42-SSL VPN典型配置举例
本章节下载 (997.45 KB)
目 录
许多大中型企业在全国各地都建有分支机构或者办事处,一般在企业总部会部署如OA系统、ERP系统等应用软件,将企业分布在各地的分支机构和办事处与企业总部互联,达到安全地共享数据和软件资源的目的,我们使用SSLVPN功能提供远程安全接入,解决其所面临的远程接入、传输保密、用户认证、网络安全防护、访问控制等问题。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解SSL VPN特性。
· 第三方用户必须同步到本地,不支持第三方非同步用户登录。
· SSL VPN功能支持Windows7和Windows10操作系统,以及Android6.0以上的移动端,暂不支持苹果iOS、Mac OS系统和Linux操作系统。
· SSL VPN默认支持接入用户数为10个,不支持数量扩充。
如图4-1所示,使用设备的ge0和ge1接口以路由方式部署在网络中。用户希望设备提供SSL VPN服务,以供互联网用户通过SSL VPN访问内网的Web和FTP服务器。
图4-1 SSL VPN功能配置组网图
(1) 按照组网图组网。
(2) 配置接口。
(3) 配置静态路由。
(4) 配置用户。
(5) 配置SSL VPN全局配置。
(6) 配置SSL VPN资源。
(7) 配置SSL VPN策略
本举例是在R6612版本上进行配置和验证的。
如图4-2所示,进入“网络配置>接口配置>物理接口”页面,点击“编辑”按钮为ge0接口配置ip地址,并点击<提交>。
如图4-3所示,进入“网络配置>路由管理>静态路由”页面,点击<新建>按钮,配置一条静态路由:目的网段为服务器的网段:172.16.1.1/24,下一跳为ge1对端互联接口地址。
如图4-44所示,进入“用户管理> 用户组织结构>用户”页面,点击<新建>按钮,新建用户“sslvpntest”,并点击<提交>。
图4-4 配置用户
如图4-55所示,进入“网络配置>VPN>SSL VPN>全局配置”页面,进行SSL VPN全局配置,并点击<提交>。
如图4-66和图4-77所示,进入“网络配置>VPN>SSL VPN>资源”页面,点击“新建”按钮,进行SSL VPN的web和ftp资源配置,并点击<提交>。
图4-6 配置HTTP资源
如图4-88所示,进入“网络配置>VPN>SSL VPN>策略”页面,点击<新建>按钮,进行sslvpn的策略配置,并点击<提交>。
如果选择为SSL VPN分配静态IP,如图4-9所示,进入“网络管理>VPN>SSL VPN>全局配置”页面,点击<全局配置>按钮,取消勾选<登录设定>中“允许多处登录”。
图4-9 用户IP绑定全局设置图
如图4-10所示,进入“网络管理>VPN>SSL VPN>IP用户绑定”页面,点击<新建>按钮,勾选<启用>,选择绑定用户,输入SSL VPN分配地址池中的IP地址,设置完毕后,客户端登录SSL VPN后,分配IP地址为绑定地址。
图4-10 IP用户绑定图
(1) 查看SSL VPN在线用户
如图4-1111所示,SSL VPN连接成功后,进入“数据中心>系统监控>SSL VPN在线用户”页面,查看在线用户。
图4-11 SSL VPN在线用户
(2) 查看客户端路由表
如图4-122所示,SSL VPN连接成功后,查看客户端的路由表,下发了两条路由。
(3) 访问SSL VPN资源
SSL VPN连接成功后,访问内网的FTP和HTTP资源,能够访问成功,如图4-133和图4-144所示。
SSL VPN客户端需使用与设备版本配套的客户端软件,客户端软件随版本一起发布,您可以登录www.h3c.com官网,在版本下载处下载安装使用。
SSL VPN客户端软件支持win7和win10操作系统,以及Android6.0以上系统,以下分别介绍Windows系统和Android系统的客户端安装及配置方法。
(1) 下载Windows系统的SSL VPN客户端软件并解压缩,点击运行安装程序,如下图所示。
图5-1 客户端
(2) 弹出安装向导页面,点击“Next”进入下一步。
图5-2 开始安装
(3) 选择默认安装组件,点击“Next”进入下一步。
图5-3 选择默认安装组件
(4) 选择安装位置,点击“Install”开始安装。
图5-4 选择安装位置
(5) 弹出安全提示页面,点击“安装”。
图5-5 安装
(6) 点击“Finish”完成安装。
图5-6 完成
(1) 运行SSL VPN客户端程序,进入添加配置文件界面,如下图所示。
表5-1 配置文件页面
表5-2 配置文件界面详细描述
标题项 |
说明 |
文件名 |
添加配置文件名称,任意 |
地址 |
SSL VPN设备IP |
端口 |
SSL VPN端口 |
(2) 添加完配置文件后,选择任务栏中的图标点击右键,进行客户端连接,如下图所示。
表5-3 右键列表
表5-4 客户端设置界面详细描述
标题项 |
说明 |
连接 |
进行SSL VPN连接 |
断线 |
SSL VPN连接成功后断开 |
重新连接 |
SSL VPN连接成功后重连 |
修改密码 |
SSL VPN连接成功后修改登录密码 |
显示状态 |
SSLPVN连接成功后点击显示状态,弹出状态框 |
显示记录 |
点击显示记录,弹出SSL VPN连接的LOG记录 |
编辑配置文件 |
进行配置文件的修改 |
清除保存的密码 |
清除保存的SSL VPN用户密码 |
导入配置文件 |
进行配置文件的导入 |
新增配置文件 |
新建配置文件 |
选项 |
进行客户端的设置,包括:语言设置、开启是否自动启动、代理设置、配置文件以及log日志的目录、客户端版本信息 |
退出 |
关闭客户端 |
(3) 点击<连接>按钮,进行SSL VPN连接。弹出认证界面,如下图所示。
表5-5 认证界面
表5-6 认证界面详细描述
标题项 |
说明 |
用户名 |
SSL VPN登录用户名 |
密码 |
SSL VPN登录密码 |
保存密码 |
是否保存密码 |
(4) 输入正确的用户名密码后,SSL VPN连接成功。SSL VPN连接状态如表5-7所示,连接日志如表5-8所示。
(1) 将Android系统的SSL VPN客户端软件发送到手机上,点击运行安装程序。
图5-7 安装客户端
(2) 选择“继续安装”。
图5-8 继续安装
(3) 安装成功。
图5-9 安装成功
图5-10 配置客户端
(2) 点击添加图标,添加新的VPN配置,输入配件文件的名字。
图5-11 输入配件文件的名字
(3) 命名完成之后,点击编辑。
图5-12 编辑
(4) 编辑基础配置,输入用户名和密码。
图5-13 输入用户名和密码
表5-9 基础配置界面详细描述
标题项 |
说明 |
用户名 |
SSL VPN登录用户名 |
密码 |
SSL VPN登录密码 |
认证失败行为 |
断开是否保存密码 |
(5) 编辑服务器列表,输入服务器地址和服务器端口:
图5-14 输入服务器地址和服务器端口
表5-10 服务器列表界面详细描述
标题项 |
说明 |
服务器地址 |
SSL VPN设备IP |
服务器端口 |
SSL VPN端口 |
(6) 编辑允许的应用程序,默认为“VPN用于所有的应用程序,但排除选定”。
图5-15 编辑允许的应用程序
(7) 编辑完返回上级目录,点击配置文件名称“test-sslvpn”进行连接,连接成功日志如下。
图5-16 连接成功的日志
(8) 连接成功的状态,如下图所示。
图5-17 连接成功的状态
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!