cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 

Configuración de HA en Cisco IOS SSL

 

Configuración de HA en Cisco IOS SSL

 

Introducción

La funcionalidad de Cisco IOS SSL provee servicios de acceso para clientes remotos de VPN utilizando el navegador web.  A través de una conexión a internet, el usuario es capaz de establecer una sesión a la red corporativa.

Existen tres modelos de conexión de SSL VPN:

Clientless o sin cliente de VPN: Desde la interfaz de web, es posible tener acceso a los servicios de la red corporativa.


Thin client: Utiliza un applet de java para proveer acceso a servicios de TCP como Post Office Protocol versión 3 (POP3), Simple Mail Transfer Protocol (SMTP), Telnet y Secure Shell (SSH). También es llamado port forward, ya que hace un redireccionamiento hacia los puertos internos en la red.


Tunnel mode o cliente completo de VPN: El usuario se conectará al gateway y obtendrá el software de Anyconnect.  Este software se utilizará para tener acceso a la red corporativa.

 

El siguiente documento tiene la finalidad de mostrar un ejemplo de configuración para conseguir alta disponibilidad en IOS SSL (clientless) utilizando el protocolo de HSRP (Hot Standby Router Protocol).

Los usuarios se conectarán a la dirección  Standby de HSRP que tendrá el router activo. En el momento de alguna falla, el router standby tomará esta dirección y comenzará a dar servicio a los usuarios de VPN

 

NOTA: La información del estado de la VPN no se replica entre los routers de HSRP. En caso de falla, las sesiones activas son borradas y el cliente requiere
  autenticarse ahora al nuevo gateway activo y establecer una nueva sesión de VPN.

 

Configuración

aaa new-model
!
aaa authentication login default local
aaa authentication login cisco_auth local  ----- Crear un método de autenticación para webvpn
aaa authorization exec default local
!
webvpn install svc flash:/webvpn/svc.pkg ----- En caso de utilizar anyconnect se debe colocar la imagen en la flash del equipo.
!
crypto pki trustpoint TP-self-signed-1433905060 -- Se puede crear el trustpoint desde la interfaz gráfica. Es necesario el certificado selfsigned para permitir las conexiones.
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1433905060
 revocation-check none
 rsakeypair TP-self-signed-1433905060
!
interface GigabitEthernet0/1  ---- Configuración de la interfaz de HSRP
 description INTERNET
 ip address 1.1.1.2 255.255.255.224
 standby 1 ip 1.1.1.1 --- Configurar la dirección IP standby de HSRP
 standby 1 priority 160
 standby 1 preempt
 standby 1 name SSLVPN ----- Colocar un nombre para HSRP
!
interface Virtual-Template1 --- Se puede utilizar VTI para la conexión de VPN
 ip unnumbered GigabitEthernet0/1
!
webvpn gateway gateway_1 ---- Configurar el gateway
 ip address 1.1.1.1 port 443  standby SSLVPN ------ Configurar la dirección IP standby
 http-redirect port 80
 ssl trustpoint TP-self-signed-1433905060 --- Configuración del trustpoint
 inservice  ---- habilitar el gateway
 !
webvpn context context_1  -- Configurar un contexto
 secondary-color white
 title-color #669999
 text-color black
 virtual-template 1 ---- Aplicar el context a la interfaz virtual-template 1
 aaa authentication list cisco_auth ---- autenticar con el método de aaa
 !
 ssl authenticate verify all
 inservice ---- habilitar el contexto
!
 url-list "sslvpn-list"  --- configuración de las listas de servidores disponibles a través del clientless ssl.
 url-text "sslvpn-1" url-value "http://10.10.10.40"
!
 !
 policy group policy_1 --- Configurar las políticas del contexto
   functions svc-enabled
   svc address-pool "POOL" netmask 255.255.255.255 ---- rango de direcciones que serán asignadas a los clientes
   svc keep-client-installed
   svc split include 10.10.10.0 255.255.255.0 -- configuración de split tunneling
 default-group-policy policy_1

 

NOTA: En caso de utilizar también Anyconnect es necesario crear un nuevo gateway y contexto para diferenciarlo de las conexiones de clientless.


Comandos útiles

Los siguienes comandos nos ayudan a verificar el estado del gateway y del contexto.

Router# show webvpn gateway gateway_1
Admin Status: up
Operation Status: up

IP: 1.1.1.1, port: 443
SSL Trustpoint: TP-self-signed-143390506

 

Router# show webvpn context context_1
Admin Status: up
Operation Status: up


Router# show webvpn gateway

Gateway Name                       Admin  Operation
------------                       -----  ---------
gateway_1                               up     up  


Router# show webvpn session user user1 context all

 

Referencias

http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_sslvpn/configuration/15-2mt/sec-conn-sslvpn-ssl-vpn.html#GUID-C43F5AAF-2A46-4EFC-97E6-DA9DAE0D3055

122
Visitas
0
ÚTIL
0
Comentarios