IPSEC ***實驗五：路由器 SSL ***

實驗目的：外部電腦PC2能通過SSL***的方式訪問PC1服務器
配置：一、首先安裝sslclient到總部的邊界路由器R1上
二、再配置R1的SSL***
三、PC2訪問https://1.1.1.1 安裝SSL*** client ，建立連接。

一、安裝sslclient到R1

1、格式化 disk0 //因爲我是用虛擬機做的，因此是disk0，用真實機做應該是flash:，應該省略第1步。

R1#format disk0:

2、上傳sslclient軟件

    R1#copy tftp disk0:
    Address or name of remote host []? 192.168.1.2
    Source filename []? sslclient.pkg
    Destination filename [sslclient.pkg]?
    Accessing tftp://192.168.10.100/sslclient.pkg...
    Loading sslclient.pkg from 192.168.10.100 (via FastEthernet0/0): !!
    [OK - 415090 bytes]

415090 bytes copied in 12.892 secs (32197 bytes/sec)

3、安裝 client 軟件

R1(config)#web*** install svc disk0:/sslclient.pkg

二、配置R1的SSL***

R1(config)# aaa new-model
    R1(config)# aaa authentication login default local   //爲防止控制檯超時而造成無法進入Exec
    R1(config))# aaa authentication login web*** local    //設置登陸爲local的方式應用到web***上
    R1(config)# ip local pool client-add 10.10.10.10 10.10.10.50    //這是分配給客戶電腦的IP地址
    R1(config)# username cisco password cisco   //定義Web***本地認證用戶名,密碼

    R1(config))# web*** gateway ***gateway //定義Web***在哪個接口上進行監聽，此時IOS會自動產生自簽名證書。
    R1 (config-web***-gateway)# ip address 1.1.1.1 port 443      //設置SSL***服務端的地址
    R1 (config-web***-gateway)# inservice //啓用web*** gateway配置

    R1 (config)# web*** context webcontext   //定義web***的相關配置，相當於ASA的tunnel-group，在這裏可以定義
    R1 (config-web***-context)# gateway ***gateway                          // 關聯服務監聽地址
    R1 (config-web***-context)# aaa authentication list web***          //關聯認證方式
    R1 (config-web***-context)# inservice                        //啓用web*** context配置
    R1(config-web***-context)# policy group ssl***-policy   //進入ssl***策略組
    R1(config-web***-group)# functions svc-enabled
    R1(config-web***-group)# svc address-pool client-add //分配svc使用的地址池
    R1(config-web***-group)# svc split include 192.168.1.0 255.255.255.0 //路由分離，如果不配置，則默認爲0.0.0.0，這條命令的作用是客戶端在通過SSL訪問服務器的同時，也可以訪問其它網絡，如internet
    R1(config-web***-group)#exit
    R1(config-web***-context)# default-group-policy ssl***-policy       //關聯策略組

最後還有一個很重要的命令哈。。

int loopback 0
ip address 10.10.10.1
no sh

如果不配置這條的話，客戶端將是連不上SSL***的，因爲服務器端上面沒有這個網絡，因爲要配置上。如果服務器端上還配置了動態路由協議的話，還應該把這個網段宣告出來。

三、在PC2上連接
輸入 https://1.1.1.1

輸入用戶名和密碼 cisco cisco
安裝activex控件，即sslclient
連接建立

測試
pc2可以ping通pc1
pc2可以訪問pc1的WEB
pc2可以訪問pc1的FTP

配置文件：

R1#sh run
Building configuration...

Current configuration : 3280 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login web*** local
!
!
aaa session-id common
ip cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-4294967295
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-4294967295
revocation-check none
rsakeypair TP-self-signed-4294967295
!
!
crypto pki certificate chain TP-self-signed-4294967295
certificate self-signed 01
3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 34323934 39363732 3935301E 170D3131 30363231 31343337
32315A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D34 32393439
36373239 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100C1DE EDDBF23B A0A17392 FE692E79 E7A90317 31295313 75C836DE 46BFA9DB
19F5B406 11221C14 A58A636F BB4E1C03 B1F89003 7A5952A7 EC364B48 C5254FDD
58CED953 31E4F700 59FE30C0 75FFD561 E615C65B F625B7A2 3438E3A7 443FE826
5D82A49A 2EE11CD6 B9EE22D8 95190CD3 8DB2E2D8 0705C63E AC21FFE4 A527FD84
99DD0203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603
551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 F350CDD4
69BB4AAE F0A1D593 5F1DB31D 724F283A 301D0603 551D0E04 160414F3 50CDD469
BB4AAEF0 A1D5935F 1DB31D72 4F283A30 0D06092A 864886F7 0D010104 05000381
81000F86 E96FB83F BED31473 AD57F474 69C61694 5BEC9A40 EDE0820B E90621BE
0B88CD5F 61EB1FEF CCB3043B F2230E01 D66EB583 C8740D21 B4124DB9 28B0349C
432C0850 8D27E788 383BA3F6 01917591 8159302A BA11E8B9 DA1FAE7F 16A62A51
E9F42355 37A5A87B 7DC85696 1BE0EA35 83B633E1 03A6076F DAF65143 BE9069A3 88A4
quit
username cisco password 0 cisco
!
!
!
!
!
!
!
interface Loopback0
ip address 10.10.10.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex half
!
interface Serial1/0
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/1
ip address 1.1.1.1 255.255.255.0
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
ip local pool ssl-add 10.10.10.10 10.10.10.100
ip route 0.0.0.0 0.0.0.0 Serial1/1
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
stopbits 1
line aux 0
line vty 0 4
!
!
web*** gateway ***gateway
ip address 1.1.1.1 port 443
ssl trustpoint TP-self-signed-4294967295
inservice
!
web*** install svc disk0:/web***/svc.pkg
!
web*** context ***contex
ssl authenticate verify all
!
!
policy group ssl***-policy
   functions svc-enabled
   svc address-pool "ssl-add"
   svc split include 192.168.1.0 255.255.255.0
default-group-policy ssl***-policy
aaa authentication list web***
gateway ***gateway
inservice
!
!
end

IPSEC 實驗五：路由器 SSL

IPSEC ***學習筆記 (一)

IPSEC ***學習筆記 (二)

IPSEC 實驗四：動態IP建立IPSEC

我的友情鏈接

WLAN的知識點

Mac下配置sublime實現LaTeX

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結