- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
31-SSL VPN IP接入方式典型配置舉例
本章節下載: 31-SSL VPN IP接入方式典型配置舉例 (5.80 MB)
本章包含如下內容:
· 簡介
· 配置前提
本文檔介紹SSL VPN IP接入方式的典型配置舉例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解SSL VPN特性。
如圖-1所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關、采用IP接入方式能夠安全地訪問私有網絡內的Server。具體需求如下:
· SSL VPN網關設備通過RADIUS Server對用戶進行遠程認證和授權。
· 為了增強安全性,需要驗證客戶端證書。
· 為了增強安全性,服務器端證書不使用缺省證書,需向CA申請。
圖-1 IP接入方式配置組網圖(RADIUS認證)
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
· 為客戶端地址池配置的網段需要滿足以下要求:
○ 不能和客戶端物理網卡的IP地址在同一個網段。
○ 不能包含SSL VPN網關所在設備的接口地址,否則會導致地址衝突。
○ 不能和欲訪問的內網地址在同一個網段。
· SSL VPN AC接口需要加入安全域,且保證該接口所在安全域與到達內部服務器所在接口的安全域域間流量互通。
· 需要保證內網Server到達SSL VPN客戶端地址池所在網段10.1.1.0/24路由可達。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/3右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:3.3.3.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/4右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:192.168.100.3/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:40.1.1.1
· 掩碼長度:24
· 下一跳IP地址:1.1.1.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
# 按照同樣的步驟新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:20.2.2.2
· 掩碼長度:24
· 下一跳IP地址:2.2.2.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 源IPv4地址:40.1.1.1
· 目的IPv4地址:1.1.1.2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 按照同樣的步驟新建安全策略,配置如下。
· 名稱:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:10.1.1.0/24
· 目的IPv4地址:20.2.2.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 申請服務器端證書
# 選擇“對象 > PKI > 證書主題”,進入證書主題界麵,單擊<新建>按鈕,參數配置如下圖所示。
圖-2 證書主題配置
# 單擊<確定>按鈕。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<新建PKI域>按鈕,參數配置如下圖所示。
圖-3 PKI域配置
# 單擊<確定>按鈕。
# 單擊<提交申請>按鈕,申請服務器端證書,參數配置如下圖所示。
圖-4 申請服務器端證書
# 單擊<確定>按鈕,頁麵會顯示證書申請信息,如下圖所示。
圖-5 證書申請信息
# 將證書申請信息複製,向CA申請服務器端證書(本例CA服務器為Windows Server 2008 R2)。單擊<確定>按鈕。
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-6 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-7 證書申請頁麵
# 單擊<高級證書申請>按鈕,將複製的證書申請信息粘貼至“Base-64編碼的證書申請”輸入框,
如下圖所示。
圖-8 證書申請頁麵
# 單擊<提交>按鈕,完成證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-9 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-10 查看掛起的證書申請的狀態
# 單擊<保存的證書申請>按鈕,跳轉頁麵如下圖所示。
圖-11 下載申請的證書
# 單擊<下載證書>按鈕,下載申請的服務器端證書,並保存好。
5. 下載CA證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-12 證書申請頁麵
# 單擊<下載CA證書、證書鏈或CRL>按鈕,跳轉頁麵如下圖所示。
圖-13 下載CA證書
# 單擊<下載CA證書>按鈕,下載CA證書,並保存好。至此,證書申請工作已全部完成。
6. 導入證書
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的CA證書,
配置如下圖所示。
圖-14 導入CA證書
# 單擊<確定>按鈕,完成CA證書的導入。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的服務器端證書,配置如下圖所示。
圖-15 導入本地證書
# 單擊<確定>按鈕,完成本地證書的導入。
7. 配置SSL的服務器端策略
# 選擇“對象 > SSL > 服務器端策略”,進入SSL服務器端策略頁麵,單擊<新建>按鈕,創建客戶端策略,參數配置如下圖所示。
圖-16 配置服務器端策略
# 單擊<確定>按鈕,完成配置。
8. 配置RADIUS方案
# 選擇“對象 > 用戶 > 認證管理 > RADIUS”,進入RADIUS頁麵,點擊<新建>按鈕,認證服務器參數配置如下圖所示(認證密鑰為123456):
圖-17 RADIUS配置
# 高級設置參數配置如下圖所示,未顯示部分請采用默認配置。
圖-18 RADIUS高級配置
# 單擊<確定>按鈕,完成配置。
9. 配置ISP域
# 選擇“對象 > 用戶 > 認證管理 > ISP域”,進入ISP域頁麵,點擊<新建>按鈕,創建ISP域sslvpn,並指定SSL VPN用戶使用的認證、授權方法為RADIUS方案radius、不進行計費,參數配置如下圖所示:
圖-19 ISP域配置
圖-20 ISP域配置
10. 配置用戶組
# 選擇“對象 > 用戶> 用戶管理 > 本地用戶 > 用戶組”,進入用戶組頁麵,點擊<新建>按鈕,參數配置如下圖所示。
圖-19 配置用戶組
# 單擊<確定>按鈕,完成配置。
11. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-20 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
12. 創建SSL VPN AC接口
# 選擇“網絡 > SSL VPN > IP接入接口”,進入SSL VPN接入接口頁麵。單擊<新建>按鈕,創建SSL VPN接入接口,接口編號輸入1,單擊<確定>,然後繼續配置接口參數,如下圖所示。
圖-21 創建IP接入接口(1)
圖-22 創建IP接入接口(2)
# 單擊<確定>按鈕。
13. 創建SSL VPN客戶端地址池
# 選擇“網絡 > SSL VPN > 客戶端地址池”,進入SSL VPN客戶端地址池頁麵。單擊<新建>按鈕,創建SSL VPN客戶端地址池,參數配置如下圖所示。
圖-23 創建客戶端地址池
# 單擊<確定>按鈕。
14. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-24 新建訪問實例
# 單擊<下一步>,配置認證配置,參數配置如下圖所示。
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“IP業務”,單擊<下一步>。配置IP業務,參數配置如下圖所示。
圖-25 配置IP業務(1)
圖-26 配置IP業務(2)
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示(本例的IPv4 ACL 3999規則為允許通過所有流量)。
圖-27 配置資源組
# 單擊<確定>按鈕,資源組如下圖所示。
圖-28 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-29 使能訪問實例
本例使用的iMC版本號為iMC PLAT 7.3(E0504)。
1. 配置接入策略
# 登錄iMC,選擇“用戶 > 接入策略管理 > 接入策略管理”,進入接入策略管理頁麵,單擊<增加>按鈕,新建策略,參數配置如下圖所示。
圖-30 新建接入策略
# 單擊<確定>按鈕。
# 選擇“用戶 > 接入策略管理 > 接入服務管理”,進入接入服務管理頁麵,單擊<增加>按鈕,新建接入服務,參數配置如下圖所示。
圖-31 新建接入服務
# 單擊<確定>按鈕。
# 選擇“用戶 > 接入策略管理 > 接入設備管理 > 接入設備配置”,進入接入設備配置頁麵,單擊<增加>按鈕,新建接入設備配置,參數配置如下圖所示(共享密鑰為123456)。
圖-32 配置接入設備
# 單擊<確定>按鈕。
2. 配置用戶
# 選擇“用戶 > 增加用戶”,進入增加用戶配置頁麵,參數配置如下圖所示。
圖-33 增加用戶
# 單擊<確定>按鈕。
# 選擇“用戶 > 接入用戶管理 > 接入用戶”,進入接入用戶頁麵,單擊<增加>按鈕,新建策略,參數配置如下圖所示。
圖-34 配置接入用戶
# 單擊<確定>按鈕。
1. 配置IP地址、網關,保證到SSL VPN網關、CA服務器的路由可達。
2. 申請客戶端證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-35 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-36 證書申請頁麵
# 單擊<高級證書申請>按鈕,在跳轉的頁麵選擇<創建並向此CA提交一個申請>,申請客戶端證
書,參數配置如下圖所示。
圖-37 申請客戶端證書
# 其餘選用默認配置,單擊頁麵最下方的<提交>按鈕,提交客戶端證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-38 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-39 查看掛起的證書申請的狀態
# 單擊<客戶端身份驗證證書>,跳轉頁麵如下圖所示
圖-40 安裝客戶端證書
# 單擊<安裝此證書>,如果之前沒有安裝CA證書,那麼會出現如下圖所示的頁麵(如果之前已安裝過CA證書,則不會出現該提示)。
圖-41 提示安裝CA證書
# 單擊<請安裝該CA證書>,安裝CA證書,CA證書安裝成功後,再單擊<安裝此證書>,顯示如下圖所示的頁麵代表客戶端證書安裝成功。
圖-42 證書安裝成功
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後會彈出證書選擇界麵,如下圖所示。
圖-43 證書選擇界麵
# 選擇證書,單擊<確定>按鈕,跳轉到域列表選擇頁麵,如下圖所示。
域列表界麵
# 單擊“domainip”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),如下圖所示。
圖-44 SSL VPN登錄界麵
# 單擊<登錄>按鈕,可以成功登錄。
# 單擊<啟動>按鈕,啟動IP客戶端,係統會自動下載iNode客戶端(如果Host之前沒有安裝過iNode客戶端),下載完成後會自動啟動iNode客戶端,並登錄SSL VPN網關(首次登錄時,需要手動設置屬性,選擇認證方式和客戶端證書),成功登錄後如下圖所示。
圖-45 iNode客戶端
如圖-1所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關、采用IP接入方式能夠安全地訪問私有網絡內的Server。具體需求如下:
· SSL VPN網關設備通過LDAP Server對用戶進行遠程認證和授權。
· 為了增強安全性,需要驗證客戶端證書。
· 為了增強安全性,服務器端證書不使用缺省證書,需向CA申請。
圖-1 配置IP接入方式組網圖(LDAP認證)
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
· 為客戶端地址池配置的網段需要滿足以下要求:
○ 不能和客戶端物理網卡的IP地址在同一個網段。
○ 不能包含SSL VPN網關所在設備的接口地址,否則會導致地址衝突。
○ 不能和欲訪問的內網地址在同一個網段。
· SSL VPN AC接口需要加入安全域,且保證該接口所在安全域與到達內部服務器所在接口的安全域域間流量互通。
· 需要保證內網Server到達SSL VPN客戶端地址池所在網段10.1.1.0/24路由可達。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/3右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:3.3.3.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/4右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:192.168.100.3/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:40.1.1.1
· 掩碼長度:24
· 下一跳IP地址:1.1.1.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
# 按照同樣的步驟新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:20.2.2.2
· 掩碼長度:24
· 下一跳IP地址:2.2.2.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 源IPv4地址:40.1.1.1
· 目的IPv4地址:1.1.1.2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 按照同樣的步驟新建安全策略,配置如下。
· 名稱:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:10.1.1.0/24
· 目的IPv4地址:20.2.2.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 申請服務器端證書
# 選擇“對象 > PKI > 證書主題”,進入證書主題界麵,單擊<新建>按鈕,參數配置如下圖所示。
圖-46 證書主題配置
# 單擊<確定>按鈕。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<新建PKI域>按鈕,參數配置如下圖所示。
圖-47 PKI域配置
# 單擊<確定>按鈕。
# 單擊<提交申請>按鈕,申請服務器端證書,參數配置如下圖所示。
圖-48 申請服務器端證書
# 單擊<確定>按鈕,頁麵會顯示證書申請信息,如下圖所示。
圖-49 證書申請信息
# 將證書申請信息複製,向CA申請服務器端證書(本例CA服務器為Windows Server 2008 R2)。單擊<確定>按鈕。
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-50 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-51 證書申請頁麵
# 單擊<高級證書申請>按鈕,將複製的證書申請信息粘貼至“Base-64編碼的證書申請”輸入框,
如下圖所示。
圖-52 證書申請頁麵
# 單擊<提交>按鈕,完成證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-53 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-54 查看掛起的證書申請的狀態
# 單擊<保存的證書申請>按鈕,跳轉頁麵如下圖所示。
圖-55 下載申請的證書
# 單擊<下載證書>按鈕,下載申請的服務器端證書,並保存好。
5. 下載CA證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-56 證書申請頁麵
# 單擊<下載CA證書、證書鏈或CRL>按鈕,跳轉頁麵如下圖所示。
圖-57 下載CA證書
# 單擊<下載CA證書>按鈕,下載CA證書,並保存好。至此,證書申請工作已全部完成。
6. 導入證書
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的CA證書,
配置如下圖所示。
圖-58 導入CA證書
# 單擊<確定>按鈕,完成CA證書的導入。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的服務器端證書,配置如下圖所示。
圖-59 導入本地證書
# 單擊<確定>按鈕,完成本地證書的導入。
7. 配置SSL的服務器端策略
# 選擇“對象 > SSL > 服務器端策略”,進入SSL服務器端策略頁麵,單擊<新建>按鈕,創建客戶端策略,參數配置如下圖所示。
圖-60 配置服務器端策略
# 單擊<確定>按鈕,完成配置。
8. 配置LDAP服務器、LDAP方案、LDAP屬性映射表和ISP域
# 配置LDAP服務器ldap1。
<Device> system-view
[Device] ldap server ldap1
[Device-ldap-server-ldap1] login-dn cn=administrator,cn=users,dc=ldap,dc=com
[Device-ldap-server-ldap1] search-base-dn ou=sslvpn_usergroup,dc=ldap,dc=com
[Device-ldap-server-ldap1] ip 3.3.3.3
[Device-ldap-server-ldap1] login-password simple 123456
[Device-ldap-server-ldap1] quit
# 配置LDAP屬性映射表test。
[Device] ldap attribute-map test
[Device-ldap-attr-map-test] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
[Device-ldap-attr-map-test] quit
# 配置LDAP方案shm1。
[Device] ldap scheme shm1
[Device-ldap-shm1] authentication-server ldap1
[Device-ldap-shm1] authorization-server ldap1
[Device-ldap-shm1] attribute-map test
[Device-ldap-shm1] quit
# 配置ISP域sslvpn。
[Device] domain sslvpn
[Device-isp-sslvpn] state active
[Device-isp-sslvpn] authentication sslvpn ldap-scheme shm1
[Device-isp-sslvpn] authorization sslvpn ldap-scheme shm1
[Device-isp-sslvpn] accounting sslvpn none
[Device-isp-sslvpn] quit
9. 配置用戶組
# 選擇“對象 > 用戶> 用戶管理 > 本地用戶 > 用戶組”,進入用戶組頁麵,參數配置如下圖所示。
圖-61 配置用戶組
# 單擊<確定>按鈕,完成配置。
10. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-62 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
11. 創建SSL VPN AC接口
# 選擇“網絡 > SSL VPN > IP接入接口”,進入SSL VPN接入接口頁麵。單擊<新建>按鈕,創建SSL VPN接入接口,接口編號輸入1,單擊<確定>,然後繼續配置接口參數,如下圖所示。
圖-63 創建IP接入接口(1)
圖-64 創建IP接入接口(2)
# 單擊<確定>按鈕。
12. 創建SSL VPN客戶端地址池
# 選擇“網絡 > SSL VPN > 客戶端地址池”,進入SSL VPN客戶端地址池頁麵。單擊<新建>按鈕,創建SSL VPN客戶端地址池,參數配置如下圖所示。
圖-65 創建客戶端地址池
# 單擊<確定>按鈕。
13. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-66 新建訪問實例
# 單擊<下一步>,配置認證配置,參數配置如下圖所示。
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“IP業務”,單擊<下一步>。配置IP業務,參數配置如下圖所示。
圖-67 配置IP業務(1)
圖-1 配置IP業務(2)
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示(本例的IPv4 ACL 3999規則為允許通過所有流量)。
圖-68 配置資源組
# 單擊<確定>按鈕,資源組如下圖所示。
圖-69 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-70 使能訪問實例
本例使用的Windows Server 2008 R2作為LDAP Server。
1. 創建用戶組
在LDAP服務器上,選擇[開始/管理工具]中的[Active Directory用戶和計算機],打開Active Directory用戶管理界麵,在Active Directory用戶管理界麵的左側導航樹中,單擊“ldap.com”,右鍵單擊“Users”,新建組“sslvpn_usergroup”,如下圖所示。
圖-71 創建用戶組
# 單擊<確定>按鈕,完成配置。
2. 創建用戶
在LDAP服務器上,選擇[開始/管理工具]中的[Active Directory用戶和計算機],打開Active Directory用戶管理界麵,在Active Directory用戶管理界麵的左側導航樹中,右鍵單擊“ldap.com”,新建組織單位“sslvpn_usergroup”,如下圖所示。
圖-72 新建組織單位
# 右鍵單擊“sslvpn_usergroup”,新建用戶,參數配置如下圖所示。
圖-73 創建用戶
# 單擊<下一步>,設置密碼(密碼為123456)。
圖-74 設置密碼
# 單擊<下一步>,完成用戶的創建。
# 右鍵單擊創建的用戶“user1”,選擇屬性,設置該用戶隸屬於用戶組“sslvpn_usergroup”,如下圖所示。
圖-75 設置用戶所示用戶組
# 單擊<確定>,完成配置。
1. 配置IP地址、網關,保證到SSL VPN網關、CA服務器的路由可達。
2. 申請客戶端證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-76 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-77 證書申請頁麵
# 單擊<高級證書申請>按鈕,在跳轉的頁麵選擇<創建並向此CA提交一個申請>,申請客戶端證
書,參數配置如下圖所示。
圖-78 申請客戶端證書
# 其餘選用默認配置,單擊頁麵最下方的<提交>按鈕,提交客戶端證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-79 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-80 查看掛起的證書申請的狀態
# 單擊<客戶端身份驗證證書>,跳轉頁麵如下圖所示
圖-81 安裝客戶端證書
# 單擊<安裝此證書>,如果之前沒有安裝CA證書,那麼會出現如下圖所示的頁麵(如果之前已安裝過CA證書,則不會出現該提示)。
圖-82 提示安裝CA證書
# 單擊<請安裝該CA證書>,安裝CA證書,CA證書安裝成功後,再單擊<安裝此證書>,顯示如下圖所示的頁麵代表客戶端證書安裝成功。
圖-83 證書安裝成功
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後會彈出證書選擇界麵,如下圖所示。
圖-84 證書選擇界麵
# 選擇證書,單擊<確定>按鈕,跳轉到域列表選擇頁麵,如下圖所示。
圖-85 域列表界麵
# 單擊“domainip”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),如下圖所示。
圖-86 SSL VPN登錄界麵
# 單擊<登錄>按鈕,可以成功登錄。
# 單擊<啟動>按鈕,啟動IP客戶端,係統會自動下載iNode客戶端(如果Host之前沒有安裝過iNode客戶端),下載完成後會自動啟動iNode客戶端,並登錄SSL VPN網關(首次登錄時,需要手動設置屬性,選擇認證方式和客戶端證書),成功登錄後如下圖所示。
圖-87 iNode客戶端
如圖-88所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關、采用IP接入方式能夠安全地訪問私有網絡內的Server。具體需求如下:
SSL VPN網關設備通過對用戶進行本地認證和授權。
圖-88 IP接入方式配置組網圖(本地認證)
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
· 為客戶端地址池配置的網段需要滿足以下要求:
○ 不能和客戶端物理網卡的IP地址在同一個網段。
○ 不能包含SSL VPN網關所在設備的接口地址,否則會導致地址衝突。
○ 不能和欲訪問的內網地址在同一個網段。
· SSL VPN AC接口需要加入安全域,且保證該接口所在安全域與到達內部服務器所在接口的安全域域間流量互通。
· 需要保證內網Server到達SSL VPN客戶端地址池所在網段10.1.1.0/24路由可達。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/3右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:3.3.3.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:40.1.1.1
· 掩碼長度:24
· 下一跳IP地址:1.1.1.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
# 按照同樣的步驟新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:20.2.2.2
· 掩碼長度:24
· 下一跳IP地址:2.2.2.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 源IPv4地址:40.1.1.1
· 目的IPv4地址:1.1.1.2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 按照同樣的步驟新建安全策略,配置如下。
· 名稱:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:10.1.1.0/24
· 目的IPv4地址:20.2.2.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-89 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
5. 創建SSL VPN AC接口
# 選擇“網絡 > SSL VPN > IP接入接口”,進入SSL VPN接入接口頁麵。單擊<新建>按鈕,創建SSL VPN接入接口,接口編號輸入1,單擊<確定>,然後繼續配置接口參數,如下圖所示。
圖-90 創建IP接入接口(1)
圖-91 創建IP接入接口(2)
# 單擊<確定>按鈕。
6. 創建SSL VPN客戶端地址池
# 選擇“網絡 > SSL VPN > 客戶端地址池”,進入SSL VPN客戶端地址池頁麵。單擊<新建>按鈕,創建SSL VPN客戶端地址池,參數配置如下圖所示。
圖-92 創建客戶端地址池
# 單擊<確定>按鈕。
7. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-93 新建訪問實例
# 單擊<下一步>,配置認證配置,參數配置如下圖所示。
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“IP業務”,單擊<下一步>。配置IP業務,參數配置如下圖所示。
圖-94 配置IP業務(1)
圖-95 配置IP業務(2)
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示(本例的IPv4 ACL 3999規則為允許通過所有流量)。
圖-96 配置資源組
# 單擊<確定>按鈕,資源組如下圖所示。
圖-97 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-98 使能訪問實例
8. 創建SSL VPN用戶
# 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”,進入用戶界麵,點擊<新建>按鈕,創建SSL VPN用戶,參數配置如下圖所示。
圖-99 創建SSL VPN用戶
# 為該用戶授權SSL VPN策略組,參數配置如下圖所示。
圖-100 授權屬性
# 單擊<確定>按鈕,完成配置。
# 配置IP地址、網關,保證到SSL VPN網關的路由可達。
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後跳轉到域列表選擇頁麵,如下圖所示。
圖-101 域列表界麵
# 單擊“domainip”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),如下圖所示。
圖-102 SSL VPN登錄界麵
# 單擊<登錄>按鈕,可以成功登錄。
# 單擊<啟動>按鈕,啟動IP客戶端,係統會自動下載iNode客戶端(如果Host之前沒有安裝過iNode客戶端),下載完成後會自動啟動iNode客戶端,並登錄SSL VPN網關,成功登錄後如下圖所示。
圖-103 iNode客戶端
如圖-1所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關、采用IP接入方式能夠安全地訪問私有網絡內的Server。具體需求如下:
· SSL VPN網關設備通過RADIUS Server對用戶進行遠程認證和授權。
· 為了增強安全性,需要驗證客戶端證書,客戶端證書由USB Key提供。
· 為了增強安全性,服務器端證書不使用缺省證書,需向CA申請。
圖-1 IP接入方式配置組網圖(USB Key認證)
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
· 為客戶端地址池配置的網段需要滿足以下要求:
○ 不能和客戶端物理網卡的IP地址在同一個網段。
○ 不能包含SSL VPN網關所在設備的接口地址,否則會導致地址衝突。
○ 不能和想要訪問的內網目的地址在同一個網段。
· SSL VPNAC接口需要加入安全域,且保證該接口所在安全域與到達內部服務器所在接口的安全域域間流量互通。
· 需要保證內網Server到達SSL VPN客戶端地址池所在網段10.1.1.0/24路由可達。
· 某些品牌的USB Key可能需要安裝驅動才能使用,請做好準備。
· USB Key客戶端證書中的指定字段(默認為CN字段)必須和該SSL VPN用戶的用戶名一致,如下圖所示。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/3右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:3.3.3.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/4右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:192.168.100.3/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:40.1.1.1
· 掩碼長度:24
· 下一跳IP地址:1.1.1.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
# 按照同樣的步驟新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:20.2.2.2
· 掩碼長度:24
· 下一跳IP地址:2.2.2.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 源IPv4地址:40.1.1.1
· 目的IPv4地址:1.1.1.2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 按照同樣的步驟新建安全策略,配置如下。
· 名稱:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:10.1.1.0/24
· 目的IPv4地址:20.2.2.0/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 申請服務器端證書
# 選擇“對象 > PKI > 證書主題”,進入證書主題界麵,單擊<新建>按鈕,參數配置如下圖所示。
圖-2 證書主題配置
# 單擊<確定>按鈕。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<新建PKI域>按鈕,參數配置如下圖所示。
圖-3 PKI域配置
# 單擊<確定>按鈕。
# 單擊<提交申請>按鈕,申請服務器端證書,參數配置如下圖所示。
圖-4 申請服務器端證書
# 單擊<確定>按鈕,頁麵會顯示證書申請信息,如下圖所示。
圖-5 證書申請信息
# 複製上圖所示的全部證書申請信息,並向CA申請服務器端證書(本例CA服務器為Windows Server 2008 R2)。單擊<確定>按鈕。
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,訪問CA服務器並進入證書申請頁麵,如下圖所示。
圖-6 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-7 證書申請頁麵
# 單擊<高級證書申請>按鈕,將複製的證書申請信息粘貼至“Base-64編碼的證書申請”輸入框,
如下圖所示。
圖-8 證書申請頁麵
# 單擊<提交>按鈕,完成證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-9 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-10 查看掛起的證書申請的狀態
# 單擊<保存的證書申請>按鈕,跳轉頁麵如下圖所示。
圖-11 下載申請的證書
# 單擊<下載證書>按鈕,下載申請的服務器端證書,並保存好。
5. 在CA服務器上下載CA證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-12 證書申請頁麵
# 單擊<下載CA證書、證書鏈或CRL>按鈕,跳轉頁麵如下圖所示。
圖-13 下載CA證書
# 單擊<下載CA證書>按鈕,下載CA證書,並保存好。至此,證書申請工作已全部完成。
6. 導入證書
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的CA證書,
配置如下圖所示。
圖-14 導入CA證書
# 單擊<確定>按鈕,完成CA證書的導入。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的服務器端證書,配置如下圖所示。
圖-15 導入本地證書
# 單擊<確定>按鈕,完成本地證書的導入。
7. 配置SSL的服務器端策略
# 選擇“對象 > SSL > 服務器端策略”,進入SSL服務器端策略頁麵,單擊<新建>按鈕,創建服務端策略,參數配置如下圖所示。需要開啟驗證客戶端功能。
圖-16 配置服務器端策略
# 單擊<確定>按鈕,完成配置。
8. 配置RADIUS方案
# 選擇“對象 > 用戶 > 認證管理 > RADIUS”,進入RADIUS頁麵,點擊<新建>按鈕,認證服務器參數配置如下圖所示(認證密鑰為123456):
圖-17 RADIUS配置
# 高級設置參數配置如下圖所示,未顯示部分請采用默認配置。
圖-18 RADIUS高級配置
# 單擊<確定>按鈕,完成配置。
9. 配置ISP域
# 選擇“對象 > 用戶 > 認證管理 > ISP域”,進入ISP域頁麵,點擊<新建>按鈕,創建ISP域sslvpn,並指定SSL VPN用戶使用的認證、授權方法為RADIUS方案radius、不進行計費,參數配置如下圖所示:
圖-19 ISP域配置
圖-20 ISP域配置
10. 配置用戶組
# 選擇“對象 > 用戶> 用戶管理 > 本地用戶 > 用戶組”,進入用戶組頁麵,點擊<新建>按鈕,參數配置如下圖所示。
圖-21 配置用戶組
# 單擊<確定>按鈕,完成配置。
11. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-22 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
12. 創建SSL VPN AC接口
# 選擇“網絡 > SSL VPN > IP接入接口”,進入SSL VPN接入接口頁麵。單擊<新建>按鈕,創建SSL VPN接入接口,接口編號輸入1,單擊<確定>,然後繼續配置接口參數,如下圖所示。
圖-23 創建IP接入接口(1)
圖-24 創建IP接入接口(2)
# 單擊<確定>按鈕。
13. 創建SSL VPN客戶端地址池
# 選擇“網絡 > SSL VPN > 客戶端地址池”,進入SSL VPN客戶端地址池頁麵。單擊<新建>按鈕,創建SSL VPN客戶端地址池,參數配置如下圖所示。
圖-25 創建客戶端地址池
# 單擊<確定>按鈕。
14. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-26 新建訪問實例
# 單擊<下一步>,配置認證配置,參數配置如下圖所示。
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“IP業務”,單擊<下一步>。配置IP業務,參數配置如下圖所示。
圖-27 配置IP業務(1)
圖-28 配置IP業務(2)
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示(本例的IPv4 ACL 3999規則為允許通過所有流量)。
圖-29 配置資源組
# 單擊<確定>按鈕,資源組如下圖所示。
圖-30 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-31 使能訪問實例
本例使用的iMC版本號為iMC PLAT 7.3(E0504)。
1. 配置接入策略
# 登錄iMC,選擇“用戶 > 接入策略管理 > 接入策略管理”,進入接入策略管理頁麵,單擊<增加>按鈕,新建策略,參數配置如下圖所示。
圖-32 新建接入策略
# 單擊<確定>按鈕。
# 選擇“用戶 > 接入策略管理 > 接入服務管理”,進入接入服務管理頁麵,單擊<增加>按鈕,新建接入服務,參數配置如下圖所示。
圖-33 新建接入服務
# 單擊<確定>按鈕。
# 選擇“用戶 > 接入策略管理 > 接入設備管理 > 接入設備配置”,進入接入設備配置頁麵,單擊<增加>按鈕,新建接入設備配置,參數配置如下圖所示(共享密鑰為123456)。
圖-34 配置接入設備
# 單擊<確定>按鈕。
2. 配置用戶
# 選擇“用戶 > 增加用戶”,進入增加用戶配置頁麵,參數配置如下圖所示。
圖-35 增加用戶
# 單擊<確定>按鈕。
# 選擇“用戶 > 接入用戶管理 > 接入用戶”,進入接入用戶頁麵,單擊<增加>按鈕,新建策略,參數配置如下圖所示。
圖-36 配置接入用戶
# 單擊<確定>按鈕。
Server上需要配置到達網段10.1.1.0/24的路由。
1. 在Host上安裝USB Key
從管理員處獲取製作好的USB Key安裝到Host,USB Key的製作方法請參見本文附錄。
2. 在Host上登錄SSL VPN網關
# 在Host的瀏覽器地址欄輸入https://1.1.1.2:4430/,回車確認之後會彈出證書選擇界麵,如下圖所示。
圖-37 證書選擇界麵
# 選擇證書,單擊<確定>按鈕,跳轉到登錄頁麵,輸入用戶sslvpnuser和密碼123456TESTplat&!,如下圖所示。
圖-38 登錄頁麵
# 單擊<登錄>按鈕,可以成功登錄SSL VPN網關。在網頁的應用程序欄中選擇“啟動IP客戶端應用程序”。
# 單擊<啟動>按鈕,下載IP接入客戶端軟件Svpnclient並安裝,安裝完成後,啟動iNode客戶端,輸入如下圖所示的參數。
圖-39 iNode客戶端
# 單擊密碼輸入框右側的<選擇客戶端證書>按鈕,選擇USBKey中的客戶端證書,單擊<確定>按鈕,如下圖所示。
圖-40 選擇證書
# 單擊圖-39的<連接>按鈕,成功登錄SSL VPN客戶端,如下圖所示。
圖-41 成功登錄SSL VPN網關
# SSL VPN用戶sslvpnuser登錄成功後,SSL VPN用戶可以在Host上Ping通服務器地址20.2.2.2。
C:\>ping 20.2.2.2
Pinging 20.2.2.2 with 32 bytes of data:
Reply from 20.2.2.2: bytes=32 time=31ms TTL=254
Reply from 20.2.2.2: bytes=32 time=18ms TTL=254
Reply from 20.2.2.2: bytes=32 time=15ms TTL=254
Reply from 20.2.2.2: bytes=32 time=16ms TTL=254
Ping statistics for 20.2.2.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 15ms, Maximum = 31ms, Average = 20ms
在管理員PC上製作USB Key的流程如下:
1. 配置PC的IP地址、網關,保證PC到達CA服務器的路由可達。本文以Windows 2008 server作為CA服務器舉例,如下圖所示。
圖-42 製作USB Key組網圖
2. 申請USBKey客戶端證書。
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-43 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-44 證書申請頁麵
# 單擊<高級證書申請>按鈕,在跳轉的頁麵選擇<創建並向此CA提交一個申請>,申請客戶端證書,參數配置如下圖所示。
圖-45 申請客戶端證書
# 其餘選用默認配置,單擊頁麵最下方的<提交>按鈕,提交客戶端證書申請。
# 提交成功之後,頁麵會彈出輸入框,請按提示輸入USB Key的用戶密碼,並單擊<登錄>按鈕,如下圖所示。
圖-46 安裝客戶端證書到USB Key
# 單擊<安裝此證書>,潛在的腳本衝突單擊<是>,客戶端證書會直接安裝到USBKey中,如下圖所示。
圖-47 USB Key客戶端證書
至此,USB Key製作完畢。
本舉例詳細介紹了iNode客戶端在不同環境下的安裝和使用方法,iNode客戶端支持在如下環境中安裝和使用:Windows係統、MacOS係統、Linux係統、Android手機和iOS手機。
Windows係統下可以使用SSL VPN網關自帶的iNode客戶端,或者使用H3C官網下載的iNode客戶端。
1. 打開SSL VPN登錄界麵
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後跳轉到域列表選擇頁麵,如下圖所示。(本舉例以SSL VPN網關地址1.1.1.2為例)
圖-104 域列表界麵
# 單擊“domainip”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),單擊<登錄>按鈕,可以成功登錄。
圖-105 SSL VPN登錄界麵
2. 啟動IP客戶端應用程序
# 成功登錄後在瀏覽器頁麵找到如下圖所示的區域。
圖-106 啟動IP客戶端
# 單擊<啟動>按鈕,啟動IP客戶端,係統會自動下載iNode客戶端(如果Host之前沒有安裝過iNode客戶端),下載完成後會自動啟動iNode客戶端,並登錄SSL VPN網關,成功登錄後如下圖所示。
圖-107 iNode客戶端
1. 下載iNode管理中心
# 在瀏覽器地址欄中輸入H3C的官網地址www.yolosolive.com,進入H3C官網,選擇“支持 > 文檔與軟件 > 軟件下載”。
圖-108 進入H3C官網
# 選擇“管理軟件 > iNode PC(PC客戶端)”。
圖-109 選擇管理軟件
圖-110 選擇iNode PC(PC客戶端)
# 選擇最新版本iNode PC軟件包。
圖-111 最新版本iNode PC軟件包
# 在登錄頁麵輸入用戶名:yx800,密碼:01230123,單擊<登錄>按鈕,進入下載頁麵。本文的用戶名和密碼僅為舉例,請使用自己的用戶名和密碼登錄。
圖-112 登錄頁麵
# 進入下載頁麵,下載安裝包。此版本安裝包僅為舉例,請以實際下載的安裝包為準。
圖-113 下載安裝包
# 根據實際使用的操作係統選擇適合的安裝包。
圖-114 選擇安裝包
# 雙擊進入“Windows”文件夾,安裝“iNode Management Center for Windows 7.3 (E0583).exe”軟件。
圖-115 安裝軟件
2. 安裝iNode管理中心
# 雙擊應用程序“iNode Management Center for Windows 7.3 (E0583).exe”,進入安裝界麵。
圖-116 iNode管理中心安裝界麵
# 單擊<下一步>按鈕,進入如下界麵。
圖-117 iNode管理中心安裝界麵
# 選擇“我接受許可證協議中的條款”,單擊<下一步>按鈕,進入如下界麵。
圖-118 iNode管理中心安裝界麵
# 單擊<下一步>按鈕,進入如下界麵。
圖-119 iNode管理中心安裝界麵
# 單擊<安裝>按鈕,進入如下界麵。
圖-120 iNode管理中心安裝界麵
# 單擊<完成>按鈕,在桌麵出現iNode管理中心圖標。
圖-121 安裝完成
3. 定製iNode客戶端
# 雙擊打開iNode管理中心軟件,在左側導航欄中選擇“客戶端定製”選項,在網絡接入組件選擇“SSL VPN”。
圖-122 iNode管理中心
# 單擊<完成>按鈕,進入如下界麵,場景選擇默認場景,選擇“生成定製的客戶端升級包”。
圖-123 iNode管理中心
# 安裝包生成後,單擊<查找目標>按鈕。
圖-124 客戶端定製結果
# 在目標文件夾中找到生成的客戶端程序,並安裝生成的客戶端程序。
圖-125 客戶端程序
4. 登錄iNode客戶端
# iNode客戶端安裝完成後,啟動iNode客戶端。需要注意的是如果SSL VPN端口不為443,則需要在IP地址後加端口才能登錄。
圖-126 登錄iNode客戶端
# 單擊<連接>按鈕,成功登錄iNode客戶端,如下圖所示。
圖-127 登錄成功
1. 下載iNode管理中心,請參考上文中的下載iNode管理中心。
2. 安裝iNode管理中心
# 雙擊進入“MacOS”文件夾,雙擊壓縮包進行解壓。
圖-128 解壓安裝包
# 雙擊進入iNodeManager文件夾。
圖-129 iNodeManager文件夾
# 進入文件夾後單擊上方<設置>按鈕,選擇“將iNodeManager拷貝為路徑名稱”。
圖-130 iNodeManager界麵
# 進入終端應用,輸入“open”,然後空格右鍵粘貼剛才拷貝的路徑,繼續在後方輸入“/iNodeManager.App/Contents/MacOS”,如下圖所示。
圖-131 修改路徑
3. 定製iNode客戶端
# 雙擊彈出頁麵中的“iNodeManager”,如下圖所示:
圖-132 iNodeManager
# 在新窗口中根據需要選擇VPN類型,高級定製中可以預先配置VPN的網關地址及端口。
圖-133 高級定製
# 添加完成後單擊<完成>按鈕,選擇“生成定製的客戶端安裝程序”,然後單擊<確定>按鈕。
圖-134 iNode管理中心
# 定製成功後可以看到如下界麵,在文件中按如下順序展開即可看到iNode安裝包。
圖-135 客戶端定製結果
# 雙擊上圖中的壓縮包,解壓後單擊iNodeClient。
圖-136 iNode客戶端安裝
# 進行係統偏好設置,如下圖所示。
圖-137 係統偏好設置
# 重啟後即可看到iNode客戶端的快捷方式,如下圖所示。
圖-138 iNode客戶端
4. 登錄iNode客戶端
# 使用iNode客戶端登錄,單擊<加號>按鈕,添加登錄信息,完成登錄,如下圖所示。
圖-139 iNode客戶端添加撥號信息
# 選擇“SSL VPN協議”,單擊<下一步>按鈕。
圖-140 iNode客戶端添加撥號信息
# 選擇連接名、網關,輸入用戶名和密碼後。單擊<完成>按鈕,完成連接的創建。
圖-141 iNode客戶端添加撥號信息
# 通過上麵添加的撥號信息,打開後輸入用戶名和密碼,單擊<連接>按鈕進行SSL VPN登錄。
圖-142 iNode客戶端登錄
1. 下載iNode管理中心,請參考上文中的下載iNode管理中心。
2. 安裝iNode管理中心
# 使用root用戶登錄Centos7,將iNode管理中心安裝包複製到/home/iNodeManager文件夾中。如果目錄“/home/iNodeManager/”不存在,需事先創建。Centos7僅為舉例,請以實際使用情況為準。
圖-143 Linux係統
圖-144 Linux係統
# 解壓安裝包,使用tar –xvf iNodeManager_H3C.tar.gz進行解壓。
圖-145 解壓安裝包
# 進入解壓後的iNodeManager目錄。
圖-146 iNodeManager目錄
# 執行安裝命令sh ./install.sh,安裝iNodeManager。
圖-147 安裝iNodeManager
3. 定製iNode客戶端
# 安裝完成後,無需重啟Linux操作係統,也不需要啟動任何服務即可運行Linux iNode 管理中心。
打開Linux iNode配置界麵,再進入Linux iNode 管理中心安裝目錄,本例中為“/home/iNodeManager/iNodeManager/”,雙擊iNodeManager打開管理中心。
圖-148 iNodeManager
# 定製SSL VPN功能並設置網關地址及端口,勾選SSL VPN功能後,單擊<高級定製>按鈕。
圖-149 iNode管理中心
# 按照下圖步驟,在SSL VPN配置項中添加網關地址,添加完成後單擊<確定>按鈕完成網關添加。
圖-150 高級定製
# 設置好網關地址後單擊<完成>按鈕,進行後續定製操作。
圖-151 完成定製
# 勾選“生成定製的客戶端安裝程序”選擇,單擊<查找目標>按鈕,找到定製後的INode客戶端軟件,然後進行後續的客戶端安裝操作。
圖-152 完成定製
4. 安裝iNode客戶端
# 根據主機操作係統環境,選擇使用以上步驟生成的客戶端軟件進行安裝。
圖-153 iNode客戶端安裝
# 使用命令cp iNodeClient_Linux.tar.gz /home/iNode/將Linux iNode 安裝文件複製到目錄“/home/iNode/”下。如果目錄“/home/iNode/”不存在,需事先創建。
圖-154 複製安裝包
# 執行tar – xvf iNodeClient_Linux64_7.3\\(E0548\).tar.gz命令解壓安裝包。
圖-155 解壓安裝包
# 執行ll命令進入inodeclient目錄。
圖-156 進入inodeclient目錄
# 執行安裝命令 . install_64.sh。
圖-157 執行安裝命令
5. 登錄iNode客戶端
# 安裝完成後,雙擊打開客戶端運行程序。
圖-158 iNode客戶端
# 單擊<加號>按鈕添加VPN連接,選擇“SSL VPN協議”後單擊<下一步>按鈕。
圖-159 iNode客戶端
# 輸入用戶名和密碼進行認證,單擊<完成>按鈕後,完成SSL VPN連接。
圖-160 SSL VPN連接
1. 下載iNode客戶端。
# 在瀏覽器地址欄中輸入H3C的官網地址www.yolosolive.com,進入H3C官網,選擇“支持 > 文檔與軟件 > 軟件下載”。
圖-161 進入H3C官網
# 選擇“管理軟件 > iNode MC(手機客戶端)”。
圖-162 選擇管理軟件
圖-163 選擇iNode MC(手機客戶端)
# 選擇最新版本iNode MC軟件包。
圖-164 最新版本iNode MC軟件包
# 在登錄頁麵輸入用戶名:yx800,密碼:01230123,單擊<登錄>按鈕,進入下載頁麵。本文的用戶名和密碼僅為舉例,請使用自己的用戶名和密碼登錄。
圖-165 登錄頁麵
# 進入下載頁麵,下載安裝包。
圖-166 下載安裝包
# 找到下載目錄,將壓縮包進行解壓。
圖-167 解壓壓縮包
# 打開VPN壓縮包進行解壓。
圖-168 解壓壓縮包
2. 登錄iNode客戶端
# 通過QQ文件傳輸助手或其他任意方法將iNode.apk安裝包上傳至Android手機。
圖-169 上傳安裝包
# 手機收到安裝包後單擊<安裝>按鈕。
# 安裝完成後打開iNode客戶端,單擊右上角的<設置>按鈕,設置SSL VPN網關地址及端口。
圖-170 iNode客戶端
# 在下圖SSL VPN服務器地址欄中輸入SSL VPN網關地址,地址格式為:X.X.X.X:X,例如:10.10.10.10:8443,其中8443為SSL VPN服務端口。單擊<確定>按鈕完成設置,再單擊左上角<返回>按鈕,輸入賬號和密碼進行登錄認證。
圖-171 iNode客戶端
建議通過蘋果手機的APP Store搜索iNode進行下載最新版本使用,本文以版本7.3.33舉例。
1. 下載iNode客戶端
# 打開APP Store,搜索iNode。iNode portal適用於Portal認證的場景。iNode connect適用於SSL VPN認證的場景,單擊下載iNode connect並安裝。
圖-172 搜索iNode
2. 登錄iNode客戶端
# 安裝完成後,可以看到iNode connect圖標。
圖-173 打開iNode客戶端
# 打開iNode connect單擊右上角<設置>按鈕,彈出SSL VPN服務器地址設置項。
圖-174 iNode客戶端
# 在下圖SSL VPN服務器地址欄中輸入SSL VPN網關地址,地址格式為:X.X.X.X:X,例如:10.10.10.10:8443,其中8443為SSL VPN服務端口。單擊<確定>按鈕完成設置,再單擊左上角<返回>按鈕,輸入賬號和密碼進行登錄認證。
圖-175 iNode客戶端
# 登錄提示出現後單擊<同意>按鈕,否則將導致VPN客戶端無法使用。
圖-176 完成登錄
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
