H3C SecPath ACG1000系列应用控制网关典型配置(R6616)-6W101

34-SSL VPN典型配置

1 简介

许多大中型企业在全国各地都建有分支机构或者办事处，一般在企业总部会部署如OA系统、ERP系统等应用软件，将企业分布在各地的分支机构和办事处与企业总部互联，达到安全地共享数据和软件资源的目的，我们使用SSLVPN功能提供远程安全接入，解决其所面临的远程接入、传输保密、用户认证、网络安全防护、访问控制等问题。

SSL VPN目前支持账号密码登录，支持多因子认证方式，即证书认证。使用场景如下：

· 多因子认证，可以提升安全级别。

· 心跳重连的场景主要是客户对网络有效性要求比较高的时候，需要配置短时间未收到心跳就重连。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解SSL VPN特性。

3 使用限制

· 第三方用户必须同步到本地，不支持第三方非同步用户登录。

· 不支持苹果mac和ios系统。

· 终端使用IPv6地址通过设备进行SSL VPN连接时，需要在设备上配置IPv6的地址池，如果设备上没有配置IPv6地址池，则不能正常接入。

4 配置举例

4.1 SSL VPN配置举例

4.1.1 组网需求

如图1所示，使用设备的ge0和ge1接口以路由方式部署在网络中。用户希望设备提供SSL VPN服务，以供互联网用户通过SSL VPN访问内网的Web和FTP服务器。

图1 SSL VPN功能配置组网图

4.1.2 配置思路

(1) 按照组网图组网。

(2) 配置接口。

(3) 配置静态路由。

(4) 配置用户。

(5) 配置SSL VPN全局配置。

(6) 配置SSL VPN资源。

(7) 配置SSL VPN策略

4.1.3 使用版本

本举例是在R6616版本上进行配置和验证的。

4.1.4 配置步骤

1. 配置接口

如图2所示，进入“网络配置>接口配置>物理接口”页面，点击“编辑”按钮为ge0接口配置ip地址，并点击<提交>。

图2 配置接口

2. 配置静态路由

如图3所示，进入“网络配置>路由管理>静态路由”页面，点击<新建>按钮，配置一条静态路由：目的网段为服务器的网段：172.16.1.1/24，下一跳为ge1对端互联接口地址。

图3 配置静态路由

3. 配置用户

如图4示，进入“用户管理> 用户组织结构>用户”页面，点击<新建>按钮，新建用户“sslvpntest”，并点击<提交>。

图4 配置用户

4. 配置SSL VPN全局配置

如图5示，进入“网络配置>VPN>SSL VPN>全局配置”页面，进行SSL VPN全局配置，并点击<提交>。

图5 配置全局配置

5. 配置SSL VPN资源

如图6和图7示，进入“网络配置>VPN>SSL VPN>资源”页面，点击“新建”按钮，进行SSL VPN的web和ftp资源配置，并点击<提交>。

图6 配置HTTP资源

图7 配置ftp资源

6. 配置SSL VPN策略

如图8所示，进入“网络配置>VPN>SSL VPN>策略”页面，点击<新建>按钮，进行sslvpn的策略配置，并点击<提交>。

图8 策略配置

7. 配置SSL VPN在线用户与IP绑定

如果选择为SSL VPN分配静态IP，如图9所示，进入“网络管理>VPN>SSL VPN>全局配置”页面，点击<全局配置>按钮，取消勾选<登录设定>中“允许多处登录”。

图9 用户IP绑定全局设置图

如图10所示，进入“网络管理>VPN>SSL VPN>全局配置>IP用户绑定”页面，点击<新建>按钮，勾选<启用>，选择绑定用户，输入SSL VPN分配地址池中的IP地址，设置完毕后，客户端登录SSL VPN后，分配IP地址为绑定地址。

图10 IP用户绑定图

4.1.5 验证配置

(1) 查看SSL VPN在线用户

如图11所示，SSL VPN连接成功后，进入“数据中心>系统监控>SSL VPN在线用户”页面，查看在线用户。

图11 SSL VPN在线用户

(2) 查看客户端路由表

如图12所示，SSL VPN连接成功后，查看客户端的路由表，下发了两条路由。

图12 客户端路由表

(3) 访问SSL VPN资源

SSL VPN连接成功后，访问内网的FTP和HTTP资源，能够访问成功，如图13和图14所示。

图13 访问FTP资源

图14 访问HTTP资源

4.2 SSL VPN证书登录配置举例

4.2.1 组网需求

组网图如图1所示，外网PC当需要访问内网资源时，可以向设备发起SSL VPN拨号，拨号成功后，外网设备就可以访问内网资源，比如：访问内网主机。

4.2.2 配置思路

(1) 按照组网图组网。

(2) 配置接口、路由及用户。

(3) 生成CA证书。

(4) 导入证书。

(5) 配置SSL VPN全局配置，引用证书。

(6) 配置SSL VPN资源及策略。

(7) 客户端导入配置。

4.2.3 使用版本

本举例是在R6616版本上进行配置和验证的。

4.2.4 配置步骤

1. 配置接口、路由及用户

详细配置请参考4.1.4 配置步骤的相关说明。

2. 生成CA证书

(1) 在“策略配置>对象管理>CA服务器>根CA配置管理”中点击“生成CA根证书”，输入证书名称、有效期和密码，密钥大小选择1024，点击提交。

图15 生成CA证书

(2) 点击“导出CA根证书”，将证书导出到本地，导出时选择“CER格式”，导出证书文件，并保存在本地。

图16 导出证书

(3) 在“策略配置>对象管理>CA服务器>用户证书管理”中点击“生成证书请求”，输入证书名称，密钥大小选择1024，点击提交。

图17 生成用户证书

(4) 点击签发设置有效期和密码。

图18 签发证书

(5) 签发完成后点击复制，复制后的证书在“策略配置>对象管理>本地证书>证书>本地证书”中可以查看。

图19 复制用户证书

图20 查看复制后的证书

3. 导入证书

(1) 在“策略配置>对象管理>本地证书>证书>CA”中导入步骤2（生成CA证书）中生成的CA证书。在CA中可以导入CA根证书。

图21 导入CA证书

4. 配置SSL VPN全局配置，引用证书

在“网络配置>VPN>SSL VPN>全局配置”中配置引用证书功能选项。在使用第三方CA证书时，只支持.pem格式的CA证书。

图22 配置SSL VPN引用证书

需要勾选“证书登录”，不勾选仅使用用户名密码验证，勾选则使用用户名密码+证书登录。

修改该配置后，所有客户端需要重新导入配置文件，可以在门户页面下载配置文件。请参考客户端导入配置。

5. 配置SSL VPN资源及策略

详细配置请参考4.1.4 配置步骤的相关说明。

6. 客户端导入配置

设备端配置好证书登录之后，门户页面中配置文件会自动更新，下载该配置文件，将配置文件在SSL VPN客户端中导入即可。

(1) 在“网络配置>VPN>SSL VPN>资源>门户页面”中填写标题，点击提交，开启门户页面。

图23 配置门户页面

(2) 下载配置文件，浏览器中输入：https://设备IP/sslvpn/portal.html，如下图，点击下载配置文件，将配置文件下载到本地。

图24 下载配置文件

(3) 右键点击客户端图标，选择“导入配置文件”，选择下载好的配置文件，点击打开，提示导入成功，即完成配置文件的导入。

图25 导入配置文件

图26 配置文件导入成功

(4) 右键点击客户端图标，选择导入的配置文件名，点击连接，然后使用管理员提供的用户名和密码登录即可。

图27 连接SSL VPN

图28 输入用户名、密码登录

7. 配置心跳重连间隔（可选）

进入“网络配置>VPN>SSL VPN>全局配置”，配置心跳报文发送间隔，并对重连进行自定义配置，如下图所示。

图29 配置心跳重连间隔

4.2.5 验证配置

SSL VPN 证书登录使用用户名密码+证书登录，用户拨号成功后，用户会在SSL VPN在线用户中显示。

图30 查看SSL VPN在线用户

如果配置了心跳报文间隔，每隔一定的间隔时间，客户端和设备之间发送心跳报文，如果未收到心跳报文的次数超过设置的未反馈次数后，客户端将重连。

4.3 SSL VPN客户端的安装及配置

4.3.1 SSL VPN客户端安装软件的获取

SSL VPN客户端需使用与设备版本配套的安装软件，您可以登录www.h3c.com官网下载，下载路径与版本软件相同，具体路径请参见版本说明书。

SSL VPN客户端软件支持win7和win10操作系统，以及Android6.0以上系统，以下分别介绍Windows系统和Android系统的客户端安装及配置方法。

4.3.2 Windows系统SSL VPN客户端安装及配置

1. 客户端安装

(1) 下载Windows系统的SSL VPN客户端软件并解压缩，点击运行安装程序，如下图所示。

(2) 弹出安装向导页面，点击“Next”进入下一步。

(3) 选择默认安装组件，点击“Next”进入下一步。

(4) 选择安装位置，点击“Install”开始安装。

(5) 弹出安全提示页面，点击“安装”。

(6) 点击“Finish”完成安装。

2. 客户端配置

(1) 运行SSL VPN客户端程序，进入添加配置文件界面，如下图所示。

图31 配置文件页面

表1 配置文件界面详细描述

标题项	说明
文件名	添加配置文件名称，任意
地址	SSL VPN设备IP
端口	SSL VPN端口

(2) 添加完配置文件后，选择任务栏中的图标点击右键，进行客户端连接，如下图所示。

图32 右键列表

表2 客户端设置界面详细描述

标题项	说明
连接	进行SSL VPN连接
断线	SSL VPN连接成功后断开
重新连接	SSL VPN连接成功后重连
修改密码	SSL VPN连接成功后修改登录密码
显示状态	SSLPVN连接成功后点击显示状态，弹出状态框
显示记录	点击显示记录，弹出SSL VPN连接的LOG记录
编辑配置文件	进行配置文件的修改
清除保存的密码	清除保存的SSL VPN用户密码
导入配置文件	进行配置文件的导入
新增配置文件	新建配置文件
选项	进行客户端的设置，包括：语言设置、开启是否自动启动、代理设置、配置文件以及log日志的目录、客户端版本信息
退出	关闭客户端