05-SSL VPN配置
本章节下载: 05-SSL VPN配置 (529.03 KB)
目 录
SSL VPN以SSL(Secure Sockets Layer,安全套接字层)为基础提供远程的安全连接服务。用户可通过互联网,使用内嵌SSL协议的浏览器与远端的Web服务器建立安全的连接,访问内部资源。企业或机构可通过SSL VPN来为移动用户或者外部客户提供访问内部资源的服务并保证安全性。
SSL VPN服务通过SSL VPN网关来提供。SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。管理员需要在SSL VPN网关上创建与企业网内服务器对应的资源。
SSL VPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后,才会被SSL VPN网关转发到企业网络内部,从而实现对企业内部资源的保护。
如图1-1所示,SSL VPN的工作机制为:
(1) 远程接入用户与SSL VPN网关建立HTTPS连接,通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。
(2) 远程接入用户输入用户名、密码等身份信息,SSL VPN网关对用户的身份进行认证,并对用户可以访问的资源进行授权。
(3) 用户获取到可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。
(4) SSL VPN网关将资源访问请求转发给企业网内的服务器。
(5) SSL VPN网关接收到服务器的应答后,通过SSL连接将其转发给用户。
图1-1 SSL VPN示意图
SSL VPN的典型组网方式主要有两种:网关模式和单臂模式。
在网关模式中,SSL VPN网关直接作为网关设备连接用户和内网服务器,所有流量将通过SSL VPN网关进行转发。网关模式可以提供对内网的完全保护,但是由于SSL VPN网关处在内网与外网通信的关键路径上,其性能对内外网之间的数据传输有很大的影响。
图1-2 网关模式
在单臂模式中,SSL VPN网关不作为网关设备。用户访问内网服务器时,流量将先由网关设备转发到SSL VPN网关,经SSL VPN网关处理后再转发到网关设备,由网关设备转发到内网服务器。在单臂模式中,SSL VPN网关不处在网络通信的关键路径上,其性能不会影响内外网的通信。但是这种组网使得SSL VPN网关不能全面地保护企业内部的网络资源。
图1-3 单臂模式
IP接入方式用来实现远程主机与企业内部服务器网络层之间的安全通信,进而实现所有基于IP的远程主机与服务器的互通,如在远程主机上ping内网服务器。
用户通过IP接入方式访问内网服务器前,需要安装专用的IP接入客户端软件,该客户端软件会在SSL VPN客户端上安装一个虚拟网卡。
IP接入方式下,管理员在SSL VPN网关上创建SSL VPN AC接口,并配置下发给SSL VPN客户端的路由表项。
如图1-4所示,IP方式接入过程如下:
(1) 用户在客户端上安装IP接入客户端软件后,启动该软件并登录。
(2) SSL VPN网关对其进行认证和授权。认证、授权通过后,SSL VPN网关为客户端的虚拟网卡分配IP地址,并将授权用户访问的IP接入资源(即路由表项)发送给客户端。
(3) 客户端为虚拟网卡设置IP地址,并添加路由表项,路由的出接口为虚拟网卡。
(4) 用户在客户端上访问企业内网服务器时,访问请求报文匹配添加的路由表项,该报文将进行SSL封装,并通过虚拟网卡发送给SSL VPN网关的SSL VPN AC接口。
(5) SSL VPN网关对SSL报文进行解封装,并将IP报文转发给内网服务器。
(6) 内网服务器将应答报文发送给SSL VPN网关。
(7) SSL VPN网关对报文进行SSL封装后,通过SSL VPN AC接口将其发送给客户端。
图1-4 IP接入方式的工作过程
SSL VPN用户认证是SSL VPN网关对SSL VPN用户身份的认证,用户身份认证通过后,才能访问对应的内网服务器资源。用户认证包括:用户名密码认证和验证码验证。若同时开启两种认证方式,则两种认证方式同时生效,用户需要同时通过两个验证才能访问企业内网资源。有关用户的详细介绍,请参见“安全配置指导”中的“AAA”。
用户名密码认证指通过认证SSL VPN用户的用户名和密码从而认证用户身份。该认证的过程如下:
(1) SSL VPN用户在登录界面输入用户名和密码,用户设备会将用户名和密码发送给SSL VPN网关;
(2) SSL VPN网关将用户名和密码提交给AAA模块进行认证、授权和计费,或者交给自定义认证服务器进行认证和授权。
设备缺省支持同时登录的用户数与设备型号有关,请以设备实际情况为准。
购买并安装License后可以增加同时在线的用户数。关于License的详细介绍请参见“License管理配置指导”中的“License管理”。
在IRF组网环境中,各成员设备的License可以叠加,IRF设备支持的同时在线用户数为缺省用户数和各成员设备License授权用户数的总和。若成员设备发生故障,此成员设备上的License将在IRF设备上继续生效,有效期为60天。
vSystem支持本特性的所有功能。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
非缺省vSystem对具体命令的支持情况,请见本特性的命令参考。
以下SSL VPN相关配置在SSL VPN网关设备上进行。SSL VPN配置任务如下:
(1) 配置SSL VPN网关
(2) 配置SSL VPN用户接入认证
(3) 配置SSL VPN资源访问控制
a. 配置IP接入服务
(4) (可选)控制SSL VPN用户接入
(5) (可选)开启SSL VPN日志功能
进行SSL VPN配置前,需要在SSL VPN网关上完成以下操作:
配置SSL服务器端策略,配置方法请参见“安全配置指导”中的“SSL”。
SSL VPN网关使用的接口的IP地址和端口号与HTTPS管理地址和端口号不能完全相同,如果完全相同,则用户访问此地址和端口时,只能访问SSL VPN网关页面,而不能访问设备的管理页面。
如果引用的SSL服务器策略有变化,需要重新开启SSL VPN网关才能生效。
(1) 进入系统视图。
system-view
(2) 创建SSL VPN网关,并进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置SSL VPN网关使用的接口。
interface interface-type interface-number
缺省情况下,未配置SSL VPN网关使用的接口。
(4) 配置SSL VPN网关使用的HTTPS端口号。
https-port port-number
缺省情况下,SSL VPN网关使用的HTTPS端口号为443。
(5) 配置SSL VPN网关使用指定的ISP域进行AAA认证。
aaa domain domain-name
缺省情况下,SSL VPN网关使用缺省的ISP域进行认证。
SSL VPN用户的用户名中不能携带所属ISP域信息。执行本配置后,SSL VPN用户将采用指定ISP域内的认证、授权、计费方案对SSL VPN用户进行认证、授权和计费。
(6) 配置SSL VPN网关引用的SSL服务器端策略。
ssl server-policy policy-name
缺省情况下,SSL VPN网关引用自签名证书的SSL服务器端策略。
(7) (可选)配置SSL VPN会话保持空闲状态的最长时间。
timeout idle minutes
缺省情况下,SSL VPN会话保持空闲状态的最长时间为30分钟。
(8) 开启当前SSL VPN网关的IPv4和IPv6服务。
service { ipv4 | ipv6 } * enable
缺省情况下,当前SSL VPN网关的IPv4和IPv6服务均处于关闭状态。
目前仅支持用户名密码认证和验证码验证。当开启验证码验证功能时,需要同时通过验证码验证和用户名密码认证。当关闭验证码验证功能时,仅需要通过用户名密码认证即可。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 开启验证码验证功能。
verify-code enable
缺省情况下,验证码验证功能处于关闭状态。
为了使内部服务器的应答报文正确返回给SSL VPN客户端,在内部服务器上需要配置到达SSL VPN客户端虚拟网卡所在网段的静态路由。
当设备上安装了多个安全业务板时,IP接入方式需要与NAT配合使用,确保同一条流量的正反向报文被引流到同一个安全业务板。
IP接入服务配置任务如下:
(3) (可选)_Ref74840120
(1) 进入系统视图。
system-view
(2) 创建SSL VPN AC接口,并进入SSL VPN AC接口视图。
interface sslvpn-ac interface-number
(3) 配置接口的IPv4地址。
ip address ip-address { mask | mask-length }
缺省情况下,没有指定接口的IPv4地址。
(4) (可选)配置接口的期望带宽。
bandwidth bandwidth-value
缺省情况下,接口的期望带宽为64kbps。
期望带宽供业务模块使用,不会对接口实际带宽造成影响。
(5) (可选)配置当前接口的描述信息。
description text
缺省情况下,接口的描述信息为“接口名 Interface”,例如:SSLVPN-AC1000 Interface。
(6) (可选)配置接口的MTU值。
mtu size
本命令的缺省情况与设备的型号有关,请以设备的实际情况为准。
(7) 开启当前接口。
undo shutdown
缺省情况下,SSL VPN AC接口均处于开启状态。
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行本配置前,完全了解其对网络产生的影响。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN AC接口视图。
interface sslvpn-ac interface-number
(3) 恢复当前接口的缺省配置。
default
您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。
SSL VPN网关下创建SSL VPN IP接入的地址池,在客户端通过验证后,SSL VPN网关将从创建的IP接入地址池中为客户端软件的虚拟网卡分配IP地址。
在SSL VPN网关下配置下发给IP接入客户端的IPv4和IPv6路由后,IP接入客户端将可以通过该路由访问指定网段内的服务器。
配置强制将客户端的IPv4或IPv6流量转发给SSL VPN网关后,SSL VPN网关将在客户端上添加优先级最高的缺省路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到路由表项的流量都通过虚拟网卡发送给SSL VPN网关。SSL VPN网关还会实时监控SSL VPN客户端,不允许SSL VPN客户端删除此缺省路由,且不允许SSL VPN客户端添加优先级高于此路由的缺省路由。
地址池中配置的网段需要满足以下要求:
· 不能和客户端物理网卡的IP地址在同一个网段。
· 不能包含SSL VPN网关所在设备的接口地址,否则会导致地址冲突。
· 不能和欲访问的内网地址在同一个网段。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置IP接入引用的SSL VPN AC接口。
ip-tunnel interface sslvpn-ac interface-number
缺省情况下,IP接入未引用SSL VPN AC接口。
(4) 创建SSL VPN IP接入的IPv4地址池。
ip-tunnel address-pool start-ipv4-address end-ipv4-address mask { mask | mask-length }
(5) 创建SSL VPN IP接入的IPv6地址池。
ip-tunnel ipv6 address-pool start-ipv6-address end-ipv6-address prefix prefix-length
(6) 配置下发给客户端的IPv4路由。
ip-tunnel access-route ipv4-address { mask | mask-length }
缺省情况下,不存在下发给客户端的IPv4路由。
(7) 配置下发给客户端的IPv6路由。
ip-tunnel ipv6 access-route ipv6-address prefix-length
缺省情况下,不存在下发给客户端的IPv6路由。
(8) (可选)配置强制将客户端的IPv4流量转发给SSL VPN网关。
ip-tunnel access-route force-all
缺省情况下,未配置强制将客户端的IPv4流量转发给SSL VPN网关。
(9) (可选)配置强制将客户端的IPv6流量转发给SSL VPN网关。
ip-tunnel ipv6 access-route force-all
缺省情况下,未配置强制将客户端的IPv6流量转发给SSL VPN网关。
(10) (可选)配置保活报文的发送时间间隔。
ip-tunnel keepalive seconds
缺省情况下,保活报文的发送时间间隔为30秒。
(11) (可选)配置为客户端指定的内网DNS服务器IPv4地址。
ip-tunnel dns-server { primary | secondary } ip-address
缺省情况下,未配置为客户端指定的DNS服务器IPv4地址。
(12) (可选)配置为客户端指定的内网DNS服务器IPv6地址。
ip-tunnel ipv6 dns-server { primary | secondary } ipv6-address
缺省情况下,未配置为客户端指定的DNS服务器IPv6地址。
(13) (可选)配置为客户端指定的内网WINS服务器地址。
ip-tunnel wins-server { primary | secondary } ip-address
缺省情况下,未配置为客户端指定的WINS服务器地址。
为移动客户端配置SSL VPN接入服务配置任务如下:
(1) 为移动客户端指定EMO服务器
(2) (可选)为移动客户端指定Message服务器
EMO服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的EMO服务器信息下发给客户端,以便移动客户端通过EMO服务器获取可以访问的服务资源。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置为客户端指定的EMO服务器。
ip-tunnel emo-server address { host-name | ipv4-address } port port-number
缺省情况下,未配置为客户端指定的EMO服务器。
Message服务器用来为移动客户端提供服务。执行本命令后,SSL VPN网关会将配置的Message服务器信息下发给客户端,以便客户端访问Message服务器。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 配置为客户端指定的Message服务器。
ip-tunnel message-server address { host-name | ipv4-address } port port-number
缺省情况下,未配置为客户端指定的Message服务器。
SSL VPN支持基于角色对用户进行资源授权与访问控制,相同角色的用户具有相同的访问权限。角色是连接用户和资源的桥梁,可以将权限相同的用户加入某个角色,并在角色中引用资源,以及配置用户对资源的访问方式。
在角色中配置资源及配置用户对资源的访问方式的具体方法如下:
· 通过ip-tunnel address-pool命令或ip-tunnel ipv6 address-pool命令配置地址池,定义角色可分配的地址。
· 通过ip-tunnel access-route命令或ip-tunnel ipv6 access-route命令配置接入路由,定义角色可访问的内网路由。
· 通过ip-tunnel enable命令配置该角色中的用户对资源的IP接入访问方式。
SSL VPN用户成功登录SSL VPN网关后,SSL VPN网关通过身份识别模块查询该用户所属的身份识别角色信息,并查询所配置的SSL VPN网关中是否存在该角色,若存在该角色,则将该角色所拥有的资源授权给用户访问,并限定用户对资源的访问方式。当某个用户属于多个角色时,SSL VPN将对该用户进行合并授权,即该用户所具有的资源访问权限是多个角色内资源的合集。
如果SSL VPN网关通过身份识别模块查询到的用户所属身份识别角色在SSL VPN网关中没有配置,或者用户所属的身份识别角色中未配置任何资源,用户将无法通过角色授权方式访问资源。此时,用户仅可访问网关下的IP接入资源。
本功能配置的角色名称需要与身份识别模块配置的身份识别角色名称一一对应。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 创建角色,并进入角色视图。
role role-name
(4) 创建IPv4地址池。
ip-tunnel address-pool start-ipv4-address end-ipv4-address mask { mask | mask-length }
缺省情况下,未配置IPv4地址池。
SSL VPN网关将从本命令配置的地址池中选择地址,并分配给IP接入方式的客户端。
(5) 配置下发给客户端的IPv4路由。
ip-tunnel access-route ipv4-address { mask | mask-length }
缺省情况下,未配置下发给客户端的IPv4路由。
客户端通过IP接入方式访问网关时,网关将指定的路由下发给客户端。客户端若访问该网段内的服务器,将通过虚拟网卡发送报文给SSL VPN网关,防止报文进入Internet。
(6) 配置强制将客户端的IPv4流量转发给SSL VPN网关。
ip-tunnel access-route force-all
缺省情况下,未配置强制将客户端的IPv4流量转发给SSL VPN网关。
配置本功能后,SSL VPN网关将在客户端上添加优先级最高的缺省IPv4路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv4路由表项的IPv4流量都通过虚拟网卡发送给SSL VPN网关。
(7) 配置下发给客户端的IPv6路由表项。
ip-tunnel ipv6 access-route ipv6-address prefix-length
缺省情况下,未指定下发给客户端的IPv6路由表项。
客户端通过IP接入方式访问网关时,网关将指定的IPv6路由下发给客户端。客户端若访问该网段内的服务器,报文就会通过虚拟网卡发送给SSL VPN网关,防止报文进入Internet。
(8) 配置强制将客户端的IPv6流量转发给SSL VPN网关。
ip-tunnel ipv6 access-route force-all
缺省情况下,未配置强制将客户端的IPv6流量转发给SSL VPN网关。
执行本命令后,SSL VPN网关将在客户端上添加优先级最高的缺省IPv6路由,路由的出接口为虚拟网卡,从而使得所有没有匹配到IPv6路由表项的IPv6流量都通过虚拟网卡发送给SSL VPN网关。
(9) 开启角色的IP接入功能。
ip-tunnel enable
缺省情况下,角色的IP接入功能处于关闭状态。
通过配置SSL VPN在线用户控制,可以控制SSL VPN登录用户的上下线和在线数量。
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 强制在线用户下线。
force-logout { all | user-id user-id | username user-name }
(4) 配置SSL VPN网关的最大在线用户数。
max-online-users per-gateway max-number
缺省情况下,SSL VPN网关的最大在线用户数为1048575。
开启SSL VPN日志记录功能后,SSL VPN网关会记录日志信息,并发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。(有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。)
(1) 进入系统视图。
system-view
(2) 进入SSL VPN网关视图。
sslvpn gateway gateway-name
(3) 开启用户上下线日志生成功能。
log user-login enable
缺省情况下,用户上下线日志生成功能处于关闭状态。
(4) 开启用户资源访问日志生成功能。
log resource-access enable [ brief | filtering ] *
缺失情况下,用户访问资源日志生成功能处于关闭状态。
(5) 开启IP接入的日志生成功能。
log ip-tunnel { address-alloc-release | connection-close | packet-drop }
缺省情况下,IP接入的日志功能处于关闭状态。
可在任意视图下执行以下命令:
· 显示SSL VPN AC接口的相关信息。
display interface sslvpn-ac [ interface-number ] [ brief [ description | down ] ]
· 显示SSL VPN网关的信息。
display sslvpn gateway [ brief | name gateway-name ]
· 显示SSL VPN在线用户信息。
display sslvpn online-users [ gateway gateway-name ] [ user user-name | verbose ]
请在用户视图下执行以下命令:
· 清除SSL VPN AC接口的统计信息。
reset counters interface [ sslvpn-ac [ interface-number ] ]
Device为SSL VPN网关设备,连接公网用户和企业私有网络。用户通过Device可以通过IP
接入方式安全地访问私有网络内的Server。Device采用本地认证和授权方式对用户进行认证和授权。
图1-5 IP接入配置组网图
在开始下面的配置之前,假设已完成如下配置:
· Device已获取到CA证书ca.cer和服务器证书server.pfx,若SSL VPN网关不引用SSL 服务端策略,则使用设备缺省证书。
· Server上存在到达网段10.1.1.0/24的路由。
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 1.1.1.2 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 创建SSL VPN AC接口,用于转发IP接入流量
# 创建SSL VPN AC接口1,配置该接口的IP地址为10.1.1.100/24。
[Device] interface sslvpn-ac 1
[Device-SSLVPN-AC1] ip address 10.1.1.100 24
[Device-SSLVPN-AC1] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Server的下一跳IP地址为2.2.2.3,到达User的下一跳IP地址为1.1.1.3实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 20.2.2.2 24 2.2.2.3
[Device] ip route-static 40.1.1.1 24 1.1.1.3
(4) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] import interface sslvpn-ac 1
[Device-security-zone-Untrust] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(5) 配置安全策略放行Untrust与Local安全域、Untrust与Trust安全域之间的流量,用于用户访问SSL VPN网关设备和Server
# 配置名称为sslvpnlocalout1的安全策略规则,使Device可以向用户发送报文,具体配置步骤如下。
[Device] security-policy
[Device-security-policy] rule 1 name sslvpnlocalout1
[Device-security-policy-1-sslvpnlocalout1] source-zone local
[Device-security-policy-1-sslvpnlocalout1] destination-zone untrust
[Device-security-policy-1-sslvpnlocalout1] action pass
[Device-security-policy-1-sslvpnlocalout1] quit
# 配置名称为sslvpnlocalin1的安全策略规则,使用户可以向Device发送报文,具体配置步骤如下。
[Device-security-policy] rule 2 name sslvpnlocalin1
[Device-security-policy-2-sslvpnlocalin1] source-zone untrust
[Device-security-policy-2-sslvpnlocalin1] destination-zone local
[Device-security-policy-2-sslvpnlocalin1] action pass
[Device-security-policy-2-sslvpnlocalin1] quit
# 配置名称为sslvpnlocalout2的安全策略规则,使Device可以向Server发送报文,具体配置步骤如下。
[Device-security-policy] rule 3 name sslvpnlocalout2
[Device-security-policy-3-sslvpnlocalout2] source-zone local
[Device-security-policy-3-sslvpnlocalout2] destination-zone trust
[Device-security-policy-3-sslvpnlocalout2] action pass
[Device-security-policy-3-sslvpnlocalout2] quit
# 配置名称为sslvpnlocalin2的安全策略规则,使Server可以向Device发送报文,具体配置步骤如下。
[Device-security-policy] rule 4 name sslvpnlocalin2
[Device-security-policy-4-sslvpnlocalin2] source-zone trust
[Device-security-policy-4-sslvpnlocalin2] destination-zone local
[Device-security-policy-4-sslvpnlocalin2] action pass
[Device-security-policy-4-sslvpnlocalin2] quit
# 配置名称为untrust-trust的安全策略规则,使用户可以通过SSL VPN AC接口访问Server,具体配置步骤如下。
[Device-security-policy] rule 5 name untrust-trust
[Device-security-policy-5-untrust-trust] source-zone untrust
[Device-security-policy-5-untrust-trust] destination-zone trust
[Device-security-policy-5-untrust-trust] action pass
[Device-security-policy-5-untrust-trust] quit
# 配置名称为trust-untrust的安全策略规则,使Server可以通过SSL VPN AC接口向用户发送报文,具体配置步骤如下。
[Device-security-policy] rule 6 name trust-untrust
[Device-security-policy-6-trust-untrust] source-zone trust
[Device-security-policy-6-trust-untrust] destination-zone untrust
[Device-security-policy-6-trust-untrust] action pass
[Device-security-policy-6-trust-untrust] quit
[Device-security-policy] quit
(6) 配置PKI域,设置证书申请所需的相关参数
[Device] pki domain sslvpn
[Device-pki-domain-sslvpn] public-key rsa general name sslvpn
[Device-pki-domain-sslvpn] undo crl check enable
[Device-pki-domain-sslvpn] quit
[Device] pki import domain sslvpn der ca filename ca.cer
[Device] pki import domain sslvpn p12 local filename server.pfx
(7) 配置SSL服务器端策略,引用PKI域
[Device] ssl server-policy ssl
[Device-ssl-server-policy-ssl] pki-domain sslvpn
[Device-ssl-server-policy-ssl] quit
(8) 配置SSL VPN网关,为用户提供登录SSL VPN网关的入口
# 配置SSL VPN网关gw使用的接口GigabitEthernet1/0/1,HTTPS端口号为4430,并引用SSL服务器端策略ssl。
[Device] sslvpn gateway gw
[Device-sslvpn-gateway-gw] interface gigabitEthernet 1/0/1
[Device-sslvpn-gateway-gw] https-port 4430
[Device-sslvpn-gateway-gw] ssl server-policy ssl
[Device-sslvpn-gateway-gw] service ipv4 enable
(9) 配置SSL VPN网关,为用户提供SSL VPN IP接入服务
# 配置SSL VPN网关的IP接入参数,包括客户端地址池、下发给客户端的IPv4路由等。
[Device-sslvpn-gateway-gw] ip-tunnel interface sslvpn-ac 1
[Device-sslvpn-gateway-gw] ip-tunnel address-pool 10.1.1.1 10.1.1.10 mask 24
[Device-sslvpn-gateway-gw] ip-tunnel access-route 20.2.2.0 24
[Device-sslvpn-gateway-gw] quit
(10) 配置SSL VPN用户,用于访问SSL VPN网关
# 创建本地SSL VPN用户sslvpnuser,密码为123456,用户角色为network-operator。
[Device] local-user sslvpnuser class network
[Device-luser-network-sslvpnuser] password simple 123456
[Device-luser-network-sslvpnuser] service-type sslvpn
[Device-luser-network-sslvpnuser] authorization-attribute user-role network-operator
[Device-luser-network-sslvpnuser] quit
# 在Device上查看SSL VPN网关状态,可见SSL VPN网关gw处于Up状态。
[Device] display sslvpn gateway
Gateway name: gw
Operation state: Up
Down reason: Administratively down
AAA domain: Not specified
Code verification: Disabled
Associated SSL VPN Interface: GigabitEthernet1/0/1
SSL server policy configured: ssl
SSL server policy in use: ssl
HTTPS port: 4430
Maximum users allowed: 1048575
Idle timeout: 30 min
# 下载IP接入客户端软件,安装完成后,启动iNode客户端,输入如下图所示的参数。
图1-6 iNode客户端
# 单击<连接>按钮,成功登录SSL VPN客户端,如下图所示。
图1-7 成功登录SSL VPN网关
# SSL VPN用户sslvpnuser可以Ping通服务器地址20.2.2.2。
C:\>ping 20.2.2.2
Pinging 20.2.2.2 with 32 bytes of data:
Reply from 20.2.2.2: bytes=32 time=31ms TTL=254
Reply from 20.2.2.2: bytes=32 time=18ms TTL=254
Reply from 20.2.2.2: bytes=32 time=15ms TTL=254
Reply from 20.2.2.2: bytes=32 time=16ms TTL=254
Ping statistics for 20.2.2.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 15ms, Maximum = 31ms, Average = 20ms
# 在Device上可以看到SSL VPN用户sslvpnuser的在线用户信息。
[Device] display sslvpn online-users user sslvpnuser
User : sslvpnuser
Authentication method : Username/password authentication
Gateway : gw
Idle timeout : 30 min
Created at : 13:49:27 UTC Wed 05/14/2021
Lastest : 17:50:58 UTC Wed 05/14/2021
Allocated client IPv4 : 10.1.1.1
User IPv4 address : 172.16.1.16
User ID : 14
Endpoint information : Windows
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!