• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

02-网络管理配置指导

目录

25-SSL VPN配置指导

本章节下载 25-SSL VPN配置指导  (163.67 KB)

25-SSL VPN配置指导


1 SSL VPN

1.1  SSL VPN简介

当前,越来越多的企业正在通过Internet来满足员工、客户以及合作伙伴的各种通信需求。如果允许他们随时随地直接访问企业内部的资源,这势必将企业的内部网络暴露在可被攻击的环境下。所以需要提供一种安全接入机制来保障通信以及敏感信息的安全。

基于SSL(安全套接层)协议的SSL VPN可以提供基于应用层的访问控制,具有数据加密、完整性检测和认证机制,而且客户端具有更加容易配置和管理等特点,因而适合于远程用户的安全接入。

1.2  SSL VPN配置

1.2.1  配置准备

根据实际网络情况,保证SSL VPN引用的对象已存在,关于配置对象的详细介绍,请参考“对象管理配置指导”:

·     SSL VPN引用的用户已存在。

·     SSL VPN引用的资源对象已经存在。

·     SSL VPN引用的时间对象已经存在。

1.2.2  SSL VPN配置

在配置准备所涉及到的匹配对象都已经存在的前提下,具体SSL VPN配置如表1-1所示。

表1-1 配置SSL VPN

操作

命令

说明

进入系统视图

system-view

必选

配置SSL VPN

sslvpn enable

sslvpn disable

sslvpn access interface geX

sslvpn port PORTNUMBER

sslvpn addr-pool IP/M

sslvpn allow access

sslvpn dns IP1 IP2

sslvp dup-login enable

sslvp dup-login disable

sslvpn route IP/M

sslvpn NAME A.B.C.D enable

sslvpn NAME A.B.C.D disable

sslvpn ca-cert NAME1 server-cert NAME2 client-cert NAME3

sslvpn keepalive interval count

sslvpn security {disable|enable|name-lock|ip-lock}

必选

配置拨入策略

sslvpn policy POLICYNAME

no sslvpn policy POLICYNAME

policy enable

policy disable

policy description String

policy force-kick-off time

policy user user

policy resource NAME

policy schedule schedulename

必选

 

1.3  SSL VPN显示和维护

在完成上述配置后,在任意视图下执行display命令,可以显示设备上SSL VPN的配置情况。

表1-2 SSL VPN配置显示

操作

命令

SSL VPN配置显示

display running-config sslvpn

 

1.4  SSL VPN典型配置举例

1. 组网需求

设备作为网关,内网用户通过设备访问外网资源。

图1-1 配置SSL VPN组网图

 

2. 配置思路

·     公网用户通过ge2口拨入。

·     配置ssl vpn服务端口1194。

·     配置地址池10.10.20.0/24。

·     配置dns服务器114.114.114.114,114.114.114.115

·     配置子网路由192.168.222.1/24

·     授权所有拨入用户访问res1资源。

3. 配置步骤

# 配置SSL VPN。

host#system-view

host(config)# sslvpn enable

host(config)# sslvpn access interface ge2

host(config)# sslvpn port 1194

host(config)# sslvpn addr-pool 10.10.20.0/24

host(config)# sslvpn dns 114.114.114.114 114.114.114.115

host(config)# sslvpn route 192.168.222.1/24

host(config)# sslvpn policy abc

host(sslvpn-policy)# policy description test

host(sslvpn-policy)# policy disable

host(sslvpn-policy)# policy schedule always

host(sslvpn-policy)# policy force-kick-off 0

host(sslvpn-policy)# policy resource res1

host(sslvpn-policy)# policy user any

4. 验证配置

(1)     通过执行display running-config sslvpn命令来验证配置。

host# display running-config sslvpn

 

(2)     网关设备和链路均正常工作时,验证SSL VPN用户拨入后所有流量都能正常通过设备,并能正常访问res1资源。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们