25-SSL VPN配置指导
本章节下载: 25-SSL VPN配置指导 (163.67 KB)
目录
当前,越来越多的企业正在通过Internet来满足员工、客户以及合作伙伴的各种通信需求。如果允许他们随时随地直接访问企业内部的资源,这势必将企业的内部网络暴露在可被攻击的环境下。所以需要提供一种安全接入机制来保障通信以及敏感信息的安全。
基于SSL(安全套接层)协议的SSL VPN可以提供基于应用层的访问控制,具有数据加密、完整性检测和认证机制,而且客户端具有更加容易配置和管理等特点,因而适合于远程用户的安全接入。
根据实际网络情况,保证SSL VPN引用的对象已存在,关于配置对象的详细介绍,请参考“对象管理配置指导”:
· SSL VPN引用的用户已存在。
· SSL VPN引用的资源对象已经存在。
· SSL VPN引用的时间对象已经存在。
在配置准备所涉及到的匹配对象都已经存在的前提下,具体SSL VPN配置如表1-1所示。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
必选 |
配置SSL VPN |
sslvpn enable sslvpn disable sslvpn access interface geX sslvpn port PORTNUMBER sslvpn addr-pool IP/M sslvpn allow access sslvpn dns IP1 IP2 sslvp dup-login enable sslvp dup-login disable sslvpn route IP/M sslvpn NAME A.B.C.D enable sslvpn NAME A.B.C.D disable sslvpn ca-cert NAME1 server-cert NAME2 client-cert NAME3 sslvpn keepalive interval count sslvpn security {disable|enable|name-lock|ip-lock} |
必选 |
配置拨入策略 |
sslvpn policy POLICYNAME no sslvpn policy POLICYNAME policy enable policy disable policy description String policy force-kick-off time policy user user policy resource NAME policy schedule schedulename |
必选 |
在完成上述配置后,在任意视图下执行display命令,可以显示设备上SSL VPN的配置情况。
表1-2 SSL VPN配置显示
操作 |
命令 |
SSL VPN配置显示 |
display running-config sslvpn |
设备作为网关,内网用户通过设备访问外网资源。
图1-1 配置SSL VPN组网图
· 公网用户通过ge2口拨入。
· 配置ssl vpn服务端口1194。
· 配置地址池10.10.20.0/24。
· 配置dns服务器114.114.114.114,114.114.114.115
· 配置子网路由192.168.222.1/24
· 授权所有拨入用户访问res1资源。
# 配置SSL VPN。
host#system-view
host(config)# sslvpn enable
host(config)# sslvpn access interface ge2
host(config)# sslvpn port 1194
host(config)# sslvpn addr-pool 10.10.20.0/24
host(config)# sslvpn dns 114.114.114.114 114.114.114.115
host(config)# sslvpn route 192.168.222.1/24
host(config)# sslvpn policy abc
host(sslvpn-policy)# policy description test
host(sslvpn-policy)# policy disable
host(sslvpn-policy)# policy schedule always
host(sslvpn-policy)# policy force-kick-off 0
host(sslvpn-policy)# policy resource res1
host(sslvpn-policy)# policy user any
(1) 通过执行display running-config sslvpn命令来验证配置。
host# display running-config sslvpn
(2) 网关设备和链路均正常工作时,验证SSL VPN用户拨入后所有流量都能正常通过设备,并能正常访问res1资源。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!