proposal
protection rsa-3des-ede-sha1 rsa-rc4128-md5rsa-aes128-sha1 rsa-aes256-sha1
!
crypto sslauthorization policy sslvpn-auth-policy
pool sslvpn
dns 10.1.1.100
def-domain iteachs.com
route set access-list sslvpn-tunnel
!
crypto ssl policysslvpn-policy
ssl proposal sslvpn-proposal
pki trustpoint csr1kv.local sign
ip address local 202.100.1.100 port 443
!
crypto ssl profilesslvpn-profile
match policy sslvpn-policy
aaa authentication user-pass list sslvpn
aaa authorization group user-pass list sslvpnsslvpn-auth-policy
authentication remote user-pass
max-users 100
!
!
crypto vpnanyconnect bootflash:/anyconnect-win-4.6.03049-webdeploy-k9.pkg sequence 1
!
interface Loopback0
ip address 10.1.1.1 255.255.255.0
!
interfaceGigabitEthernet1
ip address 202.100.1.100 255.255.255.0
negotiation auto
!
ip local pool sslvpn172.16.1.1 172.16.1.100
ip route192.168.100.0 255.255.255.0 202.100.1.1
ip access-liststandard sslvpn-tunnel
permit 10.1.1.0 0.0.0.255
!
下面是客户端连接:

查看设备连接状态信息:
csr1kv#show version
Cisco IOS XESoftware, Version 03.16.06.S - Extended Support Release
Cisco IOS Software,CSR1000V Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.5(3)S6, RELEASESOFTWARE (fc3)
Copyright (c)1986-2017 by Cisco Systems, Inc.
Compiled Mon24-Jul-17 20:01 by mcpre


Cisco IOS-XEsoftware, Copyright (c) 2005-2017 by cisco Systems, Inc.
All rightsreserved.  Certain components of CiscoIOS-XE software are
licensed under theGNU General Public License ("GPL") Version 2.0.  The
software codelicensed under GPL Version 2.0 is free software that comes
with ABSOLUTELY NOWARRANTY.  You can redistribute and/ormodify such
GPL code under theterms of GPL Version 2.0.  For moredetails, see the
documentation or"License Notice" file accompanying the IOS-XE software,
or the applicableURL provided on the flyer accompanying the IOS-XE
software.


ROM: IOS-XE ROMMON

csr1kv uptime is 39minutes
Uptime for thiscontrol processor is 40 minutes
System returned toROM by reload
System image file is"bootflash:packages.conf"
Last reload reason:Unknown reason



This productcontains cryptographic features and is subject to United
States and localcountry laws governing import, export, transfer and
use. Delivery ofCisco cryptographic products does not imply
third-partyauthority to import, export, distribute or use encryption.
Importers,exporters, distributors and users are responsible for
compliance with U.S.and local country laws. By using this product you
agree to comply withapplicable laws and regulations. If you are unable
to comply with U.S.and local laws, return this product immediately.

A summary of U.S.laws governing Cisco cryptographic products may be found at:

If you requirefurther assistance please contact us by sending email to
export@cisco.com.

License Level: ax
License Type:Default. No valid license found.
Next reload licenseLevel: ax

cisco CSR1000V (VXE)processor (revision VXE) with 1090313K/6147K bytes of memory.
Processor board ID9ZMT9E7R1HJ
4 Gigabit Ethernetinterfaces
32768K bytes ofnon-volatile configuration memory.
3022272K bytes ofphysical memory.
7774207K bytes ofvirtual hard disk at bootflash:.

Configurationregister is 0x2102

csr1kv#
csr1kv#show cryptossl session
SSL profile name:sslvpn-profile
Client_Login_Name  Client_IP_Address  No_of_Connections  Created Last_Used
cisco              192.168.100.100            1         00:00:49  00:00:29
csr1kv#show cryptossl session user cisco

Interface         : SSLVPN-VIF0
Session Type      : Full Tunnel
Client User-Agent :AnyConnect Windows 4.6.03049                                

Username          : cisco                Num Connection : 1                  
Public IP         : 192.168.100.100     
Profile           : sslvpn-profile      
Policy            : sslvpn-policy      
Last-Used         : 00:00:36             Created        : *08:24:52.328 UTC Thu Dec 6 2018
Tunnel IP         : 172.16.1.1           Netmask        : 0.0.0.0            
Rx IP Packets     : 2                    Tx IP Packets  : 28                  
csr1kv#
csr1kv#
csr1kv#
csr1kv#show cryptossl session user cisco detail

Interface         : SSLVPN-VIF0
Session Type      : Full Tunnel
Client User-Agent :AnyConnect Windows 4.6.03049                                

Username          : cisco                Num Connection : 1                  
Public IP         : 192.168.100.100     
Profile           : sslvpn-profile      
Policy            : sslvpn-policy      
Last-Used         : 00:00:00             Created        : *08:24:52.328 UTC Thu Dec 6 2018
Session Timeout   : 43200                Idle Timeout   : 1800               
DNS primary       : 10.1.1.100           WINS primary   : None               
DNS secondary     : None                 WINS secondary : None               
IP6 DNS primary   : None
IP6 DNS secondary :None
DPD GW Timeout    : 300                  DPD CL Timeout : 300                 
Address Pool      : sslvpn              
MTU Size          : 1406               
Disconnect Time   : 0                  
Rekey Time        : 3600               
Lease Duration    : 43200                Keepalive      : 30                  
Tunnel IP         : 172.16.1.1           Netmask        : 0.0.0.0            
Rx IP Packets     : 2                    Tx IP Packets  : 34                  
CSTP Started      : 00:01:32             Last-Received  : 00:00:00            
CSTP DPD-Req sent :0                  
Msie-ProxyServer  : None               
Msie-PxyOption    : Disabled            
Msie-Exception    : None
Split DNS         : None
ACL               : sslvpn-tunnel
Default Domain    : iteachs.com
Client Ports      : 49190

Detail SessionStatistics for User:: cisco
----------------------------------

CSTP Statistics::
Rx CSTP Frames    : 36                 Tx CSTP Frames   : 0                  
Rx CSTP Bytes     : 2537               Tx CSTP Bytes    : 120                 
Rx CSTP Data Fr   : 34                 Tx CSTP Data Fr  : 2                  
Rx CSTP CNTL Fr   : 2                  Tx CSTP CNTL Fr  : 0                  
Rx CSTP DPD Req   : 0                  Tx CSTP DPD Req  : 0                  
Rx CSTP DPD Res   : 0                  Tx CSTP DPD Res  : 0                  
Rx Addr Renew Req :0                  Tx Address Renew :0                  
Rx Dropped Frames :0                  Tx Dropped Frame :0                  
Rx IP Packets     : 2                  Tx IP Packets    : 34                  
Rx IP Bytes       : 120                Tx IP Bytes      : 2249               
Rx IP6 Packets    : 0                  Tx IP6 Packets   : 0                  
Rx IP6 Bytes      : 0                  Tx IP6 Bytes     : 0                  

CEF Statistics::
Rx CSTP Data Fr   : 0                  Tx CSTP Data Fr  : 0                  
Rx CSTP Bytes     : 0                  Tx CSTP Bytes    : 0                  
csr1kv#

csr1kv



相关链接:
【原创】IOS-XE远程连接之二Anyconnect-EAP
【原创】IOS-XE远程连接之三Anyconnect证书认证
【原创】IOS-XE远程连接之四和OpenWrt组DMVPN

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
 楼主| 发表于 2018-12-28 16:21:39 | 显示全部楼层
感谢管理员扶我上去~~!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-12-29 17:06:48 | 显示全部楼层
wuhao0015 发表于 2018-12-28 16:21
感谢管理员扶我上去~~!

坐稳喽~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-4-20 12:14:23 | 显示全部楼层
谢谢楼主分享,正在尝试,遇到了一个问题请教一下。
我是isr4221的设备,ios-xe16.9.3。有sec许可证。
其中这两段命令敲不进去:
!
crypto sslauthorization policy sslvpn-auth-policy
pool sslvpn
dns 10.1.1.100
def-domain iteachs.com
route set access-list sslvpn-tunnel
!
crypto ssl policysslvpn-policy
crypto ssl profilesslvpn-profile
match policy sslvpn-policy
aaa authentication user-pass list sslvpn
aaa authorization group user-pass list sslvpnsslvpn-auth-policy
authentication remote user-pass
max-users 100
!

crypto ssl 后只有两个可选的参数:
  policy    Define SSL policies
  proposal  Define ssl Proposal
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-4-25 20:09:28 | 显示全部楼层
这个需要什么许可
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-4-26 09:14:28 | 显示全部楼层
本帖最后由 wuhao0015 于 2019-4-26 09:47 编辑
wupeifeng 发表于 2019-4-25 20:09
这个需要什么许可

这个是CSR1000v的普通版本,没有功能限制,但是有流量限制。
其他设备的情况还不知~!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-5-9 16:59:47 | 显示全部楼层
谢谢分享! 学习了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-8-21 18:39 , Processed in 0.094979 second(s), 46 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表