08-典型配置举例

27-SSL VPN典型配置举例

SSL VPN典型配置举例

本章包含如下内容：

· 简介

· 配置前提

· Web接入方式配置举例（缺省证书）

· Web接入方式配置举例（双向证书认证）

· TCP接入方式配置举例（缺省证书）

· TCP接入方式配置举例（非缺省证书）

· IP接入方式配置举例（本地认证+缺省证书）

· IP接入方式配置举例（RADIUS认证）

· IP接入方式配置举例（LDAP认证）

简介

本文档介绍SSL VPN的典型配置举例。

配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解SSL VPN特性。

Web接入方式配置举例（缺省证书）

组网需求

如图-1所示，SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关设备、采用Web接入方式能够安全地访问位于私有网络内的Server A和Server B。其中，Server A和Server B均为Web服务器，使用HTTP协议、端口号80。具体需求如下：

· SSL VPN网关设备对用户进行本地认证和本地授权。

· 用户能访问Server A和Server B。

图-1 Web接入方式配置组网图（缺省证书）

使用版本

本举例是在F1060的E9345版本上进行配置和验证的。

配置步骤

Device的配置

1. 配置接口IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Untrust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：1.1.1.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/2右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Trust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：3.3.3.3/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/3右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Trust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：2.2.2.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置安全策略，过程略

3. 配置SSL VPN网关

# 选择“网络 > SSL VPN > 网关”，进入SSL VPN网关页面，单击<新建>按钮，创建SSL VPN网关，参数配置如下图所示。

图-2 配置SSL VPN网关

# 单击<确定>按钮，完成配置。

4. 配置SSL VPN访问实例

# 选择“网络 > SSL VPN > 访问实例”，进入SSL VPN访问实例页面，单击<新建>按钮，创建SSL VPN访问实例，参数配置如下图所示，未显示的部分，采用默认配置即可。

图-3 配置SSL VPN访问实例

# 单击<下一步>，不配置URI ACL，继续单击<下一步>，在跳转的页面选择“Web业务”，单击<下一步>。配置所需的Web接入资源，配置结果如下图所示。

图-4 Web接入资源

# 单击<下一步>，不配置快捷方式，继续单击<下一步>，在跳转的页面单击<新建>按钮，配置资源组，参数配置如下图所示。

图-5 配置资源组

# 单击<确定>按钮，如下图所示。

图-6 资源组

# 单击<完成>按钮，完成配置。

# 在<使能>按钮的选择框上挑勾，使能配置的访问实例，如下图所示。

图-7 使能访问实例

5. 创建SSL VPN用户

# 选择“对象 > 用户 > 用户管理 > 本地用户”，进入用户界面，点击<新建>按钮，创建SSL VPN用户，参数配置如下图所示。

图-8 创建SSL VPN用户

# 为该用户授权SSL VPN策略组，参数配置如下图所示。

图-9 授权属性

# 单击<确定>按钮，完成配置。

Host的配置

# 配置IP地址、网关，保证到SSL VPN网关的路由可达。

验证配置

# 在浏览器地址栏输入https://1.1.1.2，回车确认之后跳转到域列表选择界面，如下图所示。

图-10 域列表

# 单击 “domainweb”，跳转到SSL VPN登录界面，输入用户名密码（用户名user1，密码123456），如下图所示。

图-11 SSL VPN登录界面

# 单击<登录>按钮，成功登录后可看到如下图所示的资源列表。

图-12 Web接入资源列表

# 单击链接名为ServerA的链接，可以成功访问Web服务器ServerA对应的资源，如下图所示。

图-13 成功访问ServerA

# 单击链接名为ServerB的链接，可以成功访问Web服务器ServerB对应的资源，如下图所示。

图-14 成功访问ServerB

Web接入方式配置举例（双向证书认证）

组网需求

如图-15所示，SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关设备、采用Web接入方式能够安全地访问位于私有网络内的Server A和Server B。其中，Server A和Server B均为Web服务器，使用HTTP协议、端口号80。具体需求如下：

· SSL VPN网关设备对用户进行本地认证和本地授权。

· 为了增强安全性，需要验证客户端证书。

· 为了增强安全性，服务器端证书不使用缺省证书，需向CA申请。

图-15 Web接入方式配置组网图（双向证书认证）

使用版本

本举例是在F1060的E9345版本上进行配置和验证的。

配置步骤

Device的配置

1. 配置接口IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Untrust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：1.1.1.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/2右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Trust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：3.3.3.3/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/3右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Trust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：2.2.2.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置安全策略，过程略

3. 申请服务器端证书

# 选择“对象 > PKI > 证书主题”，进入证书主题界面，单击<新建>按钮，参数配置如下图所示。

图-16 证书主题配置

# 单击<确定>按钮。

# 选择“对象 > PKI > 证书”，进入证书页面，单击<新建PKI域>按钮，参数配置如下图所示。

图-17 PKI域配置

# 单击<确定>按钮。

# 单击<提交申请>按钮，申请服务器端证书，参数配置如下图所示。

图-18 申请服务器端证书

# 单击<确定>按钮，页面会显示公钥，如下图所示。

图-19 公钥信息

# 将公钥信息复制，向CA申请服务器端证书（本例CA服务器为Windows Server 2008 R2）。单击<确定>按钮。

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-20 证书申请页面

# 单击<申请证书>按钮，跳转页面如下图所示。

图-21 证书申请页面

# 单击<高级证书申请>按钮，将复制的公钥信息粘贴至“Base-64编码的证书申请”输入框，

如下图所示。

图-22 证书申请页面

# 单击<提交>按钮，完成证书申请。

# 待CA管理员同意颁发证书后，在浏览器栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-23 证书申请页面

# 单击<查看挂起的证书申请的状态>按钮，跳转页面如下图所示。

图-24 查看挂起的证书申请的状态

# 单击<保存的证书申请>按钮，跳转页面如下图所示。

图-25 下载申请的证书

# 单击<下载证书>按钮，下载申请的服务器端证书，并保存好。

4. 下载CA证书

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-26 证书申请页面

# 单击<下载CA证书、证书链或CRL>按钮，跳转页面如下图所示。

图-27 下载CA证书

# 单击<下载CA证书>按钮，下载CA证书，并保存好。至此，证书申请工作已全部完成。

5. 导入证书

# 选择“对象 > PKI > 证书”，进入证书页面，单击<导入证书>按钮，选择之前保存好的CA证书，

配置如下图所示。

图-28 导入CA证书

# 单击<确定>按钮，完成CA证书的导入。

# 选择“对象 > PKI > 证书”，进入证书页面，单击<导入证书>按钮，选择之前保存好的服务器端证书，配置如下图所示。

图-29 导入本地证书

# 单击<确定>按钮，完成本地证书的导入。

6. 配置SSL的服务器端策略

# 选择“对象 > SSL > 服务器端策略”，进入SSL服务器端策略页面，单击<新建>按钮，创建服务器端策略，参数配置如下图所示。

图-30 配置服务器端策略

# 单击<确定>按钮，完成配置。

7. 配置SSL的客户端策略

# 选择“对象 > SSL > 客户端策略”，进入SSL客户端策略页面，单击<新建>按钮，创建客户端策略，参数配置如下图所示。

图-31 配置客户端策略

# 单击<确定>按钮，完成配置。

8. 配置SSL VPN网关

# 选择“网络 > SSL VPN > 网关”，进入SSL VPN网关页面，单击<新建>按钮，创建SSL VPN网关，参数配置如下图所示。

图-32 配置SSL VPN网关

# 单击<确定>按钮，完成配置。

9. 配置SSL VPN访问实例

图-33 配置SSL VPN访问实例

# 单击<下一步>，不配置URI ACL，继续单击<下一步>，在跳转的页面选择“Web业务”，单击<下一步>，SSL客户端策略选择之前配置的sslvpnclient。配置所需的Web接入资源，配置结果如下图所示。

图-34 Web接入资源

# 单击<下一步>，不配置快捷方式，继续单击<下一步>，在跳转的页面单击<新建>按钮，配置资源组，参数配置如下图所示。

图-35 配置资源组

# 单击<确定>按钮，如下图所示。

图-36 资源组

# 单击<完成>按钮，完成配置。

# 在<使能>按钮的选择框上挑勾，使能配置的访问实例，如下图所示。

图-37 使能访问实例

10. 创建SSL VPN用户

# 选择“对象 > 用户 > 用户管理 > 本地用户”，进入用户界面，点击<新建>按钮，创建SSL VPN用户，参数配置如下图所示。

图-38 创建SSL VPN用户

# 为该用户授权SSL VPN策略组，参数配置如下图所示。

图-39 授权属性

# 单击<确定>按钮，完成配置。

Host的配置

1. 配置IP地址、网关，保证到SSL VPN网关、CA服务器的路由可达

2. 申请客户端证书

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-40 证书申请页面

# 单击<申请证书>按钮，跳转页面如下图所示。

图-41 证书申请页面

# 单击<高级证书申请>按钮，在跳转的页面选择<创建并向此CA提交一个申请>，申请客户端证

书，参数配置如下图所示。

图-42 申请客户端证书

# 其余选用默认配置，单击页面最下方的<提交>按钮，提交客户端证书申请。

# 待CA管理员同意颁发证书后，在浏览器栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-43 证书申请页面

# 单击<查看挂起的证书申请的状态>按钮，跳转页面如下图所示。

图-44 查看挂起的证书申请的状态

# 单击<客户端身份验证证书>，跳转页面如下图所示

图-45 安装客户端证书

# 单击<安装此证书>，如果之前没有安装CA证书，那么会出现如下图所示的页面（如果之前已安装过CA证书，则不会出现该提示）。

图-46 提示安装CA证书

# 单击<请安装该CA证书>，安装CA证书，CA证书安装成功后，再单击<安装此证书>，显示如下图所示的页面代表客户端证书安装成功。

图-47 证书安装成功

验证配置

# 在浏览器地址栏输入https://1.1.1.2，回车确认之后会弹出证书选择界面，如下图所示。

图-48 证书选择界面

# 选择证书，单击<确定>按钮，跳转到域列表选择页面，如下图所示。

图-49 域列表界面

# 单击 “domainweb”，跳转到SSL VPN登录界面，输入用户名密码（用户名user1，密码123456），如下图所示。

图-50 SSL VPN登录界面

# 单击<登录>按钮，成功登录后可看到如下图所示的资源列表。

图-51 Web接入资源列表

# 单击链接名为ServerA的链接，可以成功访问Web服务器ServerA对应的资源，如下图所示。

图-52 成功访问ServerA

# 单击链接名为ServerB的链接，可以成功访问Web服务器ServerB对应的资源，如下图所示。

图-53 成功访问ServerB

TCP接入方式配置举例（缺省证书）

组网需求

如图-54所示，SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用TCP接入方式可以安全地访问私有网络内的Telnet服务器Server。具体需求如下：

· SSL VPN网关设备对用户进行本地认证和本地授权。

· 为了增强安全性，服务器端证书不使用缺省证书，需向CA申请。

图-54 TCP接入方式配置组网图（缺省证书）

使用版本

本举例是在F1060的E9345版本上进行配置和验证的。

配置注意事项

· TCP接入方式不能开启验证客户端证书功能。

· 从Web界面启动TCP客户端应用程序需要事先在主机上安装Java运行环境。

· 主机通过TCP接入方式访问内网资源时，可能会修改主机上的Host文件，此时需要使用该主机的用户具有管理员权限。

配置步骤

Device的配置

1. 配置接口IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Untrust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：1.1.1.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/2右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Trust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：2.2.2.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置安全策略，过程略

3. 配置SSL VPN网关

# 选择“网络 > SSL VPN > 网关”，进入SSL VPN网关页面，单击<新建>按钮，创建SSL VPN网关，参数配置如下图所示。

图-55 配置SSL VPN网关

# 单击<确定>按钮，完成配置。

4. 配置SSL VPN访问实例

图-56 配置SSL VPN访问实例

# 单击<下一步>，不配置URI ACL，继续单击<下一步>，在跳转的页面选择“TCP业务”，单击<下一步>。在端口转发表项中单击<新建>，参数配置如下图所示。

图-57 新建端口转发表项

# 单击<确定>按钮，在端口转发列表单击<新建>按钮，引用端口转发表项，点击<确定>按钮，TCP接入资源如下图所示。

图-58 TCP接入资源

# 单击<下一步>，不配置快捷方式，继续单击<下一步>，在跳转的页面单击<新建>按钮，配置资源组，参数配置如下图所示。

图-59 配置资源组

# 单击<确定>按钮，资源组如下图所示。

图-60 资源组

# 单击<完成>按钮，完成配置。

# 在<使能>按钮的选择框上挑勾，使能配置的访问实例，如下图所示。

图-61 使能访问实例

5. 创建SSL VPN用户

# 选择“对象 > 用户 > 用户管理 > 本地用户”，进入用户界面，点击<新建>按钮，创建SSL VPN用户，参数配置如下图所示。

图-62 创建SSL VPN用户

# 为该用户授权SSL VPN策略组，参数配置如下图所示。

图-63 授权属性

# 单击<确定>按钮，完成配置。

Host的配置

# 配置IP地址、网关，保证到SSL VPN网关的路由可达。

验证配置

# 在浏览器地址栏输入https://1.1.1.2，回车确认之后跳转到域列表选择页面，如下图所示。

图-64 域列表界面

# 单击 “domaintcp”，跳转到SSL VPN登录界面，输入用户名密码（用户名user1，密码123456），如下图所示。

图-65 SSL VPN登录界面

# 单击<登录>按钮，成功登录后可看到如下图所示的资源列表。

图-66 Web接入资源列表

# 单击<启动>按钮，启动TCP客户端。

不能通过双击的方式打开对应的TCP应用程序。

# 在Host上执行telnet 127.0.0.23:2323，可以成功连接到Server。

TCP接入方式配置举例（非缺省证书）

组网需求

如图-69所示，SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用TCP接入方式可以安全地访问私有网络内的Telnet服务器Server。具体需求如下：

· SSL VPN网关设备对用户进行本地认证和本地授权。

· 为了增强安全性，服务器端证书不使用缺省证书，需向CA申请。

图-67 TCP接入方式配置组网图（非缺省证书）

使用版本

本举例是在F1060的E9345版本上进行配置和验证的。

配置注意事项

· TCP接入方式不能开启验证客户端证书功能。

· 从Web界面启动TCP客户端应用程序需要事先在主机上安装Java运行环境。

· 主机通过TCP接入方式访问内网资源时，可能会修改主机上的Host文件，此时需要使用该主机的用户具有管理员权限。

配置步骤

Device的配置

1. 配置接口IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Untrust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：1.1.1.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/2右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Trust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：2.2.2.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置安全策略，过程略

3. 申请服务器端证书

# 选择“对象 > PKI > 证书主题”，进入证书主题界面，单击<新建>按钮，参数配置如下图所示。

图-68 证书主题配置

# 单击<确定>按钮。

# 选择“对象 > PKI > 证书”，进入证书页面，单击<新建PKI域>按钮，参数配置如下图所示。

图-69 PKI域配置

# 单击<确定>按钮。

# 单击<提交申请>按钮，申请服务器端证书，参数配置如下图所示。

图-70 申请服务器端证书

# 单击<确定>按钮，页面会显示公钥，如下图所示。

图-71 公钥信息

# 将公钥信息复制，向CA申请服务器端证书（本例CA服务器为Windows Server 2008 R2）。单击<确定>按钮。

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-72 证书申请页面

# 单击<申请证书>按钮，跳转页面如下图所示。

图-73 证书申请页面

# 单击<高级证书申请>按钮，将复制的公钥信息粘贴至“Base-64编码的证书申请”输入框，

如下图所示。

图-74 证书申请页面

# 单击<提交>按钮，完成证书申请。

# 待CA管理员同意颁发证书后，在浏览器栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-75 证书申请页面

# 单击<查看挂起的证书申请的状态>按钮，跳转页面如下图所示。

图-76 查看挂起的证书申请的状态

# 单击<保存的证书申请>按钮，跳转页面如下图所示。

图-77 下载申请的证书

# 单击<下载证书>按钮，下载申请的服务器端证书，并保存好。

4. 下载CA证书

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-78 证书申请页面

# 单击<下载CA证书、证书链或CRL>按钮，跳转页面如下图所示。

图-79 下载CA证书

# 单击<下载CA证书>按钮，下载CA证书，并保存好。至此，证书申请工作已全部完成。

5. 导入证书

# 选择“对象 > PKI > 证书”，进入证书页面，单击<导入证书>按钮，选择之前保存好的CA证书，

配置如下图所示。

图-80 导入CA证书

# 单击<确定>按钮，完成CA证书的导入。

# 选择“对象 > PKI > 证书”，进入证书页面，单击<导入证书>按钮，选择之前保存好的服务器端证书，配置如下图所示。

图-81 导入本地证书

# 单击<确定>按钮，完成本地证书的导入。

6. 配置SSL的服务器端策略

# 选择“对象 > SSL > 服务器端策略”，进入SSL服务器端策略页面，单击<新建>按钮，创建客户端策略，参数配置如下图所示。

图-82 配置服务器端策略

# 单击<确定>按钮，完成配置。

7. 配置SSL VPN网关

# 选择“网络 > SSL VPN > 网关”，进入SSL VPN网关页面，单击<新建>按钮，创建SSL VPN网关，参数配置如下图所示。

图-83 配置SSL VPN网关

# 单击<确定>按钮，完成配置。

8. 配置SSL VPN访问实例

图-84 配置SSL VPN访问实例

图-85 新建端口转发表项

# 单击<确定>，在端口转发列表单击<新建>，引用端口转发表项，单击<确定>，TCP接入资源如下图所示。

图-86 TCP接入资源

# 单击<下一步>，不配置快捷方式，继续单击<下一步>，在跳转的页面单击<新建>按钮，配置资源组，参数配置如下图所示。

图-87 配置资源组

# 单击<确定>按钮，资源组如下图所示。

图-88 资源组

# 单击<完成>按钮，完成配置。

# 在<使能>按钮的选择框上挑勾，使能配置的访问实例，如下图所示。

图-89 使能访问实例

9. 创建SSL VPN用户

# 选择“对象 > 用户 > 用户管理 > 本地用户”，进入用户界面，点击<新建>按钮，创建SSL VPN用户，参数配置如下图所示。

图-90 创建SSL VPN用户

# 为该用户授权SSL VPN策略组，参数配置如下图所示。

图-91 授权属性

# 单击<确定>按钮，完成配置。

Host的配置

# 配置IP地址、网关，保证到SSL VPN网关的路由可达。

验证配置

# 在浏览器地址栏输入https://1.1.1.2，回车确认之后跳转到域列表选择页面，如下图所示。

图-92 域列表界面

# 单击 “domaintcp”，跳转到SSL VPN登录界面，输入用户名密码（用户名user1，密码123456），如下图所示。

图-93 SSL VPN登录界面

# 单击<登录>按钮，成功登录后可看到如下图所示的资源列表。

图-94 Web接入资源列表

# 单击<启动>按钮，启动TCP客户端。

不能通过双击的方式打开对应的TCP应用程序。

# 在Host上执行telnet 127.0.0.23:2323，可以成功连接到Server。

IP接入方式配置举例（本地认证+缺省证书）

组网需求

如图-99所示，SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用IP接入方式能够安全地访问私有网络内的Server。具体需求如下：

SSL VPN网关设备通过对用户进行本地认证和授权。

图-95 IP接入方式配置组网图（本地认证）

使用版本

本举例是在F1060的E9345版本上进行配置和验证的。

配置注意事项

· 为客户端地址池配置的网段需要满足以下要求：

○ 不能和客户端物理网卡的IP地址在同一个网段。

○ 不能包含SSL VPN网关所在设备的接口地址，否则会导致地址冲突。

○ 不能和欲访问的内网地址在同一个网段。

· SSL VPN AC接口需要加入安全域，且保证该接口所在安全域与到达内部服务器所在接口的安全域域间流量互通。

配置步骤

Device的配置

1. 配置接口IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Untrust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：1.1.1.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/2右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Trust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：2.2.2.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/3右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Trust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：3.3.3.1/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置安全策略，过程略

3. 配置SSL VPN网关

# 选择“网络 > SSL VPN > 网关”，进入SSL VPN网关页面，单击<新建>按钮，创建SSL VPN网关，参数配置如下图所示。

图-96 配置SSL VPN网关

# 单击<确定>按钮，完成配置。

4. 创建SSL VPN AC接口

# 选择“网络 > SSL VPN > IP接入接口”，进入SSL VPN接入接口页面。单击<新建>按钮，创建SSL VPN接入接口，接口编号输入1，单击<确定>，然后继续配置接口参数，如下图所示。

图-97 创建IP接入接口（1）

图-98 创建IP接入接口（2）

# 单击<确定>按钮。

5. 创建SSL VPN客户端地址池

# 选择“网络 > SSL VPN > 客户端地址池”，进入SSL VPN客户端地址池页面。单击<新建>按钮，创建SSL VPN客户端地址池，参数配置如下图所示。

图-99 创建客户端地址池

# 单击<确定>按钮。

6. 配置SSL VPN访问实例

图-100 新建访问实例

# 单击<下一步>，不配置URI ACL，继续单击<下一步>，在跳转的页面选择“IP业务”，单击<下一步>。配置IP业务，参数配置如下图所示。

图-101 配置IP业务（1）

图-102 配置IP业务（2）

# 单击<下一步>，不配置快捷方式，继续单击<下一步>，在跳转的页面单击<新建>按钮，配置资源组，参数配置如下图所示（本例的IPv4 ACL 3999规则为允许通过所有流量）。

图-103 配置资源组

# 单击<确定>按钮，资源组如下图所示。

图-104 资源组

# 单击<完成>按钮，完成配置。

# 在<使能>按钮的选择框上挑勾，使能配置的访问实例，如下图所示。

图-105 使能访问实例

7. 创建SSL VPN用户

# 选择“对象 > 用户 > 用户管理 > 本地用户”，进入用户界面，点击<新建>按钮，创建SSL VPN用户，参数配置如下图所示。

图-106 创建SSL VPN用户

# 为该用户授权SSL VPN策略组，参数配置如下图所示。

图-107 授权属性

# 单击<确定>按钮，完成配置。

Host的配置

# 配置IP地址、网关，保证到SSL VPN网关的路由可达。

验证配置

# 在浏览器地址栏输入https://1.1.1.2，回车确认之后跳转到域列表选择页面，如下图所示。

图-108 域列表界面

# 单击“domainip”，跳转到SSL VPN登录界面，输入用户名密码（用户名user1，密码123456），如下图所示。

图-109 SSL VPN登录界面

# 单击<登录>按钮，可以成功登录。

# 单击<启动>按钮，启动IP客户端，系统会自动下载iNode客户端（如果Host之前没有安装过iNode客户端），下载完成后会自动启动iNode客户端，并登录SSL VPN网关，成功登录后如下图所示。

图-110 iNode客户端

IP接入方式配置举例（RADIUS认证）

组网需求

如图-116所示，SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用IP接入方式能够安全地访问私有网络内的Server。具体需求如下：

· SSL VPN网关设备通过RADIUS Server对用户进行远程认证和授权。

· 为了增强安全性，需要验证客户端证书。

· 为了增强安全性，服务器端证书不使用缺省证书，需向CA申请。

图-111 IP接入方式配置组网图（LDAP认证）

使用版本

本举例是在F1060的E9345版本上进行配置和验证的。

配置注意事项

· 为客户端地址池配置的网段需要满足以下要求：

○ 不能和客户端物理网卡的IP地址在同一个网段。

○ 不能包含SSL VPN网关所在设备的接口地址，否则会导致地址冲突。

○ 不能和欲访问的内网地址在同一个网段。

· SSL VPN AC接口需要加入安全域，且保证该接口所在安全域与到达内部服务器所在接口的安全域域间流量互通。

配置步骤

Device的配置

1. 配置接口IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Untrust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：1.1.1.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/2右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Trust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：2.2.2.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/3右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Trust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：3.3.3.1/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置安全策略，过程略

3. 申请服务器端证书

# 选择“对象 > PKI > 证书主题”，进入证书主题界面，单击<新建>按钮，参数配置如下图所示。

图-112 证书主题配置

# 单击<确定>按钮。

# 选择“对象 > PKI > 证书”，进入证书页面，单击<新建PKI域>按钮，参数配置如下图所示。

图-113 PKI域配置

# 单击<确定>按钮。

# 单击<提交申请>按钮，申请服务器端证书，参数配置如下图所示。

图-114 申请服务器端证书

# 单击<确定>按钮，页面会显示公钥，如下图所示。

图-115 公钥信息

# 将公钥信息复制，向CA申请服务器端证书（本例CA服务器为Windows Server 2008 R2）。单击<确定>按钮。

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-116 证书申请页面

# 单击<申请证书>按钮，跳转页面如下图所示。

图-117 证书申请页面

# 单击<高级证书申请>按钮，将复制的公钥信息粘贴至“Base-64编码的证书申请”输入框，

如下图所示。

图-118 证书申请页面

# 单击<提交>按钮，完成证书申请。

# 待CA管理员同意颁发证书后，在浏览器栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-119 证书申请页面

# 单击<查看挂起的证书申请的状态>按钮，跳转页面如下图所示。

图-120 查看挂起的证书申请的状态

# 单击<保存的证书申请>按钮，跳转页面如下图所示。

图-121 下载申请的证书

# 单击<下载证书>按钮，下载申请的服务器端证书，并保存好。

4. 下载CA证书

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-122 证书申请页面

# 单击<下载CA证书、证书链或CRL>按钮，跳转页面如下图所示。

图-123 下载CA证书

# 单击<下载CA证书>按钮，下载CA证书，并保存好。至此，证书申请工作已全部完成。

5. 导入证书

# 选择“对象 > PKI > 证书”，进入证书页面，单击<导入证书>按钮，选择之前保存好的CA证书，

配置如下图所示。

图-124 导入CA证书

# 单击<确定>按钮，完成CA证书的导入。

# 选择“对象 > PKI > 证书”，进入证书页面，单击<导入证书>按钮，选择之前保存好的服务器端证书，配置如下图所示。

图-125 导入本地证书

# 单击<确定>按钮，完成本地证书的导入。

6. 配置SSL的服务器端策略

# 选择“对象 > SSL > 服务器端策略”，进入SSL服务器端策略页面，单击<新建>按钮，创建客户端策略，参数配置如下图所示。

图-126 配置服务器端策略

# 单击<确定>按钮，完成配置。

7. 配置SSL的客户端策略

# 选择“对象 > SSL > 客户端策略”，进入SSL客户端策略页面，单击<新建>按钮，创建客户端策略，参数配置如下图所示。

图-127 配置客户端策略

# 单击<确定>按钮，完成配置。

8. 配置RADIUS方案

# 选择“对象 > 用户 > 认证管理 > RADIUS”，进入RADIUS页面，点击<新建>按钮，认证服务器参数配置如下图所示（认证密钥为123456）：

图-128 RADIUS配置

# 高级设置参数配置如下图所示，未显示部分请采用默认配置。

图-129 RADIUS高级配置

# 单击<确定>按钮，完成配置。

9. 配置ISP域

# 通过命令行创建ISP域sslvpn，并指定SSL VPN用户使用的认证、授权方法为RADIUS方案radius、不进行计费。

<Device> system-view

[Device] domain sslvpn

[Device -isp-sslvpn] authentication sslvpn radius-scheme radius

[Device -isp-sslvpn] authorization sslvpn radius-scheme radius

[Device -isp-sslvpn] accounting sslvpn none

[Device -isp-sslvpn] quit

10. 配置用户组

# 选择“对象 > 用户> 用户管理 > 本地用户 > 用户组”，进入用户组页面，点击<新建>按钮，参数配置如下图所示。

图-130 配置用户组

# 单击<确定>按钮，完成配置。

11. 配置SSL VPN网关

# 选择“网络 > SSL VPN > 网关”，进入SSL VPN网关页面，单击<新建>按钮，创建SSL VPN网关，参数配置如下图所示。

图-131 配置SSL VPN网关

# 单击<确定>按钮，完成配置。

12. 创建SSL VPN AC接口

图-132 创建IP接入接口（1）

图-133 创建IP接入接口（2）

# 单击<确定>按钮。

13. 创建SSL VPN客户端地址池

# 选择“网络 > SSL VPN > 客户端地址池”，进入SSL VPN客户端地址池页面。单击<新建>按钮，创建SSL VPN客户端地址池，参数配置如下图所示。

图-134 创建客户端地址池

# 单击<确定>按钮。

14. 配置SSL VPN访问实例

图-135 新建访问实例

# 单击<下一步>，不配置URI ACL，继续单击<下一步>，在跳转的页面选择“IP业务”，单击<下一步>。配置IP业务，参数配置如下图所示。

图-136 配置IP业务（1）

图-137 配置IP业务（2）

图-138 配置资源组

# 单击<确定>按钮，资源组如下图所示。

图-139 资源组

# 单击<完成>按钮，完成配置。

# 在<使能>按钮的选择框上挑勾，使能配置的访问实例，如下图所示。

图-140 使能访问实例

RADIUS Server的配置

本例使用的iMC版本号为iMC PLAT 7.3（E0504）。

1. 配置接入策略

# 登录iMC，选择“用户 > 接入策略管理 > 接入策略管理”，进入接入策略管理页面，单击<增加>按钮，新建策略，参数配置如下图所示。

图-141 新建接入策略

# 单击<确定>按钮。

# 选择“用户 > 接入策略管理 > 接入服务管理”，进入接入服务管理页面，单击<增加>按钮，新建接入服务，参数配置如下图所示。

图-142 新建接入服务

# 单击<确定>按钮。

# 选择“用户 > 接入策略管理 > 接入设备管理 > 接入设备配置”，进入接入设备配置页面，单击<增加>按钮，新建接入设备配置，参数配置如下图所示（共享密钥为123456）。

图-143 配置接入设备

# 单击<确定>按钮。

2. 配置用户

# 选择“用户 > 增加用户”，进入增加用户配置页面，参数配置如下图所示。

图-144 增加用户

# 单击<确定>按钮。

# 选择“用户 > 接入用户管理 > 接入用户”，进入接入用户页面，单击<增加>按钮，新建策略，参数配置如下图所示。

图-145 配置接入用户

# 单击<确定>按钮。

Host配置

1. 配置IP地址、网关，保证到SSL VPN网关、CA服务器的路由可达。

2. 申请客户端证书

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-146 证书申请页面

# 单击<申请证书>按钮，跳转页面如下图所示。

图-147 证书申请页面

# 单击<高级证书申请>按钮，在跳转的页面选择<创建并向此CA提交一个申请>，申请客户端证

书，参数配置如下图所示。

图-148 申请客户端证书

# 其余选用默认配置，单击页面最下方的<提交>按钮，提交客户端证书申请。

# 待CA管理员同意颁发证书后，在浏览器栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-149 证书申请页面

# 单击<查看挂起的证书申请的状态>按钮，跳转页面如下图所示。

图-150 查看挂起的证书申请的状态

# 单击<客户端身份验证证书>，跳转页面如下图所示

图-151 安装客户端证书

# 单击<安装此证书>，如果之前没有安装CA证书，那么会出现如下图所示的页面（如果之前已安装过CA证书，则不会出现该提示）。

图-152 提示安装CA证书

# 单击<请安装该CA证书>，安装CA证书，CA证书安装成功后，再单击<安装此证书>，显示如下图所示的页面代表客户端证书安装成功。

图-153 证书安装成功

验证配置

# 在浏览器地址栏输入https://1.1.1.2，回车确认之后会弹出证书选择界面，如下图所示。

图-154 证书选择界面

# 选择证书，单击<确定>按钮，跳转到域列表选择页面，如下图所示。

域列表界面

# 单击“domainip”，跳转到SSL VPN登录界面，输入用户名密码（用户名user1，密码123456），如下图所示。

图-155 SSL VPN登录界面

# 单击<登录>按钮，可以成功登录。

图-156 iNode客户端

IP接入方式配置举例（LDAP认证）

组网需求

如图-163所示，SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用IP接入方式能够安全地访问私有网络内的Server。具体需求如下：

· SSL VPN网关设备通过LDAP Server对用户进行远程认证和授权。

· 为了增强安全性，需要验证客户端证书。

· 为了增强安全性，服务器端证书不使用缺省证书，需向CA申请。

图-157 配置IP接入方式组网图（LDAP认证）

使用版本

本举例是在F1060的E9345版本上进行配置和验证的。

配置注意事项

· 为客户端地址池配置的网段需要满足以下要求：

○ 不能和客户端物理网卡的IP地址在同一个网段。

○ 不能包含SSL VPN网关所在设备的接口地址，否则会导致地址冲突。

○ 不能和欲访问的内网地址在同一个网段。

· SSL VPN AC接口需要加入安全域，且保证该接口所在安全域与到达内部服务器所在接口的安全域域间流量互通。

配置步骤

Device的配置

1. 配置接口IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Untrust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：1.1.1.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/2右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Trust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：2.2.2.2/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/3右侧的<编辑>按钮，参数配置如下：

· 选择“基本配置”页签，添加到安全域：Trust

· 选择“IPV4地址”页签，配置IP地址/掩码长度：3.3.3.1/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置安全策略，过程略

3. 申请服务器端证书

# 选择“对象 > PKI > 证书主题”，进入证书主题界面，单击<新建>按钮，参数配置如下图所示。

图-158 证书主题配置

# 单击<确定>按钮。

# 选择“对象 > PKI > 证书”，进入证书页面，单击<新建PKI域>按钮，参数配置如下图所示。

图-159 PKI域配置

# 单击<确定>按钮。

# 单击<提交申请>按钮，申请服务器端证书，参数配置如下图所示。

图-160 申请服务器端证书

# 单击<确定>按钮，页面会显示公钥，如下图所示。

图-161 公钥信息

# 将公钥信息复制，向CA申请服务器端证书（本例CA服务器为Windows Server 2008 R2）。单击<确定>按钮。

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-162 证书申请页面

# 单击<申请证书>按钮，跳转页面如下图所示。

图-163 证书申请页面

# 单击<高级证书申请>按钮，将复制的公钥信息粘贴至“Base-64编码的证书申请”输入框，

如下图所示。

图-164 证书申请页面

# 单击<提交>按钮，完成证书申请。

# 待CA管理员同意颁发证书后，在浏览器栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-165 证书申请页面

# 单击<查看挂起的证书申请的状态>按钮，跳转页面如下图所示。

图-166 查看挂起的证书申请的状态

# 单击<保存的证书申请>按钮，跳转页面如下图所示。

图-167 下载申请的证书

# 单击<下载证书>按钮，下载申请的服务器端证书，并保存好。

4. 下载CA证书

# 在浏览器地址栏输入http://192.168.100.247/certsrv，进入证书申请页面，如下图所示。

图-168 证书申请页面

# 单击<下载CA证书、证书链或CRL>按钮，跳转页面如下图所示。

图-169 下载CA证书

# 单击<下载CA证书>按钮，下载CA证书，并保存好。至此，证书申请工作已全部完成。

5. 导入证书

# 选择“对象 > PKI > 证书”，进入证书页面，单击<导入证书>按钮，选择之前保存好的CA证书，

配置如下图所示。

图-170 导入CA证书

# 单击<确定>按钮，完成CA证书的导入。

# 选择“对象 > PKI > 证书”，进入证书页面，单击<导入证书>按钮，选择之前保存好的服务器端证书，配置如下图所示。

图-171 导入本地证书

# 单击<确定>按钮，完成本地证书的导入。

6. 配置SSL的服务器端策略

# 选择“对象 > SSL > 服务器端策略”，进入SSL服务器端策略页面，单击<新建>按钮，创建客户端策略，参数配置如下图所示。

图-172 配置服务器端策略

# 单击<确定>按钮，完成配置。

7. 配置SSL的客户端策略

# 选择“对象 > SSL > 客户端策略”，进入SSL客户端策略页面，单击<新建>按钮，创建客户端策略，参数配置如下图所示。

图-173 配置客户端策略

# 单击<确定>按钮，完成配置。

8. 配置LDAP服务器、LDAP方案、LDAP属性映射表和ISP域

# 配置LDAP服务器ldap1。

<Device> system-view

[Device] ldap server ldap1

[Device-ldap-server-ldap1] login-dn cn=administrator,cn=users,dc=ldap,dc=com

[Device-ldap-server-ldap1] search-base-dn ou=sslvpn_usergroup,dc=ldap,dc=com

[Device-ldap-server-ldap1] ip 3.3.3.3

[Device-ldap-server-ldap1] login-password simple 123456

[Device-ldap-server-ldap1] quit

# 配置LDAP属性映射表test。

[Device] ldap attribute-map test

[Device-ldap-attr-map-test] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group

[Device-ldap-attr-map-test] quit

# 配置LDAP方案shm1。

[Device] ldap scheme shm1

[Device-ldap-shm1] authentication-server ldap1

[Device-ldap-shm1] authorization-server ldap1

[Device-ldap-shm1] attribute-map test

[Device-ldap-shm1] quit

# 配置ISP域sslvpn。

[Device] domain sslvpn

[Device-isp-sslvpn] state active

[Device-isp-sslvpn] authentication sslvpn ldap-scheme shm1

[Device-isp-sslvpn] authorization sslvpn ldap-scheme shm1

[Device-isp-sslvpn] accounting sslvpn none

[Device-isp-sslvpn] quit

9. 配置用户组

# 选择“对象 > 用户> 用户管理 > 本地用户 > 用户组”，进入用户组页面，参数配置如下图所示。

图-174 配置用户组

# 单击<确定>按钮，完成配置。

10. 配置SSL VPN网关

# 选择“网络 > SSL VPN > 网关”，进入SSL VPN网关页面，单击<新建>按钮，创建SSL VPN网关，参数配置如下图所示。

图-175 配置SSL VPN网关

# 单击<确定>按钮，完成配置。

11. 创建SSL VPN AC接口

图-176 创建IP接入接口（1）

图-177 创建IP接入接口（2）

# 单击<确定>按钮。

12. 创建SSL VPN客户端地址池

# 选择“网络 > SSL VPN > 客户端地址池”，进入SSL VPN客户端地址池页面。单击<新建>按钮，创建SSL VPN客户端地址池，参数配置如下图所示。

图-178 创建客户端地址池

# 单击<确定>按钮。

13. 配置SSL VPN访问实例

图-179 新建访问实例

# 单击<下一步>，不配置URI ACL，继续单击<下一步>，在跳转的页面选择“IP业务”，单击<下一步>。配置IP业务，参数配置如下图所示。

图-180 配置IP业务（1）

图-181 配置IP业务（2）

图-182 配置资源组

# 单击<确定>按钮，资源组如下图所示。

图-183 资源组

# 单击<完成>按钮，完成配置。

# 在<使能>按钮的选择框上挑勾，使能配置的访问实例，如下图所示。

图-184 使能访问实例

LDAP Server的配置

本例使用的Windows Server 2008 R2作为LDAP Server。

1. 创建用户组

在LDAP服务器上，选择[开始/管理工具]中的[Active Directory用户和计算机]，打开Active Directory用户管理界面，在Active Directory用户管理界面的左侧导航树中，单击“ldap.com”，右键单击“Users”，新建组“sslvpn_usergroup”，如下图所示。

图-185 创建用户组

# 单击<确定>按钮，完成配置。

2. 创建用户

在LDAP服务器上，选择[开始/管理工具]中的[Active Directory用户和计算机]，打开Active Directory用户管理界面，在Active Directory用户管理界面的左侧导航树中，右键单击“ldap.com”，新建组织单位“sslvpn_usergroup”，如下图所示。

图-186 新建组织单位