تكوين CSD على Cisco IOS باستخدام SDM

المقدمة

على الرغم من أمان جلسات عمل طبقة مآخذ التوصيل الآمنة (SSL) VPN (Cisco WebVPN)، قد يظل لدى العميل ملفات تعريف الارتباط وملفات المستعرض ومرفقات البريد الإلكتروني المتبقية بعد اكتمال الجلسة. يعمل Cisco Secure Desktop (CSD) على توسيع الأمان المتأصل لجلسات عمل SSL VPN من خلال كتابة بيانات جلسة العمل بتنسيق مشفر إلى منطقة تخزين خاصة من قرص العميل. وبالإضافة إلى ذلك، تتم إزالة هذه البيانات من القرص في نهاية جلسة SSL VPN. يقدم هذا المستند نموذجا لتكوين CSD على موجه Cisco IOS^®.

يتم دعم CSD على منصات أجهزة Cisco التالية:

• موجهات Cisco IOS، الإصدار 12.4(6)T والإصدارات الأحدث

• الموجهات Cisco 870،1811،1841، 2801، 2811، 2821، 2851، 3725، 3745، 3825، 3845، 7200 و 7301

• Cisco VPN 3000 Series Concentrators، الإصدار 4.7 والإصدارات الأحدث

• أجهزة الأمان Cisco ASA 5500 Series Security Appliances، الإصدار 7.1 والإصدارات الأحدث

• الوحدة النمطية لخدمات Cisco WebVPN ل Cisco Catalyst و Cisco 7600 Series الإصدار 1.2 والإصدارات الأحدث

المتطلبات الأساسية

المتطلبات

تأكد من استيفاء المتطلبات التالية قبل أن تحاول إجراء هذا التكوين:

متطلبات موجه Cisco IOS

• موجه IOS مع صورة متقدمة 12.4(6T) أو أحدث من Cisco

• مدير الأجهزة الآمنة للموجه (SDM) 2.3 أو إصدار أعلى من Cisco

• نسخة من برنامج CSD لحزمة IOS على محطة الإدارة الخاصة بك

• ترخيص أو مصادقة رقمية ذاتية التوقيع للموجه باستخدام مرجع مصدق (CA)

  ملاحظة: في أي وقت تستخدم فيه الشهادات الرقمية، تأكد من تعيين اسم المضيف واسم المجال والتاريخ/الوقت/المنطقة الزمنية بشكل صحيح للموجه.

• كلمة مرور enable secret على الموجه

• تم تمكين DNS على الموجه الخاص بك. تتطلب العديد من خدمات WebVPN أن يعمل DNS بشكل صحيح.

متطلبات أجهزة الكمبيوتر العميلة

• يجب أن يتمتع العملاء البعيدين بامتيازات إدارية محلية؛ وهذا غير مطلوب، ولكنه مقترح بشدة.

• يجب أن يكون لدى العملاء البعيدين الإصدار 1.4 أو أعلى من بيئة وقت تشغيل Java (JRE).

• مستعرضات الأجهزة العميلة البعيدة: Internet Explorer 6.0 أو Netscape 7.1 أو Mozilla 1.7 أو Safari 1.2.2 أو Firefox 1.0

• تم تمكين ملفات تعريف الارتباط والإطارات المنبثقة المسموح بها على العملاء البعيدين

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• موجه IOS 3825 من Cisco مع الإصدار 12.9(T)

• SDM الإصدار 2.3.1

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

يستخدم هذا المثال موجه من السلسلة Cisco 3825 للسماح بالوصول الآمن إلى إنترانت الشركة. يعزز الموجه Cisco 3825 Series أمان إتصالات SSL VPN باستخدام ميزات CSD وخصائصها القابلة للتكوين. يمكن للعملاء الاتصال بالموجه الذي يدعم CSD من خلال إحدى طرق SSL VPN الثلاثة التالية: WebVPN الخاص ب SSL بدون عملاء أو SSL VPN (WebVPN) أو Thin-Client SSL VPN (إعادة توجيه المنفذ) أو SSL VPN Client (Full Tuneling SVC).

المنتجات ذات الصلة

كما يمكن إستخدام هذا التكوين مع إصدارات الأجهزة والبرامج التالية:

• منصات موجه Cisco 870،1811،1841،2801،2811،2821 2851،3725،3745.3825،3845، 7200 و 7301

• Cisco IOS Advanced Security Image، الإصدار 12.4(6)T والإصدارات الأحدث

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

التكوين

تتيح بوابة WebVPN للمستخدم الاتصال بالموجه عبر إحدى تقنيات SSL VPN. يتم السماح ببوابة WebVPN واحدة فقط لكل عنوان IP على الجهاز، على الرغم من إمكانية إرفاق أكثر من سياق WebVPN واحد ببوابة WebVPN. يتم تعريف كل سياق باسم فريد. تحدد "سياسات المجموعة" الموارد المكونة المتوفرة لسياق WebVPN معين.

يتم تكوين CSD على موجه IOS على مرحلتين:

المرحلة الأولى: إعداد الموجه لديك لتكوين CSD باستخدام إدارة قاعدة بيانات المحول (SDM)

1. تكوين عبارة WebVPN وسياق WebVPN ونهج المجموعة .

   ملاحظة: هذه الخطوة إختيارية ولا تتم تغطيتها بتفصيل كبير في هذا المستند. إذا كنت قد انتهيت بالفعل من تكوين الموجه الخاص بك لواحدة من تقنيات SSL VPN، فحذف هذه الخطوة.

2. تمكين CSD في سياق WebVPN .

المرحلة الثانية: تكوين CSD باستخدام مستعرض ويب.

1. تعريف مواقع Windows .

2. تحديد معايير الموقع .

3. تكوين الوحدات النمطية والميزات الخاصة بموقع Windows .

4. قم بتكوين ميزات Windows CE و Macintosh و Linux .

المرحلة الأولى: إعداد الموجه لديك لتكوين CSD باستخدام إدارة قاعدة بيانات المحول (SDM).

يمكن تكوين CSD باستخدام SDM أو من واجهة سطر الأوامر (CLI). يستخدم هذا التكوين إدارة قاعدة بيانات المحول (SDM) ومستعرض الويب.

يتم إستخدام هذه الخطوات لإكمال تكوين CSD على موجه IOS الخاص بك.

المرحلة الأولى: الخطوة 1: تكوين بوابة WebVPN وسياق WebVPN ونهج المجموعة.

يمكنك إستخدام "معالج WebVPN" لإنجاز هذه المهمة.

1. افتح إدارة قاعدة بيانات المحول (SDM) وانتقل إلى التكوين > VPN > WebVPN. انقر فوق علامة التبويب إنشاء WebVPN وحدد الزر إختيار إنشاء WebVPN جديد. انقر فوق تشغيل المهمة المحددة.

   

2. تسرد شاشة معالج WebVPN المعلمات التي يمكنك تكوينها. انقر فوق Next (التالي).

   

3. أدخل عنوان IP لبوابة WebVPN، واسم فريد للخدمة، ومعلومات الشهادة الرقمية. انقر فوق Next (التالي).

   

4. يمكن إنشاء حسابات المستخدمين للمصادقة على بوابة WebVPN هذه. يمكنك إستخدام حسابات محلية أو حسابات تم إنشاؤها على خادم مصادقة وتفويض ومحاسبة (AAA) خارجي. يستخدم هذا المثال حسابات محلية على الموجه. تحقق من زر الاختيار محليا على هذا الموجه وانقر فوق إضافة.

   

5. أدخل معلومات حساب المستخدم الجديد على الشاشة إضافة حساب وانقر فوق موافق.

   

6. بعد إنشاء المستخدمين، انقر على التالي في صفحة مصادقة المستخدم.

   

7. تتيح لك شاشة تكوين مواقع ويب إنترانت تكوين موقع الويب المتوفر لمستخدمي بوابة WebVPN. بما أن تركيز هذا المستند هو تكوين CSD، فتجاهل هذه الصفحة. انقر فوق Next (التالي).

   

8. على الرغم من أن شاشة معالج WebVPN التالية تتيح لك إمكانية إختيار تمكين عميل Full Tunnel SSL VPN، إلا أن تركيز هذا المستند هو كيفية تمكين CSD. قم بإلغاء تحديد تمكين النفق الكامل وانقر بعد ذلك.

   

9. يمكنك تخصيص مظهر صفحة مدخل WebVPN للمستخدمين. في هذه الحالة، يتم قبول المظهر الافتراضي. انقر فوق Next (التالي).

   

10. يعرض المعالج الشاشة الأخيرة في هذه السلسلة. وهو يعرض ملخصا للتكوين لبوابة WebVPN. طقطقة إنجاز، وعند سؤاله، طقطقت ok.

    

المرحلة الأولى: الخطوة 2: تمكين CSD في سياق WebVPN.

إستخدام معالج WebVPN لتمكين CSD في سياق WebVPN.

1. أستخدم الميزات المتقدمة لمعالج WebVPN لتمكين CSD للسياق الذي تم إنشاؤه حديثا. يتيح لك المعالج فرصة تثبيت حزمة CSD إذا لم تكن مثبتة بالفعل.

   1. في إدارة قاعدة بيانات المحول (SDM)، انقر فوق علامة التبويب تكوين.

   2. في لوحة التصفح، انقر على VPN > WebVPN.

   3. انقر فوق علامة التبويب إنشاء WebVPN.

   4. تحقق من تكوين ميزات متقدمة لزر راديو WebVPN موجود.

   5. انقر فوق الزر تشغيل المهمة المحددة.

      

2. تظهر صفحة الترحيب الخاصة بمعالج WebVPN المتقدم. انقر فوق Next (التالي).

   

3. أختر WebVPN ومجموعة المستخدمين من المربعات المنسدلة للحقول. سيتم تطبيق ميزات "معالج WebVPN المتقدم" على الاختيارات المتاحة لك. انقر فوق Next (التالي).

   

4. تتيح لك الشاشة تحديد الميزات المتقدمة إمكانية الاختيار من بين التقنيات المدرجة.

   1. تحقق من تأمين سطح المكتب من Cisco.

   2. في هذا المثال، يكون الاختيار هو وضع بدون عملاء.

   3. في حالة إختيار أي من التقنيات الأخرى المدرجة، يتم فتح نوافذ إضافية للسماح بإدخال المعلومات ذات الصلة.

   4. انقر فوق الزر التالي.

   

5. تسمح لك شاشة تكوين مواقع ويب إنترانت بتكوين موارد موقع الويب التي تريدها والمتوفرة للمستخدمين. يمكنك إضافة مواقع الويب الداخلية للشركة مثل Outlook Web Access (OWA).

   

6. في شاشة تمكين "سطح المكتب الآمن من Cisco" (CSD)، لديك الفرصة لتمكين CSD لهذا السياق. حدد المربع بجانب تثبيت Cisco Secure Desktop (CSD) وانقر فوق إستعراض.

   

7. من منطقة تحديد موقع CSD، تحقق من الكمبيوتر الخاص بي.

   1. انقر فوق الزر إستعراض.

   2. أختر ملف حزمة CSD IOS على محطة عمل الإدارة.

   3. انقر فوق الزر موافق.

   4. انقر فوق الزر التالي.

   

8. ملخص لشاشة التكوين التي تعرض. انقر فوق الزر إنهاء".

   

9. انقر فوق موافق عندما ترى أن ملف حزمة CSD تم تثبيته بنجاح.

   

المرحلة الثانية: تكوين CSD باستخدام مستعرض ويب.

يتم إستخدام هذه الخطوات لإكمال تكوين CSD على مستعرض الويب الخاص بك.

المرحلة الثانية: الخطوة 1: تحديد مواقع Windows.

قم بتعريف مواقع Windows.

1. افتح مستعرض الويب الخاص بك في https://WebVPNgateway_IP Address/csd_admin.html، على سبيل المثال، https:/192.168.0.37/csd_admin.html.

2. أدخل مسؤول اسم المستخدم.

   1. دخلت الكلمة، أي يكون ال enable سر من المسحاج تخديد.

   2. انقر على تسجيل الدخول.

   

3. اقبل الشهادة المقدمة من الموجه، واختر السياق من المربع المنسدل، وانقر انتقال.

   

4. يتم فتح "إدارة سطح المكتب الآمن ل WebVPN".

   

5. من الجزء الأيسر، أختر إعدادات موقع Windows.

   1. ضع المؤشر في المربع المجاور لاسم الموقع، وأدخل اسم الموقع.

   2. انقر فوق إضافة (Add).

   3. في هذا المثال، يتم عرض ثلاثة أسماء مواقع: Office و Home و Unsecure. في كل مرة تتم إضافة موقع جديد، يتم توسيع الجزء الأيسر باستخدام المعلمات القابلة للتكوين الخاصة بهذا الموقع.

   

6. بعد إنشاء مواقع Windows، انقر فوق حفظ" في أعلى الجزء الأيسر.

   ملاحظة: احفظ التكوينات غالبا لأن إعداداتك ستفقد في حالة قطع إتصالك بمستعرض الويب.

   

المرحلة الثانية: الخطوة 2: تحديد معايير الموقع

لتمييز مواقع Windows عن بعضها البعض، قم بتعيين معايير محددة لكل موقع. يسمح هذا ل CSD بتحديد أي من مميزاته ليتم تطبيقه على موقع معين ل Windows.

1. في الجزء الأيسر، انقر فوق Office.

   1. يمكنك تعريف موقع Windows باستخدام معايير الشهادة أو معايير IP أو الملف أو معايير التسجيل. يمكنك أيضا إختيار "منظف سطح المكتب الآمن أو ذاكرة التخزين المؤقت" لهؤلاء العملاء. بما أن هؤلاء المستخدمين هم موظفون داخليون بالمكتب، فقم بتعريفهم بمعايير بروتوكول الإنترنت IP.

   2. أدخل نطاقات عناوين IP في المربعات من وإلى.

   3. انقر فوق إضافة (Add). إلغاء تحديد إستخدام الوحدة النمطية: تأمين سطح المكتب.

   4. عندما يطلب منك، انقر حفظ، وانقر موافق.

   

2. في الجزء الأيسر، انقر فوق الصفحة الرئيسية لإعداد موقع Windows الثاني.

   1. تأكد من تحديد إستخدام الوحدة النمطية: سطح المكتب الآمن.

   2. سيتم توزيع ملف يعرف هؤلاء العملاء. يمكنك إختيار توزيع الشهادات و/أو معايير التسجيل لهؤلاء المستخدمين.

   3. تحقق من تمكين التعريف باستخدام معايير الملف أو السجل.

   4. انقر فوق إضافة (Add).

   

3. في الشاشة، أختر ملف، وقم بإدخال المسار إلى الملف.

   1. يجب توزيع هذا الملف على جميع عملاء منزلك.

   2. تحقق من وجود زر الاختيار.

   3. عندما يطلب منك، انقر موافق ، وانقر حفظ.

   

4. لتكوين تعريف المواقع غير الآمنة، ببساطة لا تقم بتطبيق أي معايير تعريف.

   1. انقر فوق غير آمن في الجزء الأيسر.

   2. ترك كافة المعايير غير محددة.

   3. التحقق من إستخدام الوحدة النمطية: تأمين سطح المكتب.

   4. عندما يطلب منك، انقر حفظ، وانقر موافق.

   

المرحلة الثانية: الخطوة 3: تكوين وحدات وميزات موقع Windows.

قم بتكوين ميزات CSD لكل موقع من مواقع Windows.

1. تحت Office، انقر فوق سياسة ميزة VPN. بما أن هذه الأجهزة عملاء داخليون موثوق بهم، لم يتم تمكين CSD أو Cache Clean. لا تتوفر أي من المعلمات الأخرى.

   

2. قم بتشغيل الميزات كما هو موضح.

   1. في اللوحة اليسرى، أختر سياسة ميزة VPN ضمن الصفحة الرئيسية.

   2. سوف يسمح للمستخدمين المنزليين بالوصول إلى شبكة LAN الخاصة بالشركة إذا كان العملاء يستوفون معايير معينة.

   3. تحت كل طريقة وصول، أختر ON إذا كانت المعايير متطابقة.

   

3. لاستعراض الويب، انقر زر الشكل البيضاوي واختر المعايير التي يجب أن تتطابق. طقطقة ok في الشاشة.

   

4. يمكنك تكوين طرق الوصول الأخرى بطريقة مشابهة.

   1. تحت المنزل، أختر مسجل ضربات المفاتيح.

   2. ضع علامة تأشير بجوار التحقق من مشغلات ضغطات المفاتيح.

   3. عندما يطلب منك، انقر حفظ، وانقر موافق.

   

5. تحت موقع Home Windows، أختر تنظيف ذاكرة التخزين المؤقت. أترك الإعدادات الافتراضية كما هو موضح في لقطة الشاشة.

   

6. تحت المنزل، أختر سطح المكتب الآمن العام. تحقق من اقتراح إزالة تثبيت التطبيق عند إغلاق "سطح المكتب الآمن". أترك كافة المعلمات الأخرى في إعداداتها الافتراضية كما هو موضح في لقطة الشاشة.

   

7. لإعدادات سطح المكتب الآمنة ضمن المنزل، أختر السماح لتطبيقات البريد الإلكتروني بالعمل بشفافية. عندما يطلب منك، انقر حفظ، وانقر موافق.

   

8. يعتمد تكوين مستعرض سطح المكتب الآمن على ما إذا كنت تريد أن يقوم هؤلاء المستخدمون بالوصول إلى موقع ويب للشركة يحتوي على مفضلات تم تكوينها مسبقا أم لا.

   1. أخترت تحت غير آمن، VPN سمة سياسة.

   2. نظرا لأن هؤلاء المستخدمين غير موثوق بهم، قم بالسماح فقط باستعراض الويب.

   3. أختر ON من القائمة المنسدلة لاستعراض الويب.

   4. تم تعيين كافة طرق الوصول الأخرى على إيقاف التشغيل.

   

9. حدد خانة الاختيار التحقق من مشغلات ضغطات المفاتيح.

   

10. تكوين منظف ذاكرة التخزين المؤقت لعدم الأمان.

    1. حدد خانة الاختيار تنظيف ذاكرة التخزين المؤقت بأكملها بالإضافة إلى ذاكرة التخزين المؤقت للجلسة الحالية (IE فقط).

    2. أترك الإعدادات الأخرى عند إعداداتها الافتراضية.

    

11. أختر Secure Desktop General تحت مستوى عدم الأمان.

    1. قلل وقت عدم النشاط إلى دقيقتين.

    2. حدد خانة الاختيار فرض إزالة تثبيت التطبيق عند إغلاق سطح المكتب الآمن.

    

12. أختر إعدادات سطح المكتب الآمنة ضمن إعدادات غير آمنة، وقم بتكوين إعدادات تقييدية جدا كما هو موضح.

    

13. أختر مستعرض سطح المكتب الآمن. في حقل "الصفحة الرئيسية"، أدخل موقع الويب الذي سيتم توجيه هؤلاء العملاء إليه للصفحة الرئيسية الخاصة بهم.

    

المرحلة الثانية: الخطوة 4: تكوين ميزات Windows CE و Macintosh و Linux.

قم بتكوين ميزات CSD ل Windows CE و Macintosh و Linux.

1. أختر Windows CE تحت إدارة سطح المكتب الآمنة. يحتوي Windows CE على ميزات VPN محدودة. قم بتشغيل إستعراض الويب.

   

2. أختر منظف لذاكرة الكاش في Mac و Linux.

   1. لا يمكن لأنظمة تشغيل Macintosh و Linux الوصول إلا إلى الجوانب المتعلقة بتطهير ذاكرة التخزين المؤقت ل CSD. قم بتكوينهم كما هو موضح في الرسم.

   2. عندما يطلب منك، انقر حفظ، وانقر موافق.

   

التحقق من الصحة

إختبار عملية CSD

اختبر عملية CSD عن طريق الاتصال ببوابة WebVPN باستخدام مستعرض ممكن SSL في https://WebVPN_Gateway_IP address.

ملاحظة: تذكر إستخدام الاسم الفريد للسياق إذا قمت بإنشاء سياقات WebVPN مختلفة، على سبيل المثال، https://192.168.0.37/cisco.

الأوامر

يتم إقران العديد من أوامر العرض مع WebVPN. يمكنك تنفيذ هذه الأوامر في واجهة سطر الأوامر (CLI) لإظهار الإحصائيات ومعلومات أخرى. للحصول على معلومات تفصيلية حول أوامر العرض، ارجع إلى التحقق من تكوين WebVPN.

ملاحظة: يدعم محلل واجهة سطر الأوامر (للعملاء المسجلين فقط) بعض أوامر show. أستخدم CLI Analyzer (محلل واجهة سطر الأوامر) لعرض تحليل مخرج الأمر show.

استكشاف الأخطاء وإصلاحها

الأوامر

تقترن العديد من أوامر تصحيح الأخطاء ب WebVPN. للحصول على معلومات تفصيلية حول هذه الأوامر، ارجع إلى إستخدام أوامر تصحيح الأخطاء ل WebVPN.

ملاحظة: يمكن أن يؤثر إستخدام أوامر تصحيح الأخطاء سلبا على جهاز Cisco لديك. قبل إستخدام أوامر debug، ارجع إلى معلومات مهمة عن أوامر تصحيح الأخطاء.

لمزيد من المعلومات حول أوامر المسح، ارجع إلى إستخدام أوامر مسح WebVPN.

معلومات ذات صلة

• دليل نشر تقارب WebVPN و DMVPN
• SSL VPN - WebVPN
• IOS SSLVPN من Cisco
• الدعم التقني والمستندات - Cisco Systems