- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-SDP零信任配置
本章節下載: 01-SDP零信任配置 (324.90 KB)
目 錄
隨著bobty下载软件 、物聯網、移動辦公等互聯網技術的興起,企業資源已不再局限於企業內部,企業員工隨時隨地接入企業內網的需求越來越普遍,傳統的網絡防護邊界變得越來越模糊,傳統的基於網絡邊界的安全防護手段越來越難以滿足需求。為了解決以上問題,SDP零信任技術應運而生。SDP零信任核心思想為不信任任何人、設備以及係統,對所有訪問受限資源的用戶進行持續動態認證和最小權限授權。
SDP(Software Defined Perimeter,軟件定義邊界)零信任功能是指設備作為SDP網關與SDP控製器聯動,對訪問指定應用或API的用戶進行身份認證和鑒權,以實現對用戶身份和訪問權限的集中控製,防止非法用戶訪問。
在零信任場景中SDP網關作為企業邊界設備連接遠端用戶和企業內部網絡。
如圖1-1所示,SDP網關和SDP控製器作為SDP零信任功能的必要組成部分,共同對外提供服務。
圖1-1 SDP零信任基本組網圖
· SDP網關
SDP網關是負責為有權限的用戶提供資源訪問服務的設備。SDP網關不進行用戶身份認證,僅對SDP控製器授權的用戶提供資源訪問服務。
· SDP控製器
SDP控製器是負責對用戶進行身份認證和對用戶訪問權限進行鑒別的設備。SDP控製器有自己的身份和權限管理係統,管理員可以在SDP控製器中配置用戶的身份信息以及對資源的訪問權限。
SDP零信任支持Web接入、IP接入和混合接入三種訪問方式,可分別適用不同的用戶需求。
Web接入方式下用戶僅能通過瀏覽器登錄SDP控製器進行身份認證,認證成功後僅能通過瀏覽器訪問內網資源。
如圖1-2所示,Web接入方式訪問流程如下:
(1) 用戶使用瀏覽器采用HTTPS協議訪問SDP控製器,在認證頁麵輸入用戶名和密碼進行身份認證。
(2) 認證通過後,SDP控製器向瀏覽器客戶端下發SDP網關的地址和用戶所能訪問的APP/API。
(3) SDP控製器向SDP網關下發用戶訪問APP/API的權限,該權限信息動態更新。
(4) 用戶通過瀏覽器訪問內網資源,並攜帶用戶Token。
(5) SDP網關驗證用戶Token,判斷用戶是否在線。若用戶不在線,則拒絕訪問;若用戶在線,則SDP網關使用用戶訪問請求中的APP/API,依次匹配該用戶可訪問的APP/API,判斷是否有權限訪問,若有權限訪問,則轉發訪問請求,否則拒絕用戶訪問。
(6) 內網APP/API服務器向SDP網關發送APP/API響應報文。
(7) SDP網關向用戶轉發內網APP/API的響應報文,完成用戶對內網APP/API的最終訪問。
圖1-2 SDP零信任(Web接入方式)工作流程圖
IP接入方式,該方式下用戶僅能通過iNode客戶端登錄SDP控製器進行身份認證,認證成功後僅能通過iNode客戶端訪問內網資源。
如圖1-3所示,IP接入方式訪問流程如下:
(1) 用戶使用iNode客戶端訪問SDP控製器,進行身份認證。
(2) 認證通過後,SDP控製器向iNode客戶端下發SDP網關的地址和用戶所能訪問的APP/API。
(3) SDP控製器向SDP網關下發用戶訪問APP/API的權限,該權限信息動態更新。
(4) iNode客戶端向SDP網關發起SPA(Single Packet Authorization,單包授權)認證請求。
(5) SPA認證通過後,iNode客戶端與SDP網關建立IP接入隧道。
(6) 用戶通過iNode客戶端訪問內網資源,並攜帶用戶Token。
(7) SDP網關驗證用戶Token,判斷用戶是否在線。若用戶不在線,則拒絕訪問;若用戶在線,則SDP網關使用用戶訪問請求中的APP/API,依次匹配該用戶可訪問的APP/API,判斷是否有權限訪問,若有權限訪問,則轉發訪問請求,否則拒絕用戶訪問。
(8) 內網APP/API服務器向SDP網關發送APP/API響應報文。
(9) SDP網關向用戶轉發內網APP/API的響應報文,完成用戶對內網APP/API的最終訪問。
圖1-3 SDP零信任(IP接入方式)訪問流程圖
混合方式下用戶必須首先通過iNode客戶端登錄SDP控製器進行身份認證,認證成功後可以通過瀏覽器或iNode客戶端訪問內網資源,訪問流程同上文介紹的兩種方式。
本功能的支持情況與設備型號有關,請以設備實際情況為準。
|
F1000係列 |
型號 |
說明 |
|
F1000-X-G5係列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
|
F1000-X-XI係列 |
F1000-D-XI、F1000-E-XI |
支持 |
|
F100係列 |
型號 |
說明 |
|
F100-X-G5係列 |
F100-A-G5、F100-C-G5、F100-E-G5、F100-M-G5、F100-S-G5 |
支持 |
|
F100-C-A係列 |
F100-C-A2、F100-C-A1 |
不支持 |
|
F100-X-XI係列 |
F100-A-XI |
不支持 |
|
F100-C-XI、F100-S-XI |
支持 |
vSystem支持本特性的所有功能。有關vSystem的詳細介紹請參見“虛擬化技術配置指導”中的“vSystem”。
SDP網關借助雲平台連接功能向SDP控製器通報保活狀態,由於SDP控製器設置的保活時間為30秒,為了保證SDP可信訪問控製功能的正常運行,需要將設備向雲平台服務器發送Keepalive報文的時間間隔(通過cloud-management keepalive命令)設置為10~29秒。關於雲平台連接的詳細介紹,請參見“WLAN配置指導”中的“雲平台連接”。
SDP零信任功能的相關配置需要在SDP網關上進行,配置任務如下:
(1) 配置SDP網關
(2) 配置SDP功能
(3) 配置SDP訪問實例
(4) 配置SDP接入服務
請至少選擇以下一種接入服務。
¡ 配置Web接入
¡ 配置IP接入
開始本配置之前,假設SDP控製器已經部署完成,即配置了SDP網關的IP地址以及SDP網關所保護的APP/API、SDP用戶的身份信息等,保證能夠對用戶進行身份認證和資源授權。
(1) 進入係統視圖。
system-view
(2) 創建SDP網關,並進入SDP網關視圖。
sslvpn gateway gateway-name
(3) 配置SDP網關的IPv4地址和端口號。
ip address ip-address [ port port-number ]
缺省情況下,SDP網關的IP地址為0.0.0.0,端口號為443。
執行本配置時,如果沒有指定端口號,則缺省端口號為443。
(4) 配置SDP網關的IPv6地址和端口號。
ipv6 address ipv6-address [ port port-number ]
缺省情況下,未配置SDP網關的IPv6地址和端口號。
執行本配置時,如果沒有指定端口號,則缺省端口號為443。
(5) 開啟當前的SDP網關。
service enable
缺省情況下,當前的SDP網關處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 創建並進入SDP可信訪問控製器視圖。
trusted-access controller sdp
(3) 開啟SDP可信訪問控製功能。
sdp enable
缺省情況下,SDP可信訪問控製功能處於關閉狀態。
(4) 配置用戶通過SDP網關訪問內網資源的方式。
sdp access-method { ip-tunnel | mix | web-access }
缺省情況下,用戶通過SDP網關訪問內網資源的方式為混合方式。
(5) 配置用戶通過SDP網關訪問內網API的缺省動作。
sdp api-access default { deny | permit }
缺省情況下,用戶通過SDP網關訪問內網API的缺省動作為允許。
(6) 開啟單包認證功能。
spa enable
缺省情況下,單包認證功能處於關閉狀態。
本功能僅在IP接入方式和混合方式下支持。
(1) 進入係統視圖。
system-view
(2) 創建SDP訪問實例,並進入SDP訪問實例視圖。
sslvpn context context-name
SDP訪問實例的名稱必須為default。
(3) 配置SDP訪問實例引用SDP網關。
gateway gateway-name [ domain domain-name | virtual-host virtual-host-name ]
缺省情況下,SDP訪問實例沒有引用SDP網關。
(4) 開啟當前的SSL VPN訪問實例。
service enable
缺省情況下,SDP訪問實例處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入SSL VPN訪問實例視圖。
sslvpn context context-name
(3) 創建URL表項,並進入URL表項視圖。
url-item name
(4) 配置資源的URL。
url url
缺省情況下,未配置資源的URL。
如果URL中未指定協議類型,則默認為HTTP。
(5) (可選)配置URL資源的映射方式。
url-mapping { domain-mapping domain-name | port-mapping gateway gateway-name [ virtual-host virtual-host-name ] } [ rewrite-enable ]
缺省情況下,URL資源的映射方式為常規改寫。
(1) 進入係統視圖。
system-view
(2) 創建SSL VPN AC接口,並進入SSL VPN AC接口視圖。
interface sslvpn-ac interface-number
(3) 配置接口的IPv4地址。
ip address ip-address { mask | mask-length }
缺省情況下,沒有指定接口的IPv4地址。
(4) 配置接口的IPv6地址。
ipv6 address { ipv6-address prefix-length | ipv6-address/ prefix-length }
缺省情況下,沒有指定接口的IPv6地址。
(5) 開啟當前接口。
undo shutdown
缺省情況下,SSL VPN AC接口均處於開啟狀態。
(6) 退回係統視圖。
quit
(7) 進入SSL VPN訪問實例視圖。
sslvpn context context-name
(8) 配置IP接入引用的SSL VPN AC接口。
ip-tunnel interface sslvpn-ac interface-number
缺省情況下,IP接入未引用SSL VPN AC接口。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置SDP零信任後的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 SDP零信任顯示和維護
|
配置 |
命令 |
|
顯示SDP控製器下發給用戶的內網資源 |
display trusted-access controller sdp assigned-resource { api | app } [ context context-name ] |
|
顯示SDP會話信息 |
display trusted-access controller sdp session [ context context-name ] [ user user-name ] |
|
顯示TCP代理類型應用的連接信息 |
display trusted-access controller sdp tcp-proxy-connection [ context context-name ] [ slot slot-number ] |
Device作為SDP網關設備,連接公網用戶和企業私有網絡。用戶首先通過SDP控製器進行身份認證,認證通過後,SDP控製器授權用戶可以訪問的資源,用戶再通過SDP網關對授權訪問的企業內網資源進行訪問。
圖1-4 SDP零信任(Web接入方式)配置組網圖
開始本配置之前,假設SDP控製器已經部署完成,能夠對用戶進行身份認證和資源授權。
(1) 配置接口IP地址。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 1.1.1.2 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置路由。
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達App server/API server的下一跳IP地址為3.3.3.4,到達Host的下一跳IP地址為1.1.1.3,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 30.3.3.3 24 3.3.3.4
[Device] ip route-static 40.1.1.1 24 1.1.1.3
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(4) 配置安全策略放行指定安全域之間的流量。
# 配置名稱為sdplocalout1的安全策規則,使Device可以向用戶發送報文,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name sdplocalout1
[Device-security-policy-ip-1-sdplocalout1] source-zone local
[Device-security-policy-ip-1-sdplocalout1] destination-zone untrust
[Device-security-policy-ip-1-sdplocalout1] source-ip-host 1.1.1.2
[Device-security-policy-ip-1-sdplocalout1] destination-ip-host 40.1.1.1
[Device-security-policy-ip-1-sdplocalout1] action pass
[Device-security-policy-ip-1-sdplocalout1] quit
# 配置名稱為sdplocalin1的安全策略規則,使用戶可以向Device發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name sdplocalin1
[Device-security-policy-ip-2-sdplocalin1] source-zone untrust
[Device-security-policy-ip-2-sdplocalin1] destination-zone local
[Device-security-policy-ip-2-sdplocalin1] source-ip-host 40.1.1.1
[Device-security-policy-ip-2-sdplocalin1] destination-ip-host 1.1.1.2
[Device-security-policy-ip-2-sdplocalin1] action pass
[Device-security-policy-ip-2-sdplocalin1] quit
# 配置名稱為sdplocalout2的安全策規則,使Device可以向App server/API server、SDP控製器發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name sdplocalout2
[Device-security-policy-ip-3-sdplocalout2] source-zone local
[Device-security-policy-ip-3-sdplocalout2] destination-zone trust
[Device-security-policy-ip-3-sdplocalout2] source-ip-host 2.2.2.2
[Device-security-policy-ip-3-sdplocalout2] source-ip-host 3.3.3.3
[Device-security-policy-ip-3-sdplocalout2] destination-ip-host 2.2.2.10
[Device-security-policy-ip-3-sdplocalout2] destination-ip-host 30.3.3.3
[Device-security-policy-ip-3-sdplocalout2] action pass
[Device-security-policy-ip-3-sdplocalout2] quit
# 配置名稱為sdplocalin2的安全策略規則,使App server/API server、SDP控製器可以向Device發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name sdplocalin2
[Device-security-policy-ip-4-sdplocalin2] source-zone trust
[Device-security-policy-ip-4-sdplocalin2] destination-zone local
[Device-security-policy-ip-4-sdplocalin2] source-ip-host 2.2.2.10
[Device-security-policy-ip-4-sdplocalin2] source-ip-host 30.3.3.3
[Device-security-policy-ip-4-sdplocalin2] destination-ip-host 2.2.2.2
[Device-security-policy-ip-4-sdplocalin2] destination-ip-host 3.3.3.3
[Device-security-policy-ip-4-sdplocalin2] action pass
[Device-security-policy-ip-4-sdplocalin2] quit
[Device-security-policy-ip] quit
(5) 配置SDP網關,用於用戶訪問內網資源。
# 配置SDP網關gw的IP地址為1.1.1.2,端口號為2000。該SDP網關地址和端口需要在SDP控製器上注冊。
[Device] sslvpn gateway gw
[Device-sslvpn-gateway-gw] ip address 1.1.1.2 port 2000
[Device-sslvpn-gateway-gw] service enable
[Device-sslvpn-gateway-gw] quit
(6) 配置並開啟SDP功能。
[Device] trusted-access controller sdp
[Device-tac-sdp] sdp access-method web-access
[Device-tac-sdp] sdp api-access default deny
[Device-tac-sdp] sdp enable
(7) 配置SDP訪問實例,為用戶提供Web接入服務。
# 配置SDP訪問實例default引用SDP網關gw。
[Device] sslvpn context default
[Device-sslvpn-context-default] gateway gw
[Device-sslvpn-context-default] url-item urlitem
[Device-sslvpn-context-default-url-item-urlitem] url http://30.3.3.3
[Device-sslvpn-context-default-url-item-urlitem] url-mapping domain-mapping www.domain.com
[Device-sslvpn-context-default-url-item-urlitem] quit
[Device-sslvpn-context-default] quit
(8) 配置雲平台連接功能,用於SDP網關和SDP控製器之間進行通信。
# 配置雲平台連接功能,實現SDP網關和SDP控製器建立雲管道連接,其中www.sdpexample.com和2.2.2.10為SDP控製器的域名和IP地址。
[Device] ip host www.sdpexample.com 2.2.2.10
[Device] cloud-management server domain www.sdpexample.com
[Device] cloud-management server port 18002
[Device] cloud-management keepalive 10
(9) 開啟雲平台連接功能所需的協議。
# 開啟RESTful、Netconf、HTTP以及HTTPS協議,用於SDP控製器與網關之間進行信息交互。
[Device] restful http enable
[Device] restful https enable
[Device] netconf soap http enable
[Device] netconf soap https enable
[Device] ip http enable
[Device] ip https enable
# 在Device上查看SDP網關狀態,可見SDP控製器下發給用戶的應用資源。
[Device] display trusted-access controller sdp assigned-resource app
Context : default
App ID : 12345
App Name : urlitem
AccessType : web proxy
HostName : host1
Address : Protocol : HTTPS
IPv4Address : 30.3.3.3
Port : 4430
# 在Device上查看SDP會話信息,可見SDP會話信息如下。
[Device] display trusted-access controller sdp session
User : user1
Authentication method : SDP authentication
Context : default
Created at : 13:49:27 UTC Wed 04/14/2021
Latest : 17:50:58 UTC Wed 04/14/2021
Session ID : 1
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
Apps : urlitem/permit;
app2/deny;
…
APIs : api1/permit;
api2/deny;
…
Device作為SDP網關設備,連接公網用戶和企業私有網絡。用戶首先通過SDP控製器進行身份認證,認證通過後,SDP控製器授權用戶可以訪問的資源,用戶再通過SDP網關對授權訪問的企業內網資源進行訪問。
圖1-5 SDP零信任(IP接入方式)配置組網圖
開始本配置之前,假設SDP控製器已經部署完成,能夠對用戶進行身份認證和資源授權。
(1) 配置接口IP地址。
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 1.1.1.2 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 創建SSL VPN AC接口,用於轉發IP接入流量。
# 創建SSL VPN AC接口1,並配置接口的IP地址為10.1.1.100/24,該地址需要與SDP控製器上配置的地址池為同一個網段。
[Device] interface sslvpn-ac 1
[Device-SSLVPN-AC1] ip address 10.1.1.100 24
[Device-SSLVPN-AC1] quit
(3) 配置路由。
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達App server/API server的下一跳IP地址為3.3.3.4,到達Host的下一跳IP地址為1.1.1.3,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 30.3.3.3 24 3.3.3.4
[Device] ip route-static 40.1.1.1 24 1.1.1.3
(4) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] import interface sslvpn-ac 1
[Device-security-zone-Untrust] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(5) 配置安全策略放行指定安全域之間的流量。
# 配置名稱為sdplocalout1的安全策規則,使Device可以向用戶發送報文,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name sdplocalout1
[Device-security-policy-ip-1-sdplocalout1] source-zone local
[Device-security-policy-ip-1-sdplocalout1] destination-zone untrust
[Device-security-policy-ip-1-sdplocalout1] source-ip-host 1.1.1.2
[Device-security-policy-ip-1-sdplocalout1] destination-ip-host 40.1.1.1
[Device-security-policy-ip-1-sdplocalout1] action pass
[Device-security-policy-ip-1-sdplocalout1] quit
# 配置名稱為sdplocalin1的安全策略規則,使用戶可以向Device發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name sdplocalin1
[Device-security-policy-ip-2-sdplocalin1] source-zone untrust
[Device-security-policy-ip-2-sdplocalin1] destination-zone local
[Device-security-policy-ip-2-sdplocalin1] source-ip-host 40.1.1.1
[Device-security-policy-ip-2-sdplocalin1] destination-ip-host 1.1.1.2
[Device-security-policy-ip-2-sdplocalin1] action pass
[Device-security-policy-ip-2-sdplocalin1] quit
# 配置名稱為sdplocalout2的安全策規則,使Device可以向App server/API server、SDP控製器發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name sdplocalout2
[Device-security-policy-ip-3-sdplocalout2] source-zone local
[Device-security-policy-ip-3-sdplocalout2] destination-zone trust
[Device-security-policy-ip-3-sdplocalout2] source-ip-host 2.2.2.2
[Device-security-policy-ip-3-sdplocalout2] source-ip-host 3.3.3.3
[Device-security-policy-ip-3-sdplocalout2] destination-ip-host 2.2.2.10
[Device-security-policy-ip-3-sdplocalout2] destination-ip-host 30.3.3.3
[Device-security-policy-ip-3-sdplocalout2] action pass
[Device-security-policy-ip-3-sdplocalout2] quit
# 配置名稱為sdplocalin2的安全策略規則,使App server/API server、SDP控製器可以向Device發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name sdplocalin2
[Device-security-policy-ip-4-sdplocalin2] source-zone trust
[Device-security-policy-ip-4-sdplocalin2] destination-zone local
[Device-security-policy-ip-4-sdplocalin2] source-ip-host 2.2.2.10
[Device-security-policy-ip-4-sdplocalin2] source-ip-host 30.3.3.3
[Device-security-policy-ip-4-sdplocalin2] destination-ip-host 2.2.2.2
[Device-security-policy-ip-4-sdplocalin2] destination-ip-host 3.3.3.3
[Device-security-policy-ip-4-sdplocalin2] action pass
[Device-security-policy-ip-4-sdplocalin2] quit
# 配置名稱為untrust-trust的安全策規則,使用戶可以通過SSL VPN AC接口訪問App server/API server,具體配置步驟如下。
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-5-untrust-trust] source-zone untrust
[Device-security-policy-ip-5-untrust-trust] destination-zone trust
[Device-security-policy-ip-5-untrust-trust] source-ip-subnet 10.1.1.0 24
[Device-security-policy-ip-5-untrust-trust] destination-ip-host 30.3.3.3
[Device-security-policy-ip-5-untrust-trust] action pass
[Device-security-policy-ip-5-untrust-trust] quit
# 配置名稱為trust-untrust的安全策略規則,使App server/API server可以通過SSL VPN AC接口向用戶發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-6-trust-untrust] source-zone trust
[Device-security-policy-ip-6-trust-untrust] destination-zone untrust
[Device-security-policy-ip-6-trust-untrust] source-ip-host 30.3.3.3
[Device-security-policy-ip-6-trust-untrust] destination-ip-subnet 10.1.1.0 24
[Device-security-policy-ip-6-trust-untrust] action pass
[Device-security-policy-ip-6-trust-untrust] quit
[Device-security-policy-ip] quit
(6) 配置SDP網關,用於用戶訪問內網資源。
# 配置SDP網關gw的IP地址為1.1.1.2,端口號為2000。該SDP網關地址和端口需要在SDP控製器上注冊。
[Device] sslvpn gateway gw
[Device-sslvpn-gateway-gw] ip address 1.1.1.2 port 2000
[Device-sslvpn-gateway-gw] service enable
[Device-sslvpn-gateway-gw] quit
# 配置並開啟SDP功能。
[Device] trusted-access controller sdp
[Device-tac-sdp] sdp access-method ip-tunnel
[Device-tac-sdp] sdp api-access default deny
[Device-tac-sdp] spa enable
[Device-tac-sdp] sdp enable
(7) 配置SDP訪問實例,為用戶提供IP接入服務。
# 配置SDP訪問實例default引用SDP網關gw。
[Device] sslvpn context default
[Device-sslvpn-context-default] gateway gw
[Device-sslvpn-context-default] ip-tunnel interface sslvpn-ac 1
[Device-sslvpn-context-default] quit
(8) 配置雲平台連接功能,用於SDP網關和SDP控製器之間進行通信。
# 配置雲平台連接功能,實現SDP網關和SDP控製器建立雲管道連接,其中www.sdpexample.com和2.2.2.10為SDP控製器的域名和IP地址。
[Device] ip host www.sdpexample.com 2.2.2.10
[Device] cloud-management server domain www.sdpexample.com
[Device] cloud-management server port 18002
[Device] cloud-management keepalive 10
(9) 開啟雲平台連接功能所需的協議。
# 開啟RESTful、Netconf、HTTP以及HTTPS協議,用於SDP控製器與SDP網關之間進行信息交互。
[Device] restful http enable
[Device] restful https enable
[Device] netconf soap http enable
[Device] netconf soap https enable
[Device] ip http enable
[Device] ip https enable
(10) 由於SDP網關和SDP控製器之間不需要進行SPA認證,配置指定協議的報文不受安全策略控製,從而繞過SPA認證。
# 在SDP網關上配置SDP控製器可以通過如下協議訪問本設備,不受安全策略限製。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] manage http inbound
[Device-GigabitEthernet1/0/2] manage https inbound
[Device-GigabitEthernet1/0/2] manage netconf-http inbound
[Device-GigabitEthernet1/0/2] manage netconf-https inbound
[Device-GigabitEthernet1/0/2] manage netconf-ssh inbound
[Device-GigabitEthernet1/0/2] manage ping inbound
[Device-GigabitEthernet1/0/2] manage snmp inbound
[Device-GigabitEthernet1/0/2] manage ssh inbound
[Device-GigabitEthernet1/0/2] manage telnet inbound
# 在Device上查看SDP網關狀態,可見SDP控製器下發給用戶的應用資源。
[Device] display trusted-access controller sdp assigned-resource app
Context : default
App ID : 12345
App Name : urlitem
AccessType : ip-tunnel
HostName : host1
Address : Protocol : HTTPS
IPv4Address : 30.3.3.3
Port : 4430
# 在Device上查看SDP會話信息,可見SDP會話信息如下。
[Sysname] display trusted-access controller sdp session
User : user1
Authentication method : SDP authentication
Context : default
Created at : 13:49:27 UTC Wed 04/14/2021
Latest : 17:50:58 UTC Wed 04/14/2021
Allocated IPv4 address : 10.1.1.1
Session ID : 1
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
Apps : app1/permit;
app2/deny;
…
APIs : api1/permit;
api2/deny;
…
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
