- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
32-SSL VPN Web接入方式典型配置舉例
本章節下載: 32-SSL VPN Web接入方式典型配置舉例 (761.61 KB)
本章包含如下內容:
· 簡介
· 配置前提
本文檔介紹SSL VPN Web接入方式的典型配置舉例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解SSL VPN特性。
如圖-1所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關設備、采用Web接入方式能夠安全地訪問位於私有網絡內的Server A和Server B。其中,Server A和Server B均為Web服務器,使用HTTP協議、端口號80。具體需求如下:
· SSL VPN網關設備對用戶進行本地認證和本地授權。
· 為了增強安全性,需要驗證客戶端證書。
· 為了增強安全性,服務器端證書不使用缺省證書,需向CA申請。
圖-1 Web接入方式配置組網圖(雙向證書認證)
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:3.3.3.3/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/3右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/4右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:192.168.100.3/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:40.1.1.1
· 掩碼長度:24
· 下一跳IP地址:1.1.1.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
# 按照同樣的步驟新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:20.2.2.2
· 掩碼長度:24
· 下一跳IP地址:2.2.2.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
# 按照同樣的步驟新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:30.3.3.3
· 掩碼長度:24
· 下一跳IP地址:3.3.3.4
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 源IPv4地址:40.1.1.1
· 目的IPv4地址:1.1.1.2
· 其他配置項使用缺省值
# 按照同樣的步驟新建安全策略,配置如下。
· 名稱:local-trust
· 源安全域:Local
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:2.2.2.2,3.3.3.3,192.168.100.3
· 目的IPv4地址:20.2.2.2,30.3.3.3,192.168.100.247
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 申請服務器端證書
# 選擇“對象 > PKI > 證書主題”,進入證書主題界麵,單擊<新建>按鈕,參數配置如下圖所示。
圖-2 證書主題配置
# 單擊<確定>按鈕。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<新建PKI域>按鈕,參數配置如下圖所示。
圖-3 PKI域配置
# 單擊<確定>按鈕。
# 單擊<提交申請>按鈕,申請服務器端證書,參數配置如下圖所示。
圖-4 申請服務器端證書
# 單擊<確定>按鈕,頁麵會顯示證書申請信息,如下圖所示。
圖-5 證書申請信息
# 將證書申請信息複製,向CA申請服務器端證書(本例CA服務器為Windows Server 2008 R2)。單擊<確定>按鈕。
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-6 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-7 證書申請頁麵
# 單擊<高級證書申請>按鈕,將複製的證書申請信息粘貼至“Base-64編碼的證書申請”輸入框,
如下圖所示。
圖-8 證書申請頁麵
# 單擊<提交>按鈕,完成證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-9 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-10 查看掛起的證書申請的狀態
# 單擊<保存的證書申請>按鈕,跳轉頁麵如下圖所示。
圖-11 下載申請的證書
# 單擊<下載證書>按鈕,下載申請的服務器端證書,並保存好。
5. 下載CA證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-12 證書申請頁麵
# 單擊<下載CA證書、證書鏈或CRL>按鈕,跳轉頁麵如下圖所示。
圖-13 下載CA證書
# 單擊<下載CA證書>按鈕,下載CA證書,並保存好。至此,證書申請工作已全部完成。
6. 導入證書
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的CA證書,
配置如下圖所示。
圖-14 導入CA證書
# 單擊<確定>按鈕,完成CA證書的導入。
# 選擇“對象 > PKI > 證書”,進入證書頁麵,單擊<導入證書>按鈕,選擇之前保存好的服務器端證書,配置如下圖所示。
圖-15 導入本地證書
# 單擊<確定>按鈕,完成本地證書的導入。
7. 配置SSL的服務器端策略
# 選擇“對象 > SSL > 服務器端策略”,進入SSL服務器端策略頁麵,單擊<新建>按鈕,創建服務器端策略,參數配置如下圖所示。
圖-16 配置服務器端策略
# 單擊<確定>按鈕,完成配置。
8. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-17 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
9. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-18 配置SSL VPN訪問實例
# 單擊<下一步>,配置認證配置,參數配置如下圖所示。
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“Web業務”,單擊<下一步>,SSL客戶端策略選擇之前配置的sslvpnclient。配置所需的Web接入資源,配置結果如下圖所示。
圖-19 Web接入資源
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示。
圖-20 配置資源組
# 單擊<確定>按鈕,如下圖所示。
圖-21 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-22 使能訪問實例
10. 創建SSL VPN用戶
# 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”,進入用戶界麵,點擊<新建>按鈕,創建SSL VPN用戶,參數配置如下圖所示。
圖-23 創建SSL VPN用戶
# 為該用戶授權SSL VPN策略組,參數配置如下圖所示。
圖-24 授權屬性
# 單擊<確定>按鈕,完成配置。
1. 配置IP地址、網關,保證到SSL VPN網關、CA服務器的路由可達
2. 申請客戶端證書
# 在瀏覽器地址欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-25 證書申請頁麵
# 單擊<申請證書>按鈕,跳轉頁麵如下圖所示。
圖-26 證書申請頁麵
# 單擊<高級證書申請>按鈕,在跳轉的頁麵選擇<創建並向此CA提交一個申請>,申請客戶端證
書,參數配置如下圖所示。
圖-27 申請客戶端證書
# 其餘選用默認配置,單擊頁麵最下方的<提交>按鈕,提交客戶端證書申請。
# 待CA管理員同意頒發證書後,在瀏覽器欄輸入http://192.168.100.247/certsrv,進入證書申請頁麵,如下圖所示。
圖-28 證書申請頁麵
# 單擊<查看掛起的證書申請的狀態>按鈕,跳轉頁麵如下圖所示。
圖-29 查看掛起的證書申請的狀態
# 單擊<客戶端身份驗證證書>,跳轉頁麵如下圖所示
圖-30 安裝客戶端證書
# 單擊<安裝此證書>,如果之前沒有安裝CA證書,那麼會出現如下圖所示的頁麵(如果之前已安裝過CA證書,則不會出現該提示)。
圖-31 提示安裝CA證書
# 單擊<請安裝該CA證書>,安裝CA證書,CA證書安裝成功後,再單擊<安裝此證書>,顯示如下圖所示的頁麵代表客戶端證書安裝成功。
圖-32 證書安裝成功
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後會彈出證書選擇界麵,如下圖所示。
圖-33 證書選擇界麵
# 選擇證書,單擊<確定>按鈕,跳轉到域列表選擇頁麵,如下圖所示。
圖-34 域列表界麵
# 單擊 “domainweb”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),如下圖所示。
圖-35 SSL VPN登錄界麵
# 單擊<登錄>按鈕,成功登錄後可看到如下圖所示的資源列表。
圖-36 Web接入資源列表
# 單擊鏈接名為ServerA的鏈接,可以成功訪問Web服務器ServerA對應的資源,如下圖所示。
圖-37 成功訪問ServerA
# 單擊鏈接名為ServerB的鏈接,可以成功訪問Web服務器ServerB對應的資源,如下圖所示。
圖-38 成功訪問ServerB
如圖-39所示,SSL VPN網關設備連接公網用戶和企業私有網絡。用戶通過SSL VPN網關設備、采用Web接入方式能夠安全地訪問位於私有網絡內的Server A和Server B。其中,Server A和Server B均為Web服務器,使用HTTP協議、端口號80。具體需求如下:
· SSL VPN網關設備對用戶進行本地認證和本地授權。
· 用戶能訪問Server A和Server B。
圖-39 Web接入方式配置組網圖(缺省證書)
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置接口IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,參數配置如下:
· 安全域:Untrust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:1.1.1.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/2右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:3.3.3.3/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 單擊接口GE1/0/3右側的<編輯>按鈕,參數配置如下:
· 安全域:Trust
· 選擇“IPV4地址”頁簽,配置IP地址/掩碼:2.2.2.2/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:20.2.2.2
· 掩碼長度:24
· 下一跳IP地址:2.2.2.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
· # 按照同樣的步驟新建IPv4靜態路由,配置如下。
· 目的IP地址:30.3.3.3
· 掩碼長度:24
· 下一跳IP地址:3.3.3.4
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
· # 按照同樣的步驟新建IPv4靜態路由,配置如下。
· 目的IP地址:40.1.1.1
· 掩碼長度:24
· 下一跳IP地址:1.1.1.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 類型:IPv4
· 動作:允許
· 源IPv4地址:40.1.1.1
· 目的IPv4地址:1.1.1.2
· 其他配置項使用缺省值
# 按照同樣的步驟新建安全策略,配置如下。
· 名稱:local-trust
· 源安全域:Local
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:2.2.2.2,3.3.3.3
· 目的IPv4地址:20.2.2.2,30.3.3.3
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 配置SSL VPN網關
# 選擇“網絡 > SSL VPN > 網關”,進入SSL VPN網關頁麵,單擊<新建>按鈕,創建SSL VPN網關,參數配置如下圖所示。
圖-40 配置SSL VPN網關
# 單擊<確定>按鈕,完成配置。
5. 配置SSL VPN訪問實例
# 選擇“網絡 > SSL VPN > 訪問實例”,進入SSL VPN訪問實例頁麵,單擊<新建>按鈕,創建SSL VPN訪問實例,參數配置如下圖所示,未顯示的部分,采用默認配置即可。
圖-41 配置SSL VPN訪問實例
# 單擊<下一步>,配置認證配置,參數配置如下圖所示。
# 單擊<下一步>,不配置URI ACL,繼續單擊<下一步>,在跳轉的頁麵選擇“Web業務”,單擊<下一步>。配置所需的Web接入資源,配置結果如下圖所示。
圖-42 Web接入資源
# 單擊<下一步>,不配置快捷方式,繼續單擊<下一步>,在跳轉的頁麵單擊<新建>按鈕,配置資源組,參數配置如下圖所示。
圖-43 配置資源組
# 單擊<確定>按鈕,如下圖所示。
圖-44 資源組
# 單擊<完成>按鈕,完成配置。
# 在<使能>按鈕的選擇框上挑勾,使能配置的訪問實例,如下圖所示。
圖-45 使能訪問實例
6. 創建SSL VPN用戶
# 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”,進入用戶界麵,點擊<新建>按鈕,創建SSL VPN用戶,參數配置如下圖所示。
圖-46 創建SSL VPN用戶
# 為該用戶授權SSL VPN策略組,參數配置如下圖所示。
圖-47 授權屬性
# 單擊<確定>按鈕,完成配置。
# 配置IP地址、網關,保證到SSL VPN網關的路由可達。
# 在瀏覽器地址欄輸入https://1.1.1.2,回車確認之後跳轉到域列表選擇界麵,如下圖所示。
圖-48 域列表
# 單擊 “domainweb”,跳轉到SSL VPN登錄界麵,輸入用戶名密碼(用戶名user1,密碼123456),如下圖所示。
圖-49 SSL VPN登錄界麵
# 單擊<登錄>按鈕,成功登錄後可看到如下圖所示的資源列表。
圖-50 Web接入資源列表
# 單擊鏈接名為ServerA的鏈接,可以成功訪問Web服務器ServerA對應的資源,如下圖所示。
圖-51 成功訪問ServerA
# 單擊鏈接名為ServerB的鏈接,可以成功訪問Web服務器ServerB對應的資源,如下圖所示。
圖-52 成功訪問ServerB
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
