- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
42-SSL VPN典型配置举例
本章节下载 (803.71 KB)
目 录
许多大中型企业在全国各地都建有分支机构或者办事处,一般在企业总部会部署如OA系统、ERP系统等应用软件,将企业分布在各地的分支机构和办事处与企业总部互联,达到安全地共享数据和软件资源的目的,我们使用SSLVPN功能提供远程安全接入,解决其所面临的远程接入、传输保密、用户认证、网络安全防护、访问控制等问题。
SSL VPN目前支持账号密码登录,支持多因子认证方式,即证书认证。使用场景如下:
· 多因子认证,可以提升安全级别。
· 心跳重连的场景主要是客户对网络有效性要求比较高的时候,需要配置短时间未收到心跳就重连。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解SSL VPN特性。
· 第三方用户必须同步到本地,不支持第三方非同步用户登录。
· 不支持苹果mac和ios系统。
如图1所示,使用设备的ge0和ge1接口以路由方式部署在网络中。用户希望设备提供SSL VPN服务,以供互联网用户通过SSL VPN访问内网的Web和FTP服务器。
图1 SSL VPN功能配置组网图
(1) 按照组网图组网。
(2) 配置接口。
(3) 配置静态路由。
(4) 配置用户。
(5) 配置SSL VPN全局配置。
(6) 配置SSL VPN资源。
(7) 配置SSL VPN策略
本举例是在E6501版本上进行配置和验证的。
如图2所示,进入“网络配置>接口配置>物理接口”页面,点击“编辑”按钮为ge0接口配置ip地址,并点击<提交>。
如图3所示,进入“网络配置>路由管理>静态路由”页面,点击<新建>按钮,配置一条静态路由:目的网段为服务器的网段:172.16.1.1/24,下一跳为ge1对端互联接口地址。
如图4示,进入“用户管理> 用户组织结构>用户”页面,点击<新建>按钮,新建用户“sslvpntest”,并点击<提交>。
图4 配置用户
如图5示,进入“网络配置>VPN>SSL VPN>全局配置”页面,进行SSL VPN全局配置,并点击<提交>。
如图6和图7示,进入“网络配置>VPN>SSL VPN>资源”页面,点击“新建”按钮,进行SSL VPN的web和ftp资源配置,并点击<提交>。
图6 配置HTTP资源
图7 配置ftp资源
如图8所示,进入“网络配置>VPN>SSL VPN>策略”页面,点击<新建>按钮,进行sslvpn的策略配置,并点击<提交>。
如果选择为SSL VPN分配静态IP,如图9所示,进入“网络管理>VPN>SSL VPN>全局配置”页面,点击<全局配置>按钮,取消勾选<登录设定>中“允许多处登录”。
图9 用户IP绑定全局设置图
如图10所示,进入“网络管理>VPN>SSL VPN>全局配置>IP用户绑定”页面,点击<新建>按钮,勾选<启用>,选择绑定用户,输入SSL VPN分配地址池中的IP地址,设置完毕后,客户端登录SSL VPN后,分配IP地址为绑定地址。
图10 IP用户绑定图
(1) 查看SSL VPN在线用户
如图11所示,SSL VPN连接成功后,进入“数据中心>系统监控>SSL VPN在线用户”页面,查看在线用户。
图11 SSL VPN在线用户
(2) 查看客户端路由表
如图12所示,SSL VPN连接成功后,查看客户端的路由表,下发了两条路由。
(3) 访问SSL VPN资源
SSL VPN连接成功后,访问内网的FTP和HTTP资源,能够访问成功,如图13和图14所示。
组网图如图1所示,外网PC当需要访问内网资源时,可以向设备发起SSL VPN拨号,拨号成功后,外网设备就可以访问内网资源,比如:访问内网主机。
(1) 按照组网图组网。
(2) 配置接口、路由及用户。
(3) 生成CA证书。
(4) 导入证书。
(5) 配置SSL VPN全局配置,引用证书。
(6) 配置SSL VPN资源及策略。
(7) 客户端导入配置。
本举例是在E6501版本上进行配置和验证的。
(1) 在“策略配置>对象管理>CA服务器>根CA配置管理”中点击“生成CA根证书”,输入证书名称、有效期和密码,密钥大小选择1024,点击提交。
图15 生成CA证书
(2) 点击“导出CA根证书”,将证书导出到本地,导出时选择“CER格式”,导出证书文件,并保存在本地。
图16 导出证书
(3) 在“策略配置>对象管理>CA服务器>用户证书管理”中点击“生成证书请求”,输入证书名称,密钥大小选择1024,点击提交。
图17 生成用户证书
(4) 点击签发设置有效期和密码。
图18 签发证书
(5) 签发完成后点击复制,复制后的证书在“策略配置>对象管理>本地证书>证书>本地证书”中可以查看。
图19 复制用户证书
图20 查看复制后的证书
(1) 在“策略配置>对象管理>本地证书>证书>CA”中导入步骤2(生成CA证书)中生成的CA证书。在CA中可以导入CA根证书。
图21 导入CA证书
在“网络配置>VPN>SSL VPN>全局配置”中配置引用证书功能选项。在使用第三方CA证书时,只支持.pem格式的CA证书。
图22 配置SSL VPN引用证书
需要勾选“证书登录”,不勾选仅使用用户名密码验证,勾选则使用用户名密码+证书登录。
修改该配置后,所有客户端需要重新导入配置文件,可以在门户页面下载配置文件。请参考 客户端导入配置。
设备端配置好证书登录之后,门户页面中配置文件会自动更新,下载该配置文件,将配置文件在SSL VPN客户端中导入即可。
(1) 在“网络配置>VPN>SSL VPN>资源>门户页面”中填写标题,点击提交,开启门户页面。
图23 配置门户页面
(2) 下载配置文件,浏览器中输入:https://设备IP/sslvpn/portal.html,如下图,点击下载配置文件,将配置文件下载到本地。
图24 下载配置文件
(3) 右键点击客户端图标,选择“导入配置文件”,选择下载好的配置文件,点击打开,提示导入成功,即完成配置文件的导入。
图25 导入配置文件
图26 配置文件导入成功
(4) 右键点击客户端图标,选择导入的配置文件名,点击连接,然后使用管理员提供的用户名和密码登录即可。
图27 连接SSL VPN
图28 输入用户名、密码登录
进入“网络配置>VPN>SSL VPN>全局配置”,配置心跳报文发送间隔,并对重连进行自定义配置,如下图所示。
图29 配置心跳重连间隔
SSL VPN 证书登录使用用户名密码+证书登录,用户拨号成功后,用户会在SSL VPN在线用户中显示。
图30 查看SSL VPN在线用户
如果配置了心跳报文间隔,每隔一定的间隔时间,客户端和设备之间发送心跳报文,如果未收到心跳报文的次数超过设置的未反馈次数后,客户端将重连。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
