27-SSL VPN典型配置舉例
本章節下載: 27-SSL VPN典型配置舉例 (2.05 MB)
本章包含如下內容:
· 簡介
· 配置前提
本文檔介紹SSL VPN的典型配置舉例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解SSL VPN特性。
如圖-1所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關設備、采用Web接入方式能夠安全地訪問位於私有網絡內的Server A和Server B。其中,Server A和Server B均為Web服務器,使用HTTP協議、端口號80。具體需求如下:
· SSL VPN網關設備對用戶進行本地認證和本地授權。
· 用戶能訪問Server A和Server B。
圖-1 Web接入方式配置組網圖(缺省證書)
本舉例是在F1060的E9345版本上進行配置和驗證的。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:3.3.3.3/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/3右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置安全策略,過程略
3. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-2 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
4. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁 麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-3 配置SSL VPN訪問實例
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“Web業務”,單擊<下一步>。配置所需的Web接入資源,配置結果如下圖所示。
圖-4 Web接入資源
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示。
圖-5 配置資源組
# 單擊<確定>按鈕,如下圖所示。
圖-6 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-7 使能訪問實例
5. 創建SSL VPN用戶
# 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”,進入用戶界麵,點擊<新建>按鈕,創建SSL VPN用戶,參數配置如下圖所示。
圖-8 創建SSL VPN用戶
# 為該用戶授權SSL VPN策略組,參數配置如下圖所示。
圖-9 授權屬性
# 單擊<確定>按鈕,完成配置。
# 配置IP地址、網關,保證到SSL VPN網關的路由可達。
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後跳轉到域列表選擇界麵,如下圖所示。
圖-10 域列表
# 單擊 “domainweb”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),如下圖所示。
圖-11 SSL VPN登錄界麵
# 單擊<登錄>按鈕,成功登錄後可看到如下圖所示的資源列表。
圖-12 Web接入資源列表
# 單擊鏈接名為ServerA的鏈接,可以成功訪問Web服務器ServerA對應的資源,如下圖所示。
圖-13 成功訪問ServerA
# 單擊鏈接名為ServerB的鏈接,可以成功訪問Web服務器ServerB對應的資源,如下圖所示。
圖-14 成功訪問ServerB
如圖-15所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關設備、采用Web接入方式能夠安全地訪問位於私有網絡內的Server A和Server B。其中,Server A和Server B均為Web服務器,使用HTTP協議、端口號80。具體需求如下:
· SSL VPN網關設備對用戶進行本地認證和本地授權。
· 為了增強安全性,需要驗證客戶端證書。
· 為了增強安全性,服務器端證書不使用缺省證書,需向CA申請。
圖-15 Web接入方式配置組網圖(雙向證書認證)
本舉例是在F1060的E9345版本上進行配置和驗證的。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:3.3.3.3/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/3右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置安全策略,過程略
3. 申請服務器端證書
# 選擇“對象 > PKI > 證書主題”,進入證書主題界麵,單擊<新建>按鈕,參數配置如下圖所示。
圖-16 證書主題配置
# 單擊<確定>按鈕。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<新建PKI域>按鈕,參數配置如下圖所示。
圖-17 PKI域配置
# 單擊<確定>按鈕。
# 單擊<提交申請>按鈕,申請服務器端證書,參數配置如下圖所示。
圖-18 申請服務器端證書
# 單擊<確定>按鈕,頁麵會顯示公鑰,如下圖所示。
圖-19 公鑰信息
# 將公鑰信息複製,向CA申請服務器端證書(本例CA服務器為Windows Server 2008 R2)。單擊<確定>按鈕。
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-20 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-21 證書申請頁麵
# 單擊<高級證書申請>按鈕,將複製的公鑰信息粘貼至“Base-64編碼的證書申請”輸入框,
如下圖所示。
圖-22 證書申請頁麵
# 單擊<提交>按鈕,完成證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-23 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-24 查看掛起的證書申請的狀態
# 單擊<保存的證書申請>按鈕,跳轉頁麵如下圖所示。
圖-25 下載申請的證書
# 單擊<下載證書>按鈕,下載申請的服務器端證書,並保存好。
4. 下載CA證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-26 證書申請頁麵
# 單擊<下載CA證書、證書鏈或CRL>按鈕,跳轉頁麵如下圖所示。
圖-27 下載CA證書
# 單擊<下載CA證書>按鈕,下載CA證書,並保存好。至此,證書申請工作已全部完成。
5. 導入證書
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的CA證書,
配置如下圖所示。
圖-28 導入CA證書
# 單擊<確定>按鈕,完成CA證書的導入。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的服務器端證書,配置如下圖所示。
圖-29 導入本地證書
# 單擊<確定>按鈕,完成本地證書的導入。
6. 配置SSL的服務器端策略
# 選擇“對象 > SSL > 服務器端策略”,進入SSL服務器端策略頁麵,單擊<新建>按鈕,創建服務器端策略,參數配置如下圖所示。
圖-30 配置服務器端策略
# 單擊<確定>按鈕,完成配置。
7. 配置SSL的客戶端策略
# 選擇“對象 > SSL > 客戶端策略”,進入SSL客戶端策略頁麵,單擊<新建>按鈕,創建客戶端策略,參數配置如下圖所示。
圖-31 配置客戶端策略
# 單擊<確定>按鈕,完成配置。
8. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-32 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
9. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-33 配置SSL VPN訪問實例
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“Web業務”,單擊<下一步>,SSL客戶端策略選擇之前配置的sslvpnclient。配置所需的Web接入資源,配置結果如下圖所示。
圖-34 Web接入資源
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示。
圖-35 配置資源組
# 單擊<確定>按鈕,如下圖所示。
圖-36 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-37 使能訪問實例
10. 創建SSL VPN用戶
# 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”,進入用戶界麵,點擊<新建>按鈕,創建SSL VPN用戶,參數配置如下圖所示。
圖-38 創建SSL VPN用戶
# 為該用戶授權SSL VPN策略組,參數配置如下圖所示。
圖-39 授權屬性
# 單擊<確定>按鈕,完成配置。
1. 配置IP地址、網關,保證到SSL VPN網關、CA服務器的路由可達
2. 申請客戶端證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-40 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-41 證書申請頁麵
# 單擊<高級證書申請>按鈕,在跳轉的頁麵選擇<創建並向此CA提交一個申請>,申請客戶端證
書,參數配置如下圖所示。
圖-42 申請客戶端證書
# 其餘選用默認配置,單擊頁麵最下方的<提交>按鈕,提交客戶端證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-43 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-44 查看掛起的證書申請的狀態
# 單擊<客戶端身份驗證證書>,跳轉頁麵如下圖所示
圖-45 安裝客戶端證書
# 單擊<安裝此證書>,如果之前沒有安裝CA證書,那麼會出現如下圖所示的頁麵(如果之前已安裝過CA證書,則不會出現該提示)。
圖-46 提示安裝CA證書
# 單擊<請安裝該CA證書>,安裝CA證書,CA證書安裝成功後,再單擊<安裝此證書>,顯示如下圖所示的頁麵代表客戶端證書安裝成功。
圖-47 證書安裝成功
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後會彈出證書選擇界麵,如下圖所示。
圖-48 證書選擇界麵
# 選擇證書,單擊<確定>按鈕,跳轉到域列表選擇頁麵,如下圖所示。
圖-49 域列表界麵
# 單擊 “domainweb”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),如下圖所示。
圖-50 SSL VPN登錄界麵
# 單擊<登錄>按鈕,成功登錄後可看到如下圖所示的資源列表。
圖-51 Web接入資源列表
# 單擊鏈接名為ServerA的鏈接,可以成功訪問Web服務器ServerA對應的資源,如下圖所示。
圖-52 成功訪問ServerA
# 單擊鏈接名為ServerB的鏈接,可以成功訪問Web服務器ServerB對應的資源,如下圖所示。
圖-53 成功訪問ServerB
如圖-54所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關、采用TCP接入方式可以安全地訪問私有網絡內的Telnet服務器Server。具體需求如下:
· SSL VPN網關設備對用戶進行本地認證和本地授權。
· 為了增強安全性,服務器端證書不使用缺省證書,需向CA申請。
圖-54 TCP接入方式配置組網圖(缺省證書)
本舉例是在F1060的E9345版本上進行配置和驗證的。
· TCP接入方式不能開啟驗證客戶端證書功能。
· 從Web界麵啟動TCP客戶端應用程序需要事先在主機上安裝Java運行環境。
· 主機通過TCP接入方式訪問內網資源時,可能會修改主機上的Host文件,此時需要使用該主機的用戶具有管理員權限。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置安全策略,過程略
3. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-55 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
4. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-56 配置SSL VPN訪問實例
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“TCP業務”,單擊<下一步>。在端口轉發表項中單擊<新建>,參數配置如下圖所示。
圖-57 新建端口轉發表項
# 單擊<確定>按鈕,在端口轉發列表單擊<新建>按鈕,引用端口轉發表項,點擊<確定>按鈕,TCP接入資源如下圖所示。
圖-58 TCP接入資源
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示。
圖-59 配置資源組
# 單擊<確定>按鈕,資源組如下圖所示。
圖-60 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-61 使能訪問實例
5. 創建SSL VPN用戶
# 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”,進入用戶界麵,點擊<新建>按鈕,創建SSL VPN用戶,參數配置如下圖所示。
圖-62 創建SSL VPN用戶
# 為該用戶授權SSL VPN策略組,參數配置如下圖所示。
圖-63 授權屬性
# 單擊<確定>按鈕,完成配置。
# 配置IP地址、網關,保證到SSL VPN網關的路由可達。
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後跳轉到域列表選擇頁麵,如下圖所示。
圖-64 域列表界麵
# 單擊 “domaintcp”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),如下圖所示。
圖-65 SSL VPN登錄界麵
# 單擊<登錄>按鈕,成功登錄後可看到如下圖所示的資源列表。
圖-66 Web接入資源列表
# 單擊<啟動>按鈕,啟動TCP客戶端。
不能通過雙擊的方式打開對應的TCP應用程序。
# 在Host上執行telnet 127.0.0.23:2323,可以成功連接到Server。
如圖-69所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關、采用TCP接入方式可以安全地訪問私有網絡內的Telnet服務器Server。具體需求如下:
· SSL VPN網關設備對用戶進行本地認證和本地授權。
· 為了增強安全性,服務器端證書不使用缺省證書,需向CA申請。
圖-67 TCP接入方式配置組網圖(非缺省證書)
本舉例是在F1060的E9345版本上進行配置和驗證的。
· TCP接入方式不能開啟驗證客戶端證書功能。
· 從Web界麵啟動TCP客戶端應用程序需要事先在主機上安裝Java運行環境。
· 主機通過TCP接入方式訪問內網資源時,可能會修改主機上的Host文件,此時需要使用該主機的用戶具有管理員權限。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置安全策略,過程略
3. 申請服務器端證書
# 選擇“對象 > PKI > 證書主題”,進入證書主題界麵,單擊<新建>按鈕,參數配置如下圖所示。
圖-68 證書主題配置
# 單擊<確定>按鈕。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<新建PKI域>按鈕,參數配置如下圖所示。
圖-69 PKI域配置
# 單擊<確定>按鈕。
# 單擊<提交申請>按鈕,申請服務器端證書,參數配置如下圖所示。
圖-70 申請服務器端證書
# 單擊<確定>按鈕,頁麵會顯示公鑰,如下圖所示。
圖-71 公鑰信息
# 將公鑰信息複製,向CA申請服務器端證書(本例CA服務器為Windows Server 2008 R2)。單擊<確定>按鈕。
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-72 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-73 證書申請頁麵
# 單擊<高級證書申請>按鈕,將複製的公鑰信息粘貼至“Base-64編碼的證書申請”輸入框,
如下圖所示。
圖-74 證書申請頁麵
# 單擊<提交>按鈕,完成證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-75 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-76 查看掛起的證書申請的狀態
# 單擊<保存的證書申請>按鈕,跳轉頁麵如下圖所示。
圖-77 下載申請的證書
# 單擊<下載證書>按鈕,下載申請的服務器端證書,並保存好。
4. 下載CA證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-78 證書申請頁麵
# 單擊<下載CA證書、證書鏈或CRL>按鈕,跳轉頁麵如下圖所示。
圖-79 下載CA證書
# 單擊<下載CA證書>按鈕,下載CA證書,並保存好。至此,證書申請工作已全部完成。
5. 導入證書
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的CA證書,
配置如下圖所示。
圖-80 導入CA證書
# 單擊<確定>按鈕,完成CA證書的導入。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的服務器端證書,配置如下圖所示。
圖-81 導入本地證書
# 單擊<確定>按鈕,完成本地證書的導入。
6. 配置SSL的服務器端策略
# 選擇“對象 > SSL > 服務器端策略”,進入SSL服務器端策略頁麵,單擊<新建>按鈕,創建客戶端策略,參數配置如下圖所示。
圖-82 配置服務器端策略
# 單擊<確定>按鈕,完成配置。
7. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-83 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
8. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-84 配置SSL VPN訪問實例
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“TCP業務”,單擊<下一步>。在端口轉發表項中單擊<新建>,參數配置如下圖所示。
圖-85 新建端口轉發表項
# 單擊<確定>,在端口轉發列表單擊<新建>,引用端口轉發表項,單擊<確定>,TCP接入資源如下圖所示。
圖-86 TCP接入資源
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示。
圖-87 配置資源組
# 單擊<確定>按鈕,資源組如下圖所示。
圖-88 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-89 使能訪問實例
9. 創建SSL VPN用戶
# 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”,進入用戶界麵,點擊<新建>按鈕,創建SSL VPN用戶,參數配置如下圖所示。
圖-90 創建SSL VPN用戶
# 為該用戶授權SSL VPN策略組,參數配置如下圖所示。
圖-91 授權屬性
# 單擊<確定>按鈕,完成配置。
# 配置IP地址、網關,保證到SSL VPN網關的路由可達。
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後跳轉到域列表選擇頁麵,如下圖所示。
圖-92 域列表界麵
# 單擊 “domaintcp”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),如下圖所示。
圖-93 SSL VPN登錄界麵
# 單擊<登錄>按鈕,成功登錄後可看到如下圖所示的資源列表。
圖-94 Web接入資源列表
# 單擊<啟動>按鈕,啟動TCP客戶端。
不能通過雙擊的方式打開對應的TCP應用程序。
# 在Host上執行telnet 127.0.0.23:2323,可以成功連接到Server。
如圖-99所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關、采用IP接入方式能夠安全地訪問私有網絡內的Server。具體需求如下:
SSL VPN網關設備通過對用戶進行本地認證和授權。
圖-95 IP接入方式配置組網圖(本地認證)
本舉例是在F1060的E9345版本上進行配置和驗證的。
· 為客戶端地址池配置的網段需要滿足以下要求:
○ 不能和客戶端物理網卡的IP地址在同一個網段。
○ 不能包含SSL VPN網關所在設備的接口地址,否則會導致地址衝突。
○ 不能和欲訪問的內網地址在同一個網段。
· SSL VPN AC接口需要加入安全域,且保證該接口所在安全域與到達內部服務器所在接口的安全域域間流量互通。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/3右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:3.3.3.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置安全策略,過程略
3. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-96 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
4. 創建SSL VPN AC接口
# 選擇“網絡 > SSL VPN > IP接入接口”,進入SSL VPN接入接口頁麵。單擊<新建>按鈕,創建SSL VPN接入接口,接口編號輸入1,單擊<確定>,然後繼續配置接口參數,如下圖所示。
圖-97 創建IP接入接口(1)
圖-98 創建IP接入接口(2)
# 單擊<確定>按鈕。
5. 創建SSL VPN客戶端地址池
# 選擇“網絡 > SSL VPN > 客戶端地址池”,進入SSL VPN客戶端地址池頁麵。單擊<新建>按鈕,創建SSL VPN客戶端地址池,參數配置如下圖所示。
圖-99 創建客戶端地址池
# 單擊<確定>按鈕。
6. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-100 新建訪問實例
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“IP業務”,單擊<下一步>。配置IP業務,參數配置如下圖所示。
圖-101 配置IP業務(1)
圖-102 配置IP業務(2)
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示(本例的IPv4 ACL 3999規則為允許通過所有流量)。
圖-103 配置資源組
# 單擊<確定>按鈕,資源組如下圖所示。
圖-104 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-105 使能訪問實例
7. 創建SSL VPN用戶
# 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”,進入用戶界麵,點擊<新建>按鈕,創建SSL VPN用戶,參數配置如下圖所示。
圖-106 創建SSL VPN用戶
# 為該用戶授權SSL VPN策略組,參數配置如下圖所示。
圖-107 授權屬性
# 單擊<確定>按鈕,完成配置。
# 配置IP地址、網關,保證到SSL VPN網關的路由可達。
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後跳轉到域列表選擇頁麵,如下圖所示。
圖-108 域列表界麵
# 單擊“domainip”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),如下圖所示。
圖-109 SSL VPN登錄界麵
# 單擊<登錄>按鈕,可以成功登錄。
# 單擊<啟動>按鈕,啟動IP客戶端,係統會自動下載iNode客戶端(如果Host之前沒有安裝過iNode客戶端),下載完成後會自動啟動iNode客戶端,並登錄SSL VPN網關,成功登錄後如下圖所示。
圖-110 iNode客戶端
如圖-116所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關、采用IP接入方式能夠安全地訪問私有網絡內的Server。具體需求如下:
· SSL VPN網關設備通過RADIUS Server對用戶進行遠程認證和授權。
· 為了增強安全性,需要驗證客戶端證書。
· 為了增強安全性,服務器端證書不使用缺省證書,需向CA申請。
圖-111 IP接入方式配置組網圖(LDAP認證)
本舉例是在F1060的E9345版本上進行配置和驗證的。
· 為客戶端地址池配置的網段需要滿足以下要求:
○ 不能和客戶端物理網卡的IP地址在同一個網段。
○ 不能包含SSL VPN網關所在設備的接口地址,否則會導致地址衝突。
○ 不能和欲訪問的內網地址在同一個網段。
· SSL VPN AC接口需要加入安全域,且保證該接口所在安全域與到達內部服務器所在接口的安全域域間流量互通。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/3右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:3.3.3.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置安全策略,過程略
3. 申請服務器端證書
# 選擇“對象 > PKI > 證書主題”,進入證書主題界麵,單擊<新建>按鈕,參數配置如下圖所示。
圖-112 證書主題配置
# 單擊<確定>按鈕。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<新建PKI域>按鈕,參數配置如下圖所示。
圖-113 PKI域配置
# 單擊<確定>按鈕。
# 單擊<提交申請>按鈕,申請服務器端證書,參數配置如下圖所示。
圖-114 申請服務器端證書
# 單擊<確定>按鈕,頁麵會顯示公鑰,如下圖所示。
圖-115 公鑰信息
# 將公鑰信息複製,向CA申請服務器端證書(本例CA服務器為Windows Server 2008 R2)。單擊<確定>按鈕。
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-116 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-117 證書申請頁麵
# 單擊<高級證書申請>按鈕,將複製的公鑰信息粘貼至“Base-64編碼的證書申請”輸入框,
如下圖所示。
圖-118 證書申請頁麵
# 單擊<提交>按鈕,完成證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-119 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-120 查看掛起的證書申請的狀態
# 單擊<保存的證書申請>按鈕,跳轉頁麵如下圖所示。
圖-121 下載申請的證書
# 單擊<下載證書>按鈕,下載申請的服務器端證書,並保存好。
4. 下載CA證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-122 證書申請頁麵
# 單擊<下載CA證書、證書鏈或CRL>按鈕,跳轉頁麵如下圖所示。
圖-123 下載CA證書
# 單擊<下載CA證書>按鈕,下載CA證書,並保存好。至此,證書申請工作已全部完成。
5. 導入證書
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的CA證書,
配置如下圖所示。
圖-124 導入CA證書
# 單擊<確定>按鈕,完成CA證書的導入。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的服務器端證書,配置如下圖所示。
圖-125 導入本地證書
# 單擊<確定>按鈕,完成本地證書的導入。
6. 配置SSL的服務器端策略
# 選擇“對象 > SSL > 服務器端策略”,進入SSL服務器端策略頁麵,單擊<新建>按鈕,創建客戶端策略,參數配置如下圖所示。
圖-126 配置服務器端策略
# 單擊<確定>按鈕,完成配置。
7. 配置SSL的客戶端策略
# 選擇“對象 > SSL > 客戶端策略”,進入SSL客戶端策略頁麵,單擊<新建>按鈕,創建客戶端策略,參數配置如下圖所示。
圖-127 配置客戶端策略
# 單擊<確定>按鈕,完成配置。
8. 配置RADIUS方案
# 選擇“對象 > 用戶 > 認證管理 > RADIUS”,進入RADIUS頁麵,點擊<新建>按鈕,認證服務器參數配置如下圖所示(認證密鑰為123456):
圖-128 RADIUS配置
# 高級設置參數配置如下圖所示,未顯示部分請采用默認配置。
圖-129 RADIUS高級配置
# 單擊<確定>按鈕,完成配置。
9. 配置ISP域
# 通過命令行創建ISP域sslvpn,並指定SSL VPN用戶使用的認證、授權方法為RADIUS方案radius、不進行計費。
<Device> system-view
[Device] domain sslvpn
[Device -isp-sslvpn] authentication sslvpn radius-scheme radius
[Device -isp-sslvpn] authorization sslvpn radius-scheme radius
[Device -isp-sslvpn] accounting sslvpn none
[Device -isp-sslvpn] quit
10. 配置用戶組
# 選擇“對象 > 用戶> 用戶管理 > 本地用戶 > 用戶組”,進入用戶組頁麵,點擊<新建>按鈕,參數配置如下圖所示。
圖-130 配置用戶組
# 單擊<確定>按鈕,完成配置。
11. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-131 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
12. 創建SSL VPN AC接口
# 選擇“網絡 > SSL VPN > IP接入接口”,進入SSL VPN接入接口頁麵。單擊<新建>按鈕,創建SSL VPN接入接口,接口編號輸入1,單擊<確定>,然後繼續配置接口參數,如下圖所示。
圖-132 創建IP接入接口(1)
圖-133 創建IP接入接口(2)
# 單擊<確定>按鈕。
13. 創建SSL VPN客戶端地址池
# 選擇“網絡 > SSL VPN > 客戶端地址池”,進入SSL VPN客戶端地址池頁麵。單擊<新建>按鈕,創建SSL VPN客戶端地址池,參數配置如下圖所示。
圖-134 創建客戶端地址池
# 單擊<確定>按鈕。
14. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-135 新建訪問實例
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“IP業務”,單擊<下一步>。配置IP業務,參數配置如下圖所示。
圖-136 配置IP業務(1)
圖-137 配置IP業務(2)
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示(本例的IPv4 ACL 3999規則為允許通過所有流量)。
圖-138 配置資源組
# 單擊<確定>按鈕,資源組如下圖所示。
圖-139 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-140 使能訪問實例
本例使用的iMC版本號為iMC PLAT 7.3(E0504)。
1. 配置接入策略
# 登錄iMC,選擇“用戶 > 接入策略管理 > 接入策略管理”,進入接入策略管理頁麵,單擊<增加>按鈕,新建策略,參數配置如下圖所示。
圖-141 新建接入策略
# 單擊<確定>按鈕。
# 選擇“用戶 > 接入策略管理 > 接入服務管理”,進入接入服務管理頁麵,單擊<增加>按鈕,新建接入服務,參數配置如下圖所示。
圖-142 新建接入服務
# 單擊<確定>按鈕。
# 選擇“用戶 > 接入策略管理 > 接入設備管理 > 接入設備配置”,進入接入設備配置頁麵,單擊<增加>按鈕,新建接入設備配置,參數配置如下圖所示(共享密鑰為123456)。
圖-143 配置接入設備
# 單擊<確定>按鈕。
2. 配置用戶
# 選擇“用戶 > 增加用戶”,進入增加用戶配置頁麵,參數配置如下圖所示。
圖-144 增加用戶
# 單擊<確定>按鈕。
# 選擇“用戶 > 接入用戶管理 > 接入用戶”,進入接入用戶頁麵,單擊<增加>按鈕,新建策略,參數配置如下圖所示。
圖-145 配置接入用戶
# 單擊<確定>按鈕。
1. 配置IP地址、網關,保證到SSL VPN網關、CA服務器的路由可達。
2. 申請客戶端證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-146 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-147 證書申請頁麵
# 單擊<高級證書申請>按鈕,在跳轉的頁麵選擇<創建並向此CA提交一個申請>,申請客戶端證
書,參數配置如下圖所示。
圖-148 申請客戶端證書
# 其餘選用默認配置,單擊頁麵最下方的<提交>按鈕,提交客戶端證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-149 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-150 查看掛起的證書申請的狀態
# 單擊<客戶端身份驗證證書>,跳轉頁麵如下圖所示
圖-151 安裝客戶端證書
# 單擊<安裝此證書>,如果之前沒有安裝CA證書,那麼會出現如下圖所示的頁麵(如果之前已安裝過CA證書,則不會出現該提示)。
圖-152 提示安裝CA證書
# 單擊<請安裝該CA證書>,安裝CA證書,CA證書安裝成功後,再單擊<安裝此證書>,顯示如下圖所示的頁麵代表客戶端證書安裝成功。
圖-153 證書安裝成功
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後會彈出證書選擇界麵,如下圖所示。
圖-154 證書選擇界麵
# 選擇證書,單擊<確定>按鈕,跳轉到域列表選擇頁麵,如下圖所示。
域列表界麵
# 單擊“domainip”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),如下圖所示。
圖-155 SSL VPN登錄界麵
# 單擊<登錄>按鈕,可以成功登錄。
# 單擊<啟動>按鈕,啟動IP客戶端,係統會自動下載iNode客戶端(如果Host之前沒有安裝過iNode客戶端),下載完成後會自動啟動iNode客戶端,並登錄SSL VPN網關,成功登錄後如下圖所示。
圖-156 iNode客戶端
如圖-163所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關、采用IP接入方式能夠安全地訪問私有網絡內的Server。具體需求如下:
· SSL VPN網關設備通過LDAP Server對用戶進行遠程認證和授權。
· 為了增強安全性,需要驗證客戶端證書。
· 為了增強安全性,服務器端證書不使用缺省證書,需向CA申請。
圖-157 配置IP接入方式組網圖(LDAP認證)
本舉例是在F1060的E9345版本上進行配置和驗證的。
· 為客戶端地址池配置的網段需要滿足以下要求:
○ 不能和客戶端物理網卡的IP地址在同一個網段。
○ 不能包含SSL VPN網關所在設備的接口地址,否則會導致地址衝突。
○ 不能和欲訪問的內網地址在同一個網段。
· SSL VPN AC接口需要加入安全域,且保證該接口所在安全域與到達內部服務器所在接口的安全域域間流量互通。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/3右側的<編輯>按鈕,參數配置如下:
· 選擇“基本配置”頁簽,添加到安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼長度:3.3.3.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置安全策略,過程略
3. 申請服務器端證書
# 選擇“對象 > PKI > 證書主題”,進入證書主題界麵,單擊<新建>按鈕,參數配置如下圖所示。
圖-158 證書主題配置
# 單擊<確定>按鈕。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<新建PKI域>按鈕,參數配置如下圖所示。
圖-159 PKI域配置
# 單擊<確定>按鈕。
# 單擊<提交申請>按鈕,申請服務器端證書,參數配置如下圖所示。
圖-160 申請服務器端證書
# 單擊<確定>按鈕,頁麵會顯示公鑰,如下圖所示。
圖-161 公鑰信息
# 將公鑰信息複製,向CA申請服務器端證書(本例CA服務器為Windows Server 2008 R2)。單擊<確定>按鈕。
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-162 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-163 證書申請頁麵
# 單擊<高級證書申請>按鈕,將複製的公鑰信息粘貼至“Base-64編碼的證書申請”輸入框,
如下圖所示。
圖-164 證書申請頁麵
# 單擊<提交>按鈕,完成證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-165 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-166 查看掛起的證書申請的狀態
# 單擊<保存的證書申請>按鈕,跳轉頁麵如下圖所示。
圖-167 下載申請的證書
# 單擊<下載證書>按鈕,下載申請的服務器端證書,並保存好。
4. 下載CA證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-168 證書申請頁麵
# 單擊<下載CA證書、證書鏈或CRL>按鈕,跳轉頁麵如下圖所示。
圖-169 下載CA證書
# 單擊<下載CA證書>按鈕,下載CA證書,並保存好。至此,證書申請工作已全部完成。
5. 導入證書
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的CA證書,
配置如下圖所示。
圖-170 導入CA證書
# 單擊<確定>按鈕,完成CA證書的導入。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的服務器端證書,配置如下圖所示。
圖-171 導入本地證書
# 單擊<確定>按鈕,完成本地證書的導入。
6. 配置SSL的服務器端策略
# 選擇“對象 > SSL > 服務器端策略”,進入SSL服務器端策略頁麵,單擊<新建>按鈕,創建客戶端策略,參數配置如下圖所示。
圖-172 配置服務器端策略
# 單擊<確定>按鈕,完成配置。
7. 配置SSL的客戶端策略
# 選擇“對象 > SSL > 客戶端策略”,進入SSL客戶端策略頁麵,單擊<新建>按鈕,創建客戶端策略,參數配置如下圖所示。
圖-173 配置客戶端策略
# 單擊<確定>按鈕,完成配置。
8. 配置LDAP服務器、LDAP方案、LDAP屬性映射表和ISP域
# 配置LDAP服務器ldap1。
<Device> system-view
[Device] ldap server ldap1
[Device-ldap-server-ldap1] login-dn cn=administrator,cn=users,dc=ldap,dc=com
[Device-ldap-server-ldap1] search-base-dn ou=sslvpn_usergroup,dc=ldap,dc=com
[Device-ldap-server-ldap1] ip 3.3.3.3
[Device-ldap-server-ldap1] login-password simple 123456
[Device-ldap-server-ldap1] quit
# 配置LDAP屬性映射表test。
[Device] ldap attribute-map test
[Device-ldap-attr-map-test] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
[Device-ldap-attr-map-test] quit
# 配置LDAP方案shm1。
[Device] ldap scheme shm1
[Device-ldap-shm1] authentication-server ldap1
[Device-ldap-shm1] authorization-server ldap1
[Device-ldap-shm1] attribute-map test
[Device-ldap-shm1] quit
# 配置ISP域sslvpn。
[Device] domain sslvpn
[Device-isp-sslvpn] state active
[Device-isp-sslvpn] authentication sslvpn ldap-scheme shm1
[Device-isp-sslvpn] authorization sslvpn ldap-scheme shm1
[Device-isp-sslvpn] accounting sslvpn none
[Device-isp-sslvpn] quit
9. 配置用戶組
# 選擇“對象 > 用戶> 用戶管理 > 本地用戶 > 用戶組”,進入用戶組頁麵,參數配置如下圖所示。
圖-174 配置用戶組
# 單擊<確定>按鈕,完成配置。
10. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-175 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
11. 創建SSL VPN AC接口
# 選擇“網絡 > SSL VPN > IP接入接口”,進入SSL VPN接入接口頁麵。單擊<新建>按鈕,創建SSL VPN接入接口,接口編號輸入1,單擊<確定>,然後繼續配置接口參數,如下圖所示。
圖-176 創建IP接入接口(1)
圖-177 創建IP接入接口(2)
# 單擊<確定>按鈕。
12. 創建SSL VPN客戶端地址池
# 選擇“網絡 > SSL VPN > 客戶端地址池”,進入SSL VPN客戶端地址池頁麵。單擊<新建>按鈕,創建SSL VPN客戶端地址池,參數配置如下圖所示。
圖-178 創建客戶端地址池
# 單擊<確定>按鈕。
13. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-179 新建訪問實例
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“IP業務”,單擊<下一步>。配置IP業務,參數配置如下圖所示。
圖-180 配置IP業務(1)
圖-181 配置IP業務(2)
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示(本例的IPv4 ACL 3999規則為允許通過所有流量)。
圖-182 配置資源組
# 單擊<確定>按鈕,資源組如下圖所示。
圖-183 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-184 使能訪問實例
本例使用的Windows Server 2008 R2作為LDAP Server。
1. 創建用戶組
在LDAP服務器上,選擇[開始/管理工具]中的[Active Directory用戶和計算機],打開Active Directory用戶管理界麵,在Active Directory用戶管理界麵的左側導航樹中,單擊“ldap.com”,右鍵單擊“Users”,新建組“sslvpn_usergroup”,如下圖所示。
圖-185 創建用戶組
# 單擊<確定>按鈕,完成配置。
2. 創建用戶
在LDAP服務器上,選擇[開始/管理工具]中的[Active Directory用戶和計算機],打開Active Directory用戶管理界麵,在Active Directory用戶管理界麵的左側導航樹中,右鍵單擊“ldap.com”,新建組織單位“sslvpn_usergroup”,如下圖所示。
圖-186 新建組織單位
# 右鍵單擊“sslvpn_usergroup”,新建用戶,參數配置如下圖所示。
圖-187 創建用戶
# 單擊<下一步>,設置密碼(密碼為123456)。
圖-188 設置密碼
# 單擊<下一步>,完成用戶的創建。
# 右鍵單擊創建的用戶“user1”,選擇屬性,設置該用戶隸屬於用戶組“sslvpn_usergroup”,如下圖所示。
圖-189 設置用戶所示用戶組
# 單擊<確定>,完成配置。
1. 配置IP地址、網關,保證到SSL VPN網關、CA服務器的路由可達。
2. 申請客戶端證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-190 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-191 證書申請頁麵
# 單擊<高級證書申請>按鈕,在跳轉的頁麵選擇<創建並向此CA提交一個申請>,申請客戶端證
書,參數配置如下圖所示。
圖-192 申請客戶端證書
# 其餘選用默認配置,單擊頁麵最下方的<提交>按鈕,提交客戶端證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-193 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-194 查看掛起的證書申請的狀態
# 單擊<客戶端身份驗證證書>,跳轉頁麵如下圖所示
圖-195 安裝客戶端證書
# 單擊<安裝此證書>,如果之前沒有安裝CA證書,那麼會出現如下圖所示的頁麵(如果之前已安裝過CA證書,則不會出現該提示)。
圖-196 提示安裝CA證書
# 單擊<請安裝該CA證書>,安裝CA證書,CA證書安裝成功後,再單擊<安裝此證書>,顯示如下圖所示的頁麵代表客戶端證書安裝成功。
圖-197 證書安裝成功
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後會彈出證書選擇界麵,如下圖所示。
圖-198 證書選擇界麵
# 選擇證書,單擊<確定>按鈕,跳轉到域列表選擇頁麵,如下圖所示。
圖-199 域列表界麵
# 單擊“domainip”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),如下圖所示。
圖-200 SSL VPN登錄界麵
# 單擊<登錄>按鈕,可以成功登錄。
# 單擊<啟動>按鈕,啟動IP客戶端,係統會自動下載iNode客戶端(如果Host之前沒有安裝過iNode客戶端),下載完成後會自動啟動iNode客戶端,並登錄SSL VPN網關,成功登錄後如下圖所示。
圖-201 iNode客戶端
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!