ยินดีต้อนรับสู่ show running-config ครับ

บล็อก show running-config นี้สร้างไว้เพื่อเป็นแหล่งรวบรวมเทคนิคการตั้งค่าอุปกรณ์เครือข่าย Cisco ไม่ว่าจะเป็น Cisco IOS Router, Cisco Catalyst Swtich, Cisco ASA Firewall, Cisco Mars เป็นต้น รวมทั้งอาจจะมีเทคนิคการตั้งค่าอุปกรณ์ในยี่ห้ออื่น ๆ บ้างเล็กน้อยครับ

ซึ่งบทความในบล็อกนี้ก็จะรวบรวมมาจากประสบการณ์ส่วนตัวของกระผมเองครับ (หากมีข้อผิดพลาดก็ขออภัยไว้ล่วงหน้าเลยละกันนะครับ) และก็อยากใช้พื้นที่แห่งนี้เป็นแหล่งในการแลกเปลี่ยนความรู้ รวมไปถึงวิธีการหรือเทคนิคการตั้งค่าอุปกรณ์เครือข่าย กับทุก ๆ คนครับ

Saturday, June 11, 2011

การตั้งค่า Clientless WebVPN(SSL-VPN) บน Cisco IOS Router

Configure Clientless WebVPN (SSL-VPN) on Cisco IOS Router

Title copy

          สวัสดีครับเพื่อน ๆ ในวันนี้ ผมก็จะมาแนะนำเรื่องราวที่เกี่ยวกับ WebVPN หรือ SSL-VPN ที่ได้เคยพูดถึงไว้บ้างแล้วจากบทความก่อนหน้านี้นะครับ แต่ในบทความก่อนหน้านี้เรายังไม่ได้พูดถึงเทคนิคการตั้งค่ากันเลยใช่มั้ยครับ มาในวันนี้ผมจึงขอแนะนำเทคนิคการตั้งค่า WebVPN แบบพื้นฐานที่สุดกันก่อนครับ นั่นก็คือ การตั้งค่า WebVPN หรือ SSL-VPN แบบ Clientless บน Cisco IOS Router นั่นเองครับ

          การตั้งค่า WebVPN หรือ SSL-VPN นี้สามารถทำได้บน Cisco Router IOS Software Release 12.4(6)T เป็นต้นมานะครับ และสำหรับเพื่อน ๆ ที่ยังไม่รู้จักกับ WebVPN ผมก็ขอแนะนำให้ติดตามบทความ มาทำความรู้จักกับ Cisco WebVPN (SSL VPN) กันเถอะ ก่อนนะครับ แต่สำหรับเพื่อน ๆ ที่พอจะรู้จักการทำงานมาบ้างแล้ว เราก็มาดูเทคนิคการตั้งค่ากันเลยดีกว่านะครับ

          WebVPN หรือ SSL-VPN นั้น จะทำให้ผู้ใช้สามารถเชื่อมต่อมาสู่ WebVPN Server เพื่อเข้ามาใช้งานทรัพยากรภายในองค์กรได้จากทุก ๆ ที่ ที่สามารถเชื่อมต่อสู่อินเทอร์เน็ตได้ อีกทั้งยังมีการรักษาความปลอดภัย โดยการเข้ารหัสข้อมูลด้วยการใช้ SSL หรือ TLS Protocol โดยที่เครื่องของผู้ใช้ไม่ต้องทำการติดตั้ง ซอฟท์แวร์พิเศษใด ๆ เพิ่มเติม เพียงแค่มีการใช้งาน Web Browser ใด ๆ ก็ได้ในการเชื่อมต่อ  แต่ในการใช้งาน Clientless WebVPN นั้น จะสามารถใช้งานได้เฉพาะ Application ในรูปแบบ Web Application เท่านั้น ไม่สามารถใช้งาน Application อื่น ๆ ที่นอกเหนือจากนี้ เช่น Telnet หรือ Application อื่น ๆ ที่ไม่มีการใช้งานในรูปแบบ Web Based ได้

10-6-2554 17-02-10 ภาพแสดงการใช้ Wireshark ดักจับ Packet ที่ใช้งาน SSL-VPN จะพบว่ามีการเข้ารหัสข้อมูลเอาไว้

การใช้งาน Clientless WebVPN มีข้อดี ดังนี้

  • ผู้ใช้สามารถเชื่อมต่อเพื่อใช้งานทรัพยากรต่าง ๆ ในรูปแบบ Web Based จากที่ใดก็ตามที่สามารถเชื่อมต่อสู่อินเทอร์เน็ตได้
  • ผู้ใช้ไม่จำเป็นที่จะต้องทำการติดตั้งซอฟท์แวร์พิเศษใด ๆ เพิ่มเติม เพียงแค่ใช้งาน Web Browser ทั่วไปในการเชื่อมต่อ
  • รองรับการใช้งาน Web Application ทั้งแบบ HTML และ JavaScript เช่นการใช้งาน webmail เป็นต้น
  • รองรับการใช้งานใน Application ต่าง ๆ ดังนี้ Intranet, Citrix, Windows file Shared(CIFS)
  • รองรับการใช้งานร่วมกับ Web Browser ที่หลากหลาย

          เอาล่ะครับ ยังไงเรามาเริ่มดูตัวอย่างการตั้งค่ากันเลยดีกว่านะครับ โดยขั้นตอนในการตั้งค่า WebVPN หรือ SSL-VPN ในแบบ Clientless บน Cisco IOS Router ก็มีดังนี้ครับ

  1. ทำการตั้งค่าพื้นฐานของอุปกรณ์ เช่น hostname, domain-name, ntp เป็นต้น
  2. ทำการตั้งค่าอินเทอร์เฟสของเราเตอร์ให้เรียบร้อย เช่นการกำหนด ip address การตั้งค่า nat เป็นต้น
  3. ทำการตั้งค่า AAA เพื่อการพิสูจน์ตัวตนผู้ใช้
  4. ทำการตั้งค่า WebVPN Gateway เพื่อใช้เป็น gateway ในการเชื่อมต่อของผู้ใช้ WebVPN
  5. ทำการตั้งค่า WebVPN Context เพื่อกำหนดรายละเอียดต่าง ๆ ในการใช้งาน WebVPN
  6. (ทางเลือก)ทำการตั้งค่า WebVPN Policy Group เพื่อกำหนดรูปแบบและนโยบายในการใช้งาน WebVPN
  7. ตรวจสอบการทำงานและการตั้งค่า

topology

          ขั้นตอนแรก ก็จะเป็นการกำหนดค่า configuration ทั่วไป ของเราเตอร์นะครับ เช่น hostname, domain-name, ntp server และการตั้งวันและเวลาให้ตรงครับ ที่จำเป็นที่จะต้องตั้งค่าเหล่านี้ให้ถูกต้อง ก็เนื่องมาจาก ในการใช้งาน SSL-VPN จะต้องมีการใช้ Certificate ในการเข้ารหัสข้อมูล ที่ไอ้เจ้า Certificate ที่ว่านี้ ก็จะมีข้อมูล วัน-เวลา รวมทั้งชื่ออุปกรณ์อยู่ด้วย ซึ่งถ้าไม่ถูกต้อง ก็อาจจะทำให้การใช้งาน SSL-VPN มีปัญหาได้ครับ

ตัวอย่าง
Router(config)#hostname Running-config
Running-config(config)#ip domain-name blogspot.com
Running-config(config)#ntp server 203.185.69.60
Running-config(config)#clock timezone ICT 7

          จากนั้น ก็จะเป็นการตั้งค่าอินเทอร์เฟสที่ใช้งานครับ เช่นการกำหนด ip address ให้กับแต่ละอินเทอร์เฟส หรือการกำหนดค่า nat เป็นต้นครับ โดยถ้าเพื่อน ๆ มีการตั้งค่าในส่วนนี้บนอุปกรณ์ของเพื่อน ๆ แล้ว ก็สามารถข้ามขั้นตอนนี้ไปก็ได้ครับ

ตัวอย่าง
Running-config(config)#int fa0/0
Running-config(config-if)#description # Inside Interface #
Running-config(config-if)#ip add 10.10.10.1 255.255.255.0
Running-config(config-if)#no shut
Running-config(config-if)#exit

Running-config(config)#int fa0/1
Running-config(config-if)#description # Outside Interface #
Running-config(config-if)#ip add 175.88.92.129 255.255.255.248
Running-config(config-if)#no shut
Running-config(config-if)#exit

          จากนั้น จะเป็นการตั้งค่า AAA ครับ ซึ่งจะใช้ในการพิสูจน์ตัวตนของผู้ใช้ โดยถ้าเพื่อน ๆ ยังไม่รู้จักว่า AAA คืออะไร ก็เชิญติดตามบทความ:ทำความรู้จักกับ AAA model ได้เลยครับ

ตัวอย่าง
Running-config(config)#aaa new-model  
Running-config(config)#aaa authentication login ssl-vpn local-case
Running-config(config)#username sale privilege 0 password 12345

          จากนั้นก็จะเป็นการตั้งค่า WebVPN Gateway ครับ ซึ่งจะเป็นการกำหนดรายละเอียด ว่าเราจะให้ผู้ใช้ที่ต้องการเชื่อมต่อมายัง WebVPN นี้ เชื่อมต่อมาใน ip address และ port ใดครับ โดย WebVPN Gateway นี้จะเป็นเสมือนเป็น proxy สำหรับการเชื่อมต่อแต่ละครั้ง เพื่อเป็นการปกป้องทรัพยากรขององค์กร โดยใช้การรักษาความปลอดภัยด้วยการเข้ารหัสด้วย SSL ระหว่าง WebVPN Gateway และ Web Browser บนเครื่องของผู้ใช้ โดยเราสามารถใช้คำสั่ง "webvpn gateway" ได้ใน Global configuration mode เพื่อทำการสร้าง WebVPN Gateway ได้ครับ

ตัวอย่าง
Running-config(config)#webvpn gateway SSL-VPN-GW1
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Running-config(config-webvpn-gateway)#
*Jun  8 11:48:51.129: %SSH-5-ENABLED: SSH 1.99 has been enabled
*Jun  8 11:48:51.389: %PKI-4-NOAUTOSAVE: Configuration was modified.  Issue "write memory" to save new certificate

          จากตัวอย่างด้านบน เป็นการสร้าง WebVPN Gateway ที่มีชื่อว่า "SSL-VPN-GW1" โดยเมื่อเราใช้คำสั่ง "webvpn gateway SSL-VPN-GW1" แล้ว ถ้าบนเราเตอร์ยังไม่มี Certificate อยู่ ตัวเราเตอร์จะทำการสร้าง Certificate ขนาด 1024 bit ขึ้นมาโดยอัตโนมัติ โดย Certificate นี้จะเก็บอยู่บนตัวอุปกรณ์ ซึ่งเราสามารถใช้ Certificate นี้ในการสร้าง SSL-VPN หรือเราจะใช้ Certificate จาก CA Server อื่น ๆ ก็ได้ เช่นกัน

          เมื่อทำการสร้าง Certificate แล้ว ในขั้นต่อมาก็จะเป็นการกำหนดรายละเอียดต่าง ๆ ให้กับ WebVPN Gateway ของเรา ซึ่งค่าที่เราจะต้องทำการกำหนดลงไป ก็เช่น IP Address และหมายเลข Port ที่จะใช้งานสำหรับให้ผู้ใช้ทำการเชื่อมต่อมายัง SSL-VPN Gateway หรือการกำหนดการ redirect (ผู้ใช้สามารถเรียกใช้งานผ่าน port 80 ซึ่งเป็นค่าโดย default ของ http ได้ และ WebVPN Gateway จะทำการ redirect ไปยัง port ที่ใช้งานให้โดยอัตโนมัติ)เป็นต้น จากนั้นก็จะต้องเปิดการทำงานของ WebVPN Gateway นี้ ด้วยการใช้คำสั่ง "inservice" ครับ

Running-config(config-webvpn-gateway)#hostname Running-config
Running-config(config-webvpn-gateway)#ip address 175.88.92.129 port 443
Running-config(config-webvpn-gateway)#http-redirect port 80
Running-config(config-webvpn-gateway)#inservice

          หลังจากที่ทำการสร้าง WebVPN Gateway เสร็จเรียบร้อยแล้ว ในขั้นตอนต่อมา ก็จะเป็นการตั้งค่า WebVPN Context ซึ่งใช้ในการกำหนดรายละเอียดต่าง ๆ บนหน้า เวปเพจ ที่ผู้ใช้เข้ามาใช้งาน โดยเราสามารถสร้าง WebVPN Context นี้ได้ ด้วยการใช้คำสั่ง "webvpn context" ใน webvpn gateway configuration mode

ตัวอย่าง
Running-config(config)#webvpn context SSL-VPN-CON01
Running-config(config-webvpn-context)#gateway SSL-VPN-GW1
Running-config(config-webvpn-context)#aaa authentication list ssl-vpn        
Running-config(config-webvpn-context)#inservice
Running-config(config-webvpn-context)#exit

          จากตัวอย่างด้านบน เป็นการสร้าง WebVPN Context ที่มีชื่อว่า "SSL-VPN-CON01" โดยกำหนดให้ใช้ WebVPN Context นี้ กับ WebVPN Gateway ที่มีชื่อว่า "SSL-VPN-GW1" โดยเมื่อผู้ใช้ต้องการเรียกใช้งานผ่านหน้า Web Browser ก็จะต้องทำการกำหนดใน URL ว่า "https://<ip address>" ก็จะสามารถเชื่อมต่อสู่ Context นี้ได้ ซึ่งในส่วนนี้ ถ้าเราต้องการแยกการใช้งานบน Gateway นี้ออกเป็นหลาย ๆ Context เราก็สามารถใช้คำสั่ง "domain" ตามหลัง Gateway ที่ต้องการได้

ตัวอย่าง(ทางเลือก)
Running-config(config)#webvpn context SSL-VPN-CON01
Running-config(config-webvpn-context)#gateway SSL-VPN-GW1 domain engineer

          และถ้าใช้งานตามตัวอย่างด้านบน เมื่อเวลาผู้ใช้เรียกใช้งานผ่านหน้า Web Browser ก็จะต้องทำการกำหนดใน URL ว่า https://<ip address>/engineer จึงจะสามารถเข้าใช้งานใน Context นี้ได้

          เมื่อทำการกำหนด WebVPN Gateway ให้กับ WebVPN Context นี้เรียบร้อยแล้ว ในขั้นต่อไปเราก็จะต้องทำการกำหนด AAA list ที่เราจะใช้งานในการพิสูจน์ตัวตนของผู้ใช้ ซึ่งจากตัวอย่างด้านบน เราก็จะใช้งาน AAA Authentication list ที่มีชื่อว่า "ssl-vpn" ครับ และจากนั้นเราก็จะต้องทำการเปิดการทำงานของ Context นี้ ด้วยการใช้คำสั่ง "inservice" ด้วยครับ

          เมื่อเราทำการกำหนดค่า WebVPN Gateway และ WebVPN Context เรียบร้อยแล้ว เมื่อทดลองใช้งานจากเครื่องผู้ใช้ โดยทำการเปิด Web Browser มาเชื่อมต่อที่ "https://<ip address>" ก็จะพบหน้าตาตามรูปด้านล่างนี้ครับ

8-6-2554 19-02-44

          ทั้งนี้ เราสามารถทำการปรับเปลี่ยนค่าต่าง ๆ เพื่อกำหนดรูปแบบ หน้าเวปเพจตามที่ต้องการได้ครับ ซึ่งในส่วนนี้ ก็แล้วแต่เพื่อน ๆ เลยครับว่าต้องการให้หน้าเวปเพจของเรานั้นมีรูปแบบใด หรือจะทดลองตามตัวอย่างการตั้งค่าของผมก็ได้นะครับ

ตัวอย่าง
Running-config(config)#webvpn context SSL-VPN-CON01
Running-config(config-webvpn-context)#title "Running-config"
Running-config(config-webvpn-context)#login-message "Welcome To<P>Running-config<br>SSL-VPN"
Running-config(config-webvpn-context)#login-photo file login_photo.jpg
Running-config(config-webvpn-context)#logo file Running-config67x40.gif
Running-config(config-webvpn-context)#color #B9D3EE
Running-config(config-webvpn-context)#secondary-color #3063A5
Running-config(config-webvpn-context)#title-color #283A90
Running-config(config-webvpn-context)#exit

          หลังจากทำการกำหนดค่าตามตัวอย่างด้านบนเรียบร้อยแล้ว เมื่อทดลองใช้ Web Browser เชื่อมต่อมายัง WebVPN Server อีกครั้ง ก็จะพบกับหน้าเวปเพจ ดังรูปด้านล่างครับ

10-6-2554 12-47-22

          และเมื่อทำการ login โดยทำการใส่ username และ password ที่ถูกต้องลงไปแล้ว ก็จะพบหน้าตาเวปเพจ ดังรูปด้านล่างนี้ครับ

10-6-2554 12-52-57

          ซึ่งในตอนนี้ เราก็สามารถที่จะใช้งาน WebVPN ในการเข้าใช้ Web Application ได้แล้วครับ โดยสามารถทำการใส่ Address ของ Web Application ที่ต้องการในช่อง URL ได้เลยครับ

          และเรายังสามารถอำนวยความสะดวกในการใช้งานให้กับผู้ใช้ได้ ด้วยการสร้าง Bookmark เพื่อให้ผู้ใช้สามารถเข้าใช้งาน Web Application ได้ง่ายขึ้น เพียงแค่คลิ้กตาม Link ที่เราทำการกำหนดค่าเอาไว้ ไม่ต้องจำ Address ของ Web Application เสมอไป โดยเราจะต้องทำการสร้าง “URL List” และ “Policy Group” ก่อนนะครับ จึงจะสามารถใช้งาน Bookmark ได้

ตัวอย่าง
Running-config(config)#webvpn context SSL-VPN-CON01
Running-config(config-webvpn-context)#url-list “Running-config” 
Running-config(config-webvpn-url)#heading "Running-Config System"
Running-config(config-webvpn-url)#url-text "Tax Calculator" url-value http://www.ktam.co.th/th/vat.php
Running-config(config-webvpn-url)#exit

Running-config(config)#webvpn context SSL-VPN-CON01
Running-config(config-webvpn-context)#policy group SSL-POLICY01
Running-config(config-webvpn-group)#url-list "Running-config"
Running-config(config-webvpn-group)#exit
Running-config(config-webvpn-context)#default-group-policy SSL-POLICY01
Running-config(config-webvpn-context)#exit

          จากตัวอย่างด้านบน เป็นการสร้าง URL-List ที่มีชื่อว่า "Running-config" โดยมีการกำหนด URL ไปยัง Web Application ที่ใช้ในการคำนวนภาษีเงินได้นะครับ (ในส่วนนี้ขอยกตัวอย่างโปรแกรมคำนวนภาษีของเวป ktam มานะครับ) และเมื่อเราทำการสร้าง URL-List แล้ว เราก็จะต้องทำการสร้าง Policy Group ด้วย โดยจากตัวอย่างด้านบนนี้ ก็มีการสร้าง Policy Group ที่มีชื่อว่า "SSL-POLICY01" โดยทำการกำหนดให้ Policy นี้ใช้งาน url-list ที่เราสร้างขึ้นมาก่อนหน้านี้ จากนั้นจึงไปทำการกำหนดค่า default-group-policy ของ Context ให้ใช้งาน Policy ที่เราสร้างขึ้นมาครับ

          หลังจากที่ทำตามตัวอย่างด้านบนเรียบร้อยแล้ว เมื่อทดสอบเข้าหน้าเวปจะพบว่าสามารถใช้งาน Bookmask ได้แล้วตามภาพด้านล่างนี้นะครับ

10-6-2554 13-55-14

          และเมื่อคลิ้กไปที่ Link ที่เราทำการกำหนดเอาไว้ ก็จะเข้าสู่หน้า Web Application ที่เราทำการกำหนดไว้ครับ

10-6-2554 13-55-26

          เรายังสามารถทำการปรับแต่งค่าอื่น ๆ ใน Policy Group ได้อีกนะครับ เช่น การใส่ Banner, การปิดการใช้งาน URL Bar(เพื่อป้องกันไม่ให้ใช้ URL Bar ให้ใช้เฉพาะ Bookmark ที่กำหนดเท่านั้น), การตั้งค่า timeout ต่าง ๆ เป็นต้น

ตัวอย่าง
Running-config(config)#webvpn context SSL-VPN-CON01
Running-config(config-webvpn-context)#policy group SSL-POLICY01    
Running-config(config-webvpn-group)#banner "Welcome To Running-config System"
Running-config(config-webvpn-group)#hide-url-bar
Running-config(config-webvpn-group)#timeout idle 1200
Running-config(config-webvpn-group)#timeout session 3600
Running-config(config-webvpn-group)#exit

          หลังจากทำการตั้งค่าตามตัวอย่างด้านบนนี้แล้ว เมื่อทำการ login เข้าใช้งาน ก็จะพบกับ Banner ดังรูปด้านล่างนี้ครับ

10-6-2554 13-56-17

           และเมื่อ login เข้ามาแล้ว ก็จะพบว่าหน้าเวปเพจนั้นจะไม่มี URL Bar แล้วครับผม

10-6-2554 13-58-47

          ในตอนนี้ เราก็สามารถที่จะใช้งาน Web Application กันได้แล้วนะครับ ถ้าเพื่อน ๆ ต้องการใช้ WebVPN ในการใช้งาน Web Application เพียงอย่างเดียว ก็ไม่ต้องทำการตั้งค่าใด ๆ เพิ่มเติมแล้ว แต่ถ้าเพื่อน ๆ ต้องการที่จะใช้งาน Window File Shared (CIFS) หรือ Citrix ด้วย ก็จะต้องทำการตั้งค่าตามตัวอย่างด้านล่างนี้เพิ่มเติมนะครับ

          ในการเปิดการใช้งาน CIFS นี้ จะทำให้ผู้ใช้จากภายนอก สามารถทำการเข้าใช้งาน Window File Shared บนเครื่องคอมพิวเตอร์ภายในเครือข่ายภายในได้ โดยใช้งานผ่านหน้า Web Browser ทำให้สามารถรับ - ส่งไฟล์มายัง File Server ภายในองค์กร จากที่ใด ๆ ก็ตาม ที่สามารถเชื่อมต่อสู่อินเทอร์เน็ตได้

          ในการตั้งค่า CIFS นั้น ก็จะต้องทำการกำหนด NetBIOS List บนเราเตอร์ก่อน เนื่องจากในการใช้งาน Window File Shared นั้นจะใช้งานผ่าน NetBIOS ด้วยครับ ซึ่งเราสามารถตั้งค่าได้ตาม ตัวอย่างด้านล่างนี้ครับ

ตัวอย่าง
Running-config(config)#webvpn context SSL-VPN-CON01
Running-config(config-webvpn-context)#nbns-list "NBIOS Server"
Running-config(config-webvpn-nbnslist)#nbns-server 10.10.10.10
Running-config(config-webvpn-nbnslist)#exit

          จากตัวอย่างด้านบน เป็นการสร้าง NetBIOS List ที่มีชื่อว่า "NBIOS Server" โดยเราจะต้องกำหนด NetBIOS Server เอาไว้ ซึ่งสามารถใช้เครื่องภายในองค์กรเครื่องใดก็ได้ที่มีการเปิดใช้งาน NetBIOS เอาไว้ครับ

          และเมื่อทำการตั้งค่า NetBIOS List แล้ว ในขั้นตอนต่อมา เราก็จะต้องไปทำการกำหนดใน Policy Group กันต่อครับ เพื่อทำการเปิดใช้งาน CIFS ครับผม

ตัวอย่าง
Running-config(config)#webvpn context SSL-VPN-CON01
Running-config(config-webvpn-context)#policy group SSL-POLICY01
Running-config(config-webvpn-group)#nbns-list "NBIOS Server"
Running-config(config-webvpn-group)#functions file-access
Running-config(config-webvpn-group)#functions file-browse
Running-config(config-webvpn-group)#functions file-entry
Running-config(config-webvpn-group)#exit

          จากตัวอย่างด้านบน เป็นการกำหนดค่าใน Policy Group เพิ่มเติม โดยทำการกำหนดให้ใช้ NetBIOS List ที่มีชื่อว่า "NBIOS Server" และทำการเปิดการทำงานของ CIFS ด้วยการใช้คำสั่ง "function file-access" และ "function file-browser" ครับ และถ้าเราต้องการให้มีช่องสำหรับใส่ Address สำหรับ File Server เราก็สามารถใช้คำสั่ง "function file-entry" ในการเปิดการทำงานได้ ตามตัวอย่างด้านบนครับ

          หลังจากทำการตั้งค่าตามตัวอย่างด้านบนแล้ว เมื่อเข้าสู่หน้าเวปเพจก็จะพบหน้าตาตามตัวอย่างด้านล่างนี้ครับ

10-6-2554 19-05-13

          เราสามารถเข้าใช้งาน Window File Server ที่มีการ Shared File เอาไว้ได้ ด้วยการใส่ Address เข้าไปในช่อง “Network File:” เราก็จะสามารถเข้าไปใช้งาน File Server ได้ตามรูปด้านล่างนี้เลยครับ

10-6-2554 19-07-39

          และถ้าเราต้องการกำหนด Bookmark สำหรับ File Shared และปิดการใช้งานช่องสำหรับใส่ Address สำหรับ File Server เราก็สามารถทำได้ ด้วยการสร้าง CIFS URL List และนำไปเปิดใช้งานใน Policy Group จากนั้นจึงทำการปิดการทำงาน file-entry ตามตัวอย่างด้านล่างนี้ครับ 

ตัวอย่าง
Running-config(config)#webvpn context SSL-VPN-CON01
Running-config(config-webvpn-context)#cifs-url-list "File Share"
Running-config(config-webvpn-cifs-url)#heading "File Sharing"
Running-config(config-webvpn-cifs-url)#url-text "File Server 01" url-value "10.10.10.10"
Running-config(config-webvpn-cifs-url)#url-text "File Server 02" url-value "10.10.10.30"
Running-config(config-webvpn-cifs-url)#exit

Running-config(config-webvpn-context)#policy group SSL-POLICY01
Running-config(config-webvpn-group)#cifs-url-list "File Share"
Running-config(config-webvpn-group)#no functions file-entry
Running-config(config-webvpn-group)#exit

          และถ้ามีการใช้งาน Citrix บนระบบของเพื่อน ๆ ก็สามารถ เปิดการทำงานของ Citrix ได้ใน Policy Group นี้เช่นกันครับ

ตัวอย่าง
Running-config(config)#webvpn context SSL-VPN-CON01
Running-config(config-webvpn-context)#policy group SSL-POLICY01  
Running-config(config-webvpn-group)#citrix enabled
Running-config(config-webvpn-group)#exit

          หลังจากทำการกำหนดค่าตามตัวอย่างด้านเรียบร้อยแล้ว เมื่อ login เข้าสู่หน้าเวปเพจก็จะพบหน้าตาตามรูปด้านล่างนี้เลยครับ

10-6-2554 19-10-26

          เพียงเท่านี้ ก็จะสามารถสร้าง URL List สำหรับ Window File Shared ได้แล้วครับ สำหรับการใช้งานต่าง ๆ นั้น ก็ขอให้เพื่อน ๆ นำไปปรับใช้กันตามสะดวกนะครับ สำหรับตัวอย่างการตั้งค่าในวันนี้ก็ขอจบลงแต่เพียงเท่านี้ ในขั้นตอนต่อไป ก็จะแนะนำคำสั่ง ที่ใช้ในการตรวจสอบการทำงานกันนะครับ

คำสั่งที่ใช้ในการตรวจสอบการทำงาน

  • show webvpn gateway
  • show webvpn context <context-name>
  • show webvpn policy group <policy-name> context all
  • show webvpn session context all

ตัวอย่าง
Running-config#show webvpn gateway

Gateway Name                       Admin  Operation
------------                       -----  ---------
SSL-VPN-GW1                        up     up 

 

Running-config#show webvpn context SSL-VPN-CON01
Admin Status: up
Operation Status: up
Error and Event Logging: Disabled
CSD Status: Disabled
Certificate authentication type: All attributes (like CRL) are verified
AAA Authentication List: ssl-vpn
AAA Authorizationtion List not configured
AAA Authentication Domain not configured
Default Group Policy: SSL-POLICY01
Associated WebVPN Gateway: SSL-VPN-GW1
Domain Name and Virtual Host not configured
Maximum Users Allowed: 1000 (default)
NAT Address not configured
VRF Name not configured
Virtual Template not configured

 

Running-config#show webvpn policy group SSL-POLICY01 context all
WEBVPN: group policy = SSL-POLICY01 ; context = SSL-VPN-CON01
      banner = "Welcome To Running-config System"
      url list name = "Running-config"
      cifs url list name = "File Share"
      idle timeout = 1200 sec
      session timeout = 3600 sec
      nbns list name = "NBIOS Server"
      functions =
                hide-urlbar
                file-access
                file-browse

      citrix enabled
      dpd client timeout = 300 sec
      dpd gateway timeout = 300 sec
      keepalive interval = 30 sec
      SSLVPN Full Tunnel mtu size = 1406 bytes
      keep sslvpn client installed = disabled
      rekey interval = 3600 sec
      rekey method =  
      lease duration = 3600 sec

 

Running-config#show webvpn session context all
WebVPN context name: SSL-VPN-CON01
Client_Login_Name  Client_IP_Address  No_of_Conn  Created  Last_Used
sale               110.77.176.79          2       00:04:50  00:04:49 
engineer           109.62.125.81          6       00:04:01  00:03:39

3 comments :

  1. วิธีนี้มันสามารถใช้ RDP remote มาที่เครื่อง server ได้ไหมครับ

    ReplyDelete
  2. clientless ssl-vpn จะรองรับเฉพาะ Application ที่เป็น web-based เท่านั้นครับ ถ้าจะใช้งาน RDP ที่เป็น application ประเภท well know port คงจะต้องใช้ ssl-vpn แบบ thin-client ครับผม ซึ่งบทความเรื่อง thin-client นี้ยังไม่เสร็จดีครับผม ^_^

    ReplyDelete
  3. ผมทดลองทำแล้ว ติดปัญหา เรื่อง login เข้า Window File Server
    error "Login Attempt Failed - Please Try Again"
    พอมีคำแนะนำมัยครับ

    ReplyDelete