ยินดีต้อนรับสู่ show running-config ครับ

บล็อก show running-config นี้สร้างไว้เพื่อเป็นแหล่งรวบรวมเทคนิคการตั้งค่าอุปกรณ์เครือข่าย Cisco ไม่ว่าจะเป็น Cisco IOS Router, Cisco Catalyst Swtich, Cisco ASA Firewall, Cisco Mars เป็นต้น รวมทั้งอาจจะมีเทคนิคการตั้งค่าอุปกรณ์ในยี่ห้ออื่น ๆ บ้างเล็กน้อยครับ

ซึ่งบทความในบล็อกนี้ก็จะรวบรวมมาจากประสบการณ์ส่วนตัวของกระผมเองครับ (หากมีข้อผิดพลาดก็ขออภัยไว้ล่วงหน้าเลยละกันนะครับ) และก็อยากใช้พื้นที่แห่งนี้เป็นแหล่งในการแลกเปลี่ยนความรู้ รวมไปถึงวิธีการหรือเทคนิคการตั้งค่าอุปกรณ์เครือข่าย กับทุก ๆ คนครับ

Saturday, July 9, 2011

การตั้งค่า SSL VPN Client WebVPN บน Cisco IOS Router

Configure SSL VPN Client WebVPN on Cisco IOS Router

Title copy

          สวัสดีกันอีกครั้งครับเพื่อน ๆ ในวันนี้ผมจะขอแนะนำการตั้งค่า WebVPN บน Cisco IOS Router อีกรูปแบบหนึ่งกันครับ นั่นก็คือการตั้งค่า SSL VPN Client (SVC) WebVPN นั่นเองครับ หลังจากที่ได้แนะนำการตั้งค่า WebVPN ในแบบ Clientless และแบบ Thin-Client กันมาบ้างแล้วในบทความก่อนหน้านี้ครับ

          การตั้งค่า WebVPN หรือ SSL-VPN นี้สามารถทำได้บน Cisco Router IOS Software Release 12.4(6)T เป็นต้นมานะครับ และสำหรับเพื่อน ๆ ที่ยังไม่รู้จักกับ WebVPN ผมก็ขอแนะนำให้ติดตามบทความ มาทำความรู้จักกับ Cisco WebVPN (SSL VPN) กันเถอะ ก่อนนะครับ แต่สำหรับเพื่อน ๆ ที่พอจะรู้จักการทำงานมาบ้างแล้ว เราก็มาดูเทคนิคการตั้งค่ากันเลยดีกว่านะครับ

          WebVPN หรือ SSL-VPN นั้น จะทำให้ผู้ใช้สามารถเชื่อมต่อมาสู่ WebVPN Server เพื่อเข้ามาใช้งานทรัพยากรภายในองค์กร ได้จากทุก ๆ ที่ ที่สามารถเชื่อมต่อสู่อินเทอร์เน็ตได้ อีกทั้งยังมีการรักษาความปลอดภัย โดยการเข้ารหัสข้อมูลด้วยการใช้ SSL หรือ TLS Protocol โดยที่เครื่องของผู้ใช้ไม่ต้องทำการติดตั้ง ซอฟท์แวร์พิเศษใด ๆ เพิ่มเติม เพียงแค่มีการใช้งาน Web Browser ใด ๆ ก็ได้ในการเชื่อมต่อ ก็สามารถที่จะเชื่อมต่อเพื่อเข้ามาใช้งานทรัพยากรต่าง ๆ ภายในองค์กรได้แล้วครับ

          จากบทความที่ผ่าน ๆ มา จะเป็นการแนะนำการตั้งค่า WebVPN ในแบบ Clientless และ Thin-clinet ซึ่งจะสามารถใช้งานได้กับ Application บางประเภทเท่านั้น (Clientless จะใช้ได้กับ Web Application ส่วน Thin-Client จะใช้ได้กับ Static TCP Port Application เท่านั้น) แต่ในวันนี้ ผมจะขอแนะนำให้เพื่อน ๆ ได้รู้จักกับการใช้งาน WebVPN อีกรูปแบบหนึ่ง ซึ่งสามารถที่จะใช้งานได้กับ Application ทุก ๆ ประเภท ไม่ว่าจะใช้ TCP หรือ UDP Port เสมือนว่าใช้งานอยู่บนเครือข่ายเดียวกัน หรือจะเหมือนกับการใช้งาน Client to Site IPSec VPN เลยครับ

          โดยในการใช้งาน SSL VPN Client WebVPN นี้ บนเครื่องของผู้ใช้จะต้องทำการติดตั้งซอฟต์แวร์เพิ่มเติม โดยจะทำการดาวน์โหลดมาโดยอัตโนมัติเมื่อเริ่มทำการเชื่อมต่อ ซึ่งซอฟต์แวร์นี้จะใช้สำหรับการสร้างการเชื่อมต่อและการรักษาความปลอดภัยให้กับข้อมูลที่ทำการรับส่งกันครับ

          ในส่วนของการตั้งค่า SSL VPN Client WebVPN นั้น ก็จะมีขั้นตอนที่คล้าย ๆ กับ การตั้งค่า WebVPN Clientless ครับ โดยจะแตกต่างก็เพียงแต่จะมีการตั้งค่า SVC เพิ่มเติมขึ้นมาเพียงนิดหน่อยเท่านั้นครับ ซึ่งในการใช้งานจริงนั้น เราก็สามารถที่จะใช้งาน WebVPN ทั้งสามรูปแบบ ไปพร้อม ๆ กันได้เลยครับผม

สำหรับขั้นตอนในการตั้งค่า SVC WebVPN ก็มีดังนี้ครับ

  1. ทำการตั้งค่าพื้นฐานของอุปกรณ์ เช่น hostname, domain-name, ntp เป็นต้น
  2. ทำการตั้งค่าอินเทอร์เฟสของเราเตอร์ให้เรียบร้อย เช่นการกำหนด ip address การตั้งค่า nat การกำหนด routing การสร้าง address pool สำหรับผู้ใช้ที่เชื่อมต่อเข้ามา
  3. ทำการตั้งค่า AAA เพื่อการพิสูจน์ตัวตนผู้ใช้
  4. ทำการตั้งค่า WebVPN Gateway เพื่อใช้เป็น gateway ในการเชื่อมต่อของผู้ใช้ WebVPN
  5. ทำการตั้งค่า WebVPN Context เพื่อกำหนดรายละเอียดต่าง ๆ ในการใช้งาน WebVPN
  6. ทำการดาวน์โหลดและติดตั้ง SVC
  7. ทำการตั้งค่า SVC
  8. (ทางเลือก)การปรับแต่งค่า SVC
  9. ตรวจสอบการทำงานและการตั้งค่า

thin-client ssl-vpn topology

1.การตั้งค่าพื้นฐาน

          ขั้นตอนแรกนี้จะเป็นการตั้งค่าพื้นฐานต่าง ๆ ของเราเตอร์ ที่จำเป็นต่อการใช้งาน WebVPN อย่างเช่น hostname, domain-name, ntp เป็นต้น เนื่องจากจะต้องนำค่าเหล่านี้ไปใช้ประกอบในใบ Certificate ที่จะนำไปใช้สำหรับการเข้ารหัสข้อมูล

ตัวอย่าง
Router(config)#hostname Running-config
Running-config(config)#ip domain-name blogspot.com
Running-config(config)#ntp server 203.185.69.59
Running-config(config)#clock timezone ICT 7

2.การตั้งค่าอินเทอร์เฟสของเราเตอร์

          เป็นการตั้งค่าอินเทอร์เฟสของเราเตอร์ให้เรียบร้อยก่อนครับ โดยค่าที่จะต้องทำการกำหนดลงไปก็เช่น ip address, การตั้งค่า nat รวมไปถึงการตั้งค่า routing และการสร้าง Address Pool เพื่อจ่ายให้กับผู้ใช้ที่ทำการเชื่อมต่อเข้ามาครับ

ตัวอย่าง
Running-config(config)#interface FastEthernet 0/0
Running-config(config-if)#description # inside #
Running-config(config-if)#ip address 10.10.10.1 255.255.255.0
Running-config(config-if)#no shut
Running-config(config-if)#exit

Running-config(config)#interface FastEthernet 0/1
Running-config(config-if)#description # outside #
Running-config(config-if)#ip address 175.88.92.129 255.255.255.248
Running-config(config-if)#no shut   
Running-config(config-if)#exit

Running-config(config)#ip route 0.0.0.0 0.0.0.0 175.88.92.130
Running-config(config)#ip local pool ssl-client-pool 10.10.11.10 10.10.11.20

          จากตัวอย่างด้านบน มีการสร้าง Address pool ที่มีชื่อว่า ssl-client-pool โดยกำหนดให้ใช้ IP Address ตั้งแต่ 10.10.11.10 ถึง 10.10.11.20 ในการแจกให้กับผู้ที่เชื่อมต่อเข้ามาใช้งาน SVC WebVPN ครับ

3.การตั้งค่า AAA

          จากนั้นจะเป็นขั้นตอนของการตั้งค่า AAA เพื่อใช้ในการพิสูจน์ตัวตนของผู้ใช้ที่ทำการติดต่อมายัง WebVPN Server นี้ โดยจะเป็นการสร้าง Authentication list และสร้าง username ที่ต้องการ สำหรับเพื่อน ๆ ยังไม่ทราบว่า AAA คืออะไร ก็ขอให้ติดตามบทความ : ทำความรู้จักกับ AAA model ก่อนนะครับ

ตัวอย่าง
Running-config(config)#aaa new-model
Running-config(config)#aaa authentication login ssl-vpn local
Running-config(config)#username engineer privilege 0 secret 12345

4.การตั้งค่า WebVPN Gateway

          เมื่อทำการตั้งค่ารายละเอียดต่าง ๆ ที่เกี่ยวข้องกับการทำงานของ WebVPN เรียบร้อยแล้ว เราก็จะมาเริ่มทำการตั้งค่า WebVPN กันซะทีนะครับ นั่นก็คือการสร้าง WebVPN Gateway ซึ่งจริง ๆ แล้วเราจะต้องทำการสร้าง RSA Keys ก่อน แต่ในขั้นตอนนี้ เมื่อเราทำการสร้าง WebVPN Gateway ตัวอุปกรณ์ก็จะสร้าง RSA Keys ขึ้นมาให้โดยอัตโนมัติเลยครับ ผมก็เลยขอข้ามขั้นตอนการสร้าง RSA Keys ไปนะครับ(หรือสำหรับเพื่อน ๆ ที่ต้องการใช้ Certificate จาก CA Server อื่น ๆ ก็สามารถใช้ได้ครับผม)

          สำหรับ WebVPN Gateway นี้ จะเป็นการกำหนดรายละเอียด ว่าเราจะให้ผู้ใช้ที่ทำการเชื่อมต่อเข้ามายัง ip address และ port อะไร โดยเปรียบเสมือนเป็น proxy ระหว่างเครื่องของผู้ใช้ที่เชื่อมต่อเข้ามา กับทรัพยากรภายในเครือข่าย โดยเราสามารถสร้าง WebVPN Gateway ได้ด้วยการใช้คำสั่ง "webvpn gateway <name>" ใน global configuration mode ครับ

ตัวอย่าง
Running-config(config)#webvpn gateway ssl-gw-01
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Running-config(config-webvpn-gateway)#
*Jul  6 18:09:26.481: %SSH-5-ENABLED: SSH 1.99 has been enabled
*Jul  6 18:09:26.721: %PKI-4-NOAUTOSAVE: Configuration was modified.  Issue "write memory" to save new certificate

          จากตัวอย่างด้านบน เป็นการสร้าง WebVPN Gateway ที่มีชื่อว่า "ssl-gw-01" โดยเมื่อเราทำการสร้าง WebVPN Gateway แล้ว ถ้าบนตัวอุปกรณ์ของเรายังไม่มี หรือไม่ได้กำหนด RSA Keys เอาไว้ ตัวเราเตอร์ก็จะทำการสร้าง RSA Keys ขนาด 1024 bit ขึ้นมาให้โดยอัตโนมัติครับ

          และเมื่อทำการสร้าง WebVPN Gateway แล้ว เราก็จะต้องมาทำการกำหนดรายละเอียดต่าง ๆ ของ WebVPN Gateway ของเรากันครับ

ตัวอย่าง
Running-config(config)#webvpn gateway ssl-gw-01
Running-config(config-webvpn-gateway)#ip interface FastEthernet 0/1 port 443
Running-config(config-webvpn-gateway)#http-redirect port 80
Running-config(config-webvpn-gateway)#inservice
Running-config(config-webvpn-gateway)#exit

          จากตัวอย่างด้านบน เป็นการกำหนดค่า WebVPN Gateway โดยกำหนดให้ใช้ IP Address ของอินเทอร์เฟส FastEthernet 0/1 (175.88.92.129) Port 443 (https) ในการเชื่อมต่อสู่ WebVPN โดยมีการกำหนดให้ทำการ redirect ถ้ามีผู้ใช้เรียกใช้งานผ่าน port 80 (http) มาด้วย จากนั้นจึงเปิดใช้งานด้วยการใช้คำสั่ง "inservice" ครับ

5.การตั้งค่า WebVPN Context

          หลังจากที่ทำการตั้งค่า WebVPN Gateway เรียบร้อยแล้ว ในขั้นตอนต่อมาจะเป็นการตั้งค่า WebVPN Context ที่จะใช้สำหรับกำหนดเนื้อหาภายในหน้าเวปเพจ SSL-VPN ของเรา โดยเราสามารถสร้าง WebVPN Context ได้ด้วยการใช้คำสั่ง "webvpn context <name>" ใน global configuration mode ครับ

ตัวอย่าง
Running-config(config)#webvpn context ssl-con-01
Running-config(config-webvpn-context)#gateway ssl-gw-01
Running-config(config-webvpn-context)#aaa authentication list ssl-vpn
Running-config(config-webvpn-context)#inservice
Running-config(config-webvpn-context)#exit

           จากตัวอย่างด้านบน เป็นการตั้งค่า WebVPN Context ที่ใช้ชื่อว่า "ssl-con-01" โดยกำหนดให้ใช้งาน Context นี้กับ gateway ที่มีชื่อว่า "ssl-gw-01" (ที่เราทำการสร้างไว้เมื่อขั้นตอนที่ผ่านมา) จากนั้นก็ทำการเปิดการทำงานของ Context นี้ ด้วยการใช้คำสั่ง "inservice"

          และเมื่อทำตามตัวอย่างด้านบนเรียบร้อยแล้ว เพื่อน ๆ สามารถใช้ Web Browser ทดลองเข้าใช้งาน WebVPN จากเครื่องของผู้ใช้ได้ โดยกำหนด URL ตามหมายเลข IP Address ที่ได้กำหนดไว้ในขั้นตอนที่ผ่านมา (จากตัวอย่างนี้คือ https://175.88.92.129)

8-6-2554 19-02-44

          ทั้งนี้ เราสามารถทำการปรับเปลี่ยนค่าต่าง ๆ เพื่อกำหนดรูปแบบ หน้าเวปเพจตามที่ต้องการได้ครับ ซึ่งในส่วนนี้ ก็แล้วแต่เพื่อน ๆ เลยครับว่าต้องการให้หน้าเวปเพจของเรานั้นมีรูปแบบใด หรือจะทดลองตามตัวอย่างการตั้งค่าของผมก็ได้นะครับ

ตัวอย่าง
Running-config(config)#webvpn context ssl-con-01
Running-config(config-webvpn-context)#title "Running-config"
Running-config(config-webvpn-context)#login-message "Welcome To<P>Running-config<br>SSL-VPN"
Running-config(config-webvpn-context)#login-photo file login_photo.jpg
Running-config(config-webvpn-context)#logo file Running-config67x40.gif
Running-config(config-webvpn-context)#color #B9D3EE
Running-config(config-webvpn-context)#secondary-color #3063A5
Running-config(config-webvpn-context)#title-color #283A90
Running-config(config-webvpn-context)#exit

           หลังจากทำการกำหนดค่าตามตัวอย่างด้านบนเรียบร้อยแล้ว เมื่อทดลองใช้ Web Browser เชื่อมต่อมายัง WebVPN Server อีกครั้ง ก็จะพบกับหน้าเวปเพจ ดังรูปด้านล่างครับ

7-7-2554 1-09-40

6.การดาวน์โหลดและติดตั้ง SVC

          หลังจากที่เราทำการตั้งค่า WebVPN Context เสร็จเรียบร้อยแล้ว ในขั้นตอนต่อมาก็จะเริ่มทำการตั้งค่าที่เกี่ยวข้องกับ SSL VPN Client กันนะครับ โดยก่อนอื่น เราจะต้องมี software SSL VPN Client ก่อน ซึ่งสามารถดาวน์โหลดได้ที่ เวปไซต์ cisco.com นะครับ โดยเมื่อทำการดาวน์โหลดมาแล้ว ก็จัดการ copy ไฟล์ ไปยังตัวอุปกรณ์กันเลยครับ ซึ่งในตัวอย่างนี้ ผมก็ใช้วิธีการ TFTP ในการส่งไฟล์ที่ว่าไปยัง เราเตอร์นะครับ

ตัวอย่าง
Running-config#copy tftp: flash:
Address or name of remote host []? 10.10.10.10
Source filename []? sslclient-win-1.1.4.179.pkg
Destination filename [sslclient-win-1.1.4.179.pkg]?
Accessing tftp://10.10.10.10/sslclient-win-1.1.4.179.pkg...
Loading sslclient-win-1.1.4.179.pkg from 10.10.10.10 (via FastEthernet0/1): !!
[OK - 418765 bytes]

418765 bytes copied in 2.280 secs (183669 bytes/sec)

          เมื่อทำการ copy ไปเก็บไว้บนตัวเราเตอร์เรียบร้อยแล้ว ในขั้นตอนต่อมา ก็จะเป็นการติดตั้ง SSL VPN Client บนตัวเราเตอร์นะครับ ซึ่งสามารถทำได้ด้วยการใช้คำสั่ง "webvpn install svc <file>" ครับ

ตัวอย่าง
Running-config(config)#webvpn install svc flash:/sslclient-win-1.1.4.179.pkg
SSLVPN Package SSL-VPN-Client (seq:1): installed successfully

7.การตั้งค่า SVC

          หลังจากที่ทำการติดตั้ง SVC กันไปแล้วในขั้นตอนที่ผ่านมา ในขั้นตอนนี้ก็จะเป็นการตั้งค่า SSL VPN Client กันนะครับ ก็จะเป็นการกำหนดรายละเอียดต่าง ๆ ที่เราจะใช้งานนะครับ เช่น หมายเลข IP Address ที่จะใช้ในการแจกให้กับผู้ใช้ที่ทำการเชื่อมต่อเข้ามา เป็นต้นครับ โดยเราจะต้องไปทำการตั้งค่า SVC กันใน Policy Group นะครับ

ตัวอย่าง
Running-config(config)#webvpn context ssl-con-01
Running-config(config-webvpn-context)#policy group ssl-policy-01
Running-config(config-webvpn-group)#svc address-pool ssl-client-pool
Running-config(config-webvpn-group)#svc dns-server primary 203.144.207.29
Running-config(config-webvpn-group)#functions svc-enabled
Running-config(config-webvpn-group)#exit
Running-config(config-webvpn-context)#default-group-policy ssl-policy-01
Running-config(config-webvpn-context)#exit

          จากตัวอย่างด้านบน เป็นการสร้าง Policy Group ที่มีชื่อว่า "ssl-policy-01" โดยกำหนดให้ WebVPN Context ที่มีชื่อว่า "ssl-con-01" ใช้งาน Policy Group นี้ เป็น Default Policy โดยภายใน Policy Group นี้ มีการกำหนดให้ใช้ Address Pool ที่มีชื่อว่า "ssl-client-pool" (ที่ทำการตั้งค่าในขั้นตอนก่อนหน้า) เป็น Pool ที่จะใช้ในการจ่าย IP Address ให้กับผู้ใช้ และกำหนดให้ใช้งาน dns server เป็น 203.144.207.29 จากนั้นก็ทำการเปิดการทำงานของ SVC ด้วยการใช้คำสั่ง "functions svc-enabled" ครับ

          หลังจากทำการกำหนดค่าตามตัวอย่างด้านบนเรียบร้อยแล้ว เมื่อทดลองใช้ Web Browser ในการ login เข้าใช้งาน WebVPN และทำการคลิ้ก Start ที่ Tunnel Connection (SVC) ก็จะมีการดาวน์โหลด Software มาโดยอัตโนมัติ และก็จะสามารถเชื่อมต่อเข้าใช้งาน SVC ได้ โดยจะมีสถานะการทำงานของ SVC ตามรูปด้านล่างครับ เพียงเท่านี้ ก็จะสามารถใช้งาน SVC WebVPN ได้แล้วครับผม

7-7-2554 1-44-03 7-7-2554 1-44-15

8.การปรับแต่งค่า SVC

          ที่จริงแล้ว เมื่อเสร็จสิ้นขั้นตอนที่ผ่านมา ก็จะสามารถใช้งาน SSL VPN Client ได้แล้ว แต่ถ้าหากใช้การตั้งค่าตามขั้นตอนที่ผ่านมา เมื่อเครื่องของผู้ใช้ทำการเชื่อมต่อเข้าใช้งาน SVC จะทำให้เครื่องของผู้ใช้ ไม่สามารถที่จะเชื่อมต่อไปยังที่อื่น ๆ ได้ นอกเหนือจากเครือข่ายภายในฝั่ง WebVPN Server เนื่องจากเรายังไม่ได้มีการตั้งค่า Split Tunnel เอาไว้ ซึ่งเราสามารถทำการตั้งค่า Split Tunnel ได้ เพื่อให้ผู้ใช้ที่ทำการเชื่อมต่อเข้ามา จะยังสามารถเชื่อมต่อไปยังที่อื่น ๆ เช่น อินเทอร์เน็ต ได้พร้อม ๆ กับการเชื่อมต่อสู่ WebVPN Server

ตัวอย่าง
Running-config(config)#webvpn context ssl-con-01
Running-config(config-webvpn-context)#policy group ssl-policy-01
Running-config(config-webvpn-group)#svc split include 10.10.10.0 255.255.255.0
Running-config(config-webvpn-group)#exit

          จากตัวอย่างด้านบน เป็นการตั้งค่า WebVPN Split Tunnel โดยกำหนดให้เครื่องของผู้ใช้ที่ทำการเชื่อมต่อเข้ามาส่งข้อมูลไปยัง WebVPN Server เฉพาะข้อมูลที่มี Destination อยู่ใน Subnet 10.10.10.0/24 เท่านั้น ทำให้สามารถใช้งานอินเทอร์เน็ตไปพร้อม ๆ กับการใช้งาน SVC ได้

          หลังจากทำการกำหนดค่าตามตัวอย่างด้านบนเรียบร้อยแล้ว เมื่อทำการเชื่อมต่อเข้าใช้งาน SVC อีกครั้ง ก็จะพบว่ามีสถานะ ดังรูปครับ

7-7-2554 1-45-32 7-7-2554 1-45-42

          และในการใช้งาน SVC ถ้าหากว่าไม่ต้องการให้เครื่องของผู้ใช้ทำการดาวน์โหลด Software ไปติดตั้งใหม่ทุกครั้งที่เริ่มการเชื่อมต่อใหม่ เราก็สามารถกำหนดให้เก็บการตั้งค่าไว้บนเครื่องของผู้ใช้ได้ ด้วยการใช้คำสั่ง "svc keep-client-installed" ทำให้เมื่อผู้ใช้ทำการเชื่อมต่อเข้ามาใหม่ ก็ไม่ต้องดาวน์โหลด Software มาติดตั้งใหม่อีกครั้ง สามารถเริ่มการเชื่อมต่อได้เลย ทั้งนี้การใช้งานคุณสมบัตินี้ ก็ขึ้นอยู่กับนโยบายในการรักษาความปลอดภัยของแต่ละองค์กร เช่น บางองค์กรก็อาจจะไม่ต้องการให้ทำการติดตั้ง SVC ไว้บนเครื่องของผู้ใช้ เป็นต้น

ตัวอย่าง
Running-config(config)#webvpn context ssl-con-01
Running-config(config-webvpn-context)#policy group ssl-policy-01
Running-config(config-webvpn-group)#svc keep-client-installed
Running-config(config-webvpn-group)#exit

9.การตรวจสอบการทำงาน

เราสามารถใช้คำสั่ง ดังต่อไปนี้ในการตรวจสอบการทำงานของ SSL VPN Client WebVPN ได้

  • show webvpn context
  • show webvpn gateway
  • show webvpn session context all
  • show webvpn policy group <policy name> context all

ตัวอย่าง
Running-config#show webvpn context

Codes: AS - Admin Status, OS - Operation Status
       VHost - Virtual Host

Context Name        Gateway  Domain/VHost      VRF      AS    OS
------------        -------  ------------      -------  ----  --------
ssl-con-01          ssl-gw-0 -                 -        up    up 

 

Running-config#show webvpn gateway

Gateway Name                       Admin  Operation
------------                       -----  ---------
ssl-gw-01                          up     up 
Running-config#show webvpn gateway ssl-gw-01
Admin Status: up
Operation Status: up
Error and Event Logging: Disabled
IP: 175.88.92.129, port: 443
HTTP Redirect port: 80
SSL Trustpoint: TP-self-signed-2505547417
FVRF Name not configured

 

Running-config#show webvpn session context all
WebVPN context name: ssl-con-01
Client_Login_Name  Client_IP_Address  No_of_Connections  Created  Last_Used
engineer           113.42.56.124              2         00:03:20  00:01:42

 

Running-config#show webvpn policy group ssl-policy-01 context all
WEBVPN: group policy = ssl-policy-01 ; context = ssl-con-01
      idle timeout = 2100 sec
      session timeout = Disabled
      functions =
                svc-enabled

      citrix disabled
      address pool name = "ssl-client-pool"
      dpd client timeout = 300 sec
      dpd gateway timeout = 300 sec
      keepalive interval = 30 sec
      SSLVPN Full Tunnel mtu size = 1406 bytes
      keep sslvpn client installed = enabled
      rekey interval = 3600 sec
      rekey method =  
      lease duration = 43200 sec
      split include = 10.10.10.0 255.255.255.0
      DNS primary server = 203.144.207.29

          เพียงเท่านี้ก็เสร็จเรียบร้อยแล้วครับ สำหรับ SSL VPN Client WebVPN โดยเราสามารถที่จะใช้งานทั้ง Clientless, Thin-Client ไปควบคู่กับ SSL VPN Client WebVPN ก็ได้นะครับ เช่นจากรูป ผมได้นำการตั้งค่า WebVPN ทั้งสองรูปแบบที่ได้เคยแนะนำไป มารวมเข้ากับการตั้งค่าในบทความนี้ ก็จะได้เวปเพจดังรูปด้านล่างนี้ครับ ^_^

17-6-2554 19-06-24

2 comments :