Cisco anyconnect یکی از روش های اختصاصی سیسکو برای ایجاد شبکه های خصوصی ( که ما در اینجا از ذکر نام تخصصی متاسفانه معذوریم ) است که هم توسط نرم افزار کلاینت cisco anyconnect و هم توسط browser و پروتکل ssl به نام webvpn قابل استفاده است . از مزایای بزرگ cisco anyconnect باز بودن platform و قابلیت استفاده در انواع سیستم عامل های windows – linux – Mac os – Apple IOS – Google Android است . Cisco anyconnect بیشتر برای استفاده توسط Cisco ASA ها طراحی و بهینه شده ولی قابل پیاده سازی بر روی روتر های سیسکو نیز می باشد .
cisco anyconnect توسط پروتکل های اختصاصی سیسکو یک شبکه encrypt شده با سرعت و امنیت بالا برای دسترسی راه دور و همچنین سرویس دهی در محیط های عمومی نظر LAN ها جهت دسترسی به برخی سروریس های امن ، کاربرد های فراوان و قبل توجهی داشته و به راحتی جایگزین پروتکل های قدیمی شبکه خصوصی مجازی گشته . مراحل کار بدین ترتیب است که ابتدا یک gateway تعریف و برای آن یک context و برای هر کانکتس یک Policy Group تعریف میکنیم . هر روتر سیسکو میتواند شامل چندین webvpn gateway و هر gateway میتواند شامل چند Context و هر Context میتواند فقط دارای یک Group Policy که مشخص کننده منابع آن Context است ، باشد .
- ابتدا ساخت RSA Key :
Router(config)#crypto key generate rsa general-keys label SSL modulus 1024
- ساخت Trust Point و استفاده از SSL RSA key :
Router(config)#crypto pki trustpoint aka
enrollment selfsigned
usage ssl-server
serial-number
subject-name CN=172.16.68.3
revocation-check none
rsakeypair SSL
Router(config)#crypto pki enroll server-certificate > answer no for IP and yes for generate
- نصب پکیج های cisco anyconnect برای هر سیستم عامل :
Router(config)#webvpn install svc flash:anyconnect-win-3.1.03103-k9.pkg
Router(config)#webvpn install svc flash:anyconnect-linux-3.1.03103-k9.pkg
Router(config)#webvpn install svc flash:anyconnect-mac3.1.pkg
- اختصاص پکیج ها :
Router(config)#crypto vpn anyconnect flash:/anyconnect-win-3.1.03103-k9.pkg sequence 1
Router(config)#crypto vpn anyconnect flash:/anyconnect-linux-3.1.03103-k9.pkg sequence 2
Router(config)#crypto vpn anyconnect flash:/anyconnect-mac3.1.pkg sequence 3
- کانفیگ gateway برای اتصال کابران :
webvpn gateway SSL
ip address 172.16.68.3 port 443
ssl encryption 3des-sha1 aes-sha1
http-redirect port 80
ssl trustpoint server-certificate
inservice
- ساخت IP Pool جهت واگذاری به کاربران :
ip local pool securitynet 192.168.100.1 192.168.100.254
- تنظیمات AAA روتر : ( در صورت نیاز میتوانید از radius server نیز استفاده کنید مثلا ibsng )
aaa new-model
aaa authentication login SSL local
username securitynet password 0 securitynet
- و در نهایت ایجاد کانتکس و گروپ پالیسی :
webvpn context SSL
aaa authenticate list SSL
gateway SSL domain securitynet
!
ssl authenticate verify all
inservice
!
policy group securitynet
functions svc-enabled
svc address-pool “shabake” netmask 255.255.255.0
svc keep-client-installed
default-group-policy securitynet
خب حالا شما میتوانید با کلاینت cisco anyconnect و یا توسط brower با وارد کردن آدرس : https://172.16.68.3 ، ایتدا با یوزر سو همان پسورد authenticate شده و به از ip pool securitynet یک IP دریافت و به روتر متصل شوید . در صورتی که میخواهید کلاینت ها به هر منابعی مثلا اینترنت متصل شوند ، رنج IP های واگذار شده را NAT کنید .