• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

22-零信任配置指导

目录

01-SDP零信任配置

本章节下载 01-SDP零信任配置  (324.90 KB)

01-SDP零信任配置


1 SDP零信任

1.1  SDP零信任简介

随着云计算、物联网、移动办公等互联网技术的兴起,企业资源已不再局限于企业内部,企业员工随时随地接入企业内网的需求越来越普遍,传统的网络防护边界变得越来越模糊,传统的基于网络边界的安全防护手段越来越难以满足需求。为了解决以上问题,SDP零信任技术应运而生。SDP零信任核心思想为不信任任何人、设备以及系统,对所有访问受限资源的用户进行持续动态认证和最小权限授权。

SDP(Software Defined Perimeter,软件定义边界)零信任功能是指设备作为SDP网关与SDP控制器联动,对访问指定应用或API的用户进行身份认证和鉴权,以实现对用户身份和访问权限的集中控制,防止非法用户访问。

在零信任场景中SDP网关作为企业边界设备连接远端用户和企业内部网络。

1.1.1  组网构成

图1-1所示,SDP网关和SDP控制器作为SDP零信任功能的必要组成部分,共同对外提供服务。

图1-1 SDP零信任基本组网图

 

·     SDP网关

SDP网关是负责为有权限的用户提供资源访问服务的设备。SDP网关不进行用户身份认证,仅对SDP控制器授权的用户提供资源访问服务。

·     SDP控制器

SDP控制器是负责对用户进行身份认证和对用户访问权限进行鉴别的设备。SDP控制器有自己的身份和权限管理系统,管理员可以在SDP控制器中配置用户的身份信息以及对资源的访问权限。

1.1.2  工作机制

SDP零信任支持Web接入、IP接入和混合接入三种访问方式,可分别适用不同的用户需求。

1. Web接入方式

Web接入方式下用户仅能通过浏览器登录SDP控制器进行身份认证,认证成功后仅能通过浏览器访问内网资源。

图1-2所示,Web接入方式访问流程如下:

(1)     用户使用浏览器采用HTTPS协议访问SDP控制器,在认证页面输入用户名和密码进行身份认证。

(2)     认证通过后,SDP控制器向浏览器客户端下发SDP网关的地址和用户所能访问的APP/API。

(3)     SDP控制器向SDP网关下发用户访问APP/API的权限,该权限信息动态更新。

(4)     用户通过浏览器访问内网资源,并携带用户Token。

(5)     SDP网关验证用户Token,判断用户是否在线。若用户不在线,则拒绝访问;若用户在线,则SDP网关使用用户访问请求中的APP/API,依次匹配该用户可访问的APP/API,判断是否有权限访问,若有权限访问,则转发访问请求,否则拒绝用户访问。

(6)     内网APP/API服务器向SDP网关发送APP/API响应报文。

(7)     SDP网关向用户转发内网APP/API的响应报文,完成用户对内网APP/API的最终访问。

图1-2 SDP零信任(Web接入方式)工作流程图

 

2. IP接入方式

IP接入方式,该方式下用户仅能通过iNode客户端登录SDP控制器进行身份认证,认证成功后仅能通过iNode客户端访问内网资源。

图1-3所示,IP接入方式访问流程如下:

(1)     用户使用iNode客户端访问SDP控制器,进行身份认证。

(2)     认证通过后,SDP控制器向iNode客户端下发SDP网关的地址和用户所能访问的APP/API。

(3)     SDP控制器向SDP网关下发用户访问APP/API的权限,该权限信息动态更新。

(4)     iNode客户端向SDP网关发起SPA(Single Packet Authorization,单包授权)认证请求。

(5)     SPA认证通过后,iNode客户端与SDP网关建立IP接入隧道。

(6)     用户通过iNode客户端访问内网资源,并携带用户Token。

(7)     SDP网关验证用户Token,判断用户是否在线。若用户不在线,则拒绝访问;若用户在线,则SDP网关使用用户访问请求中的APP/API,依次匹配该用户可访问的APP/API,判断是否有权限访问,若有权限访问,则转发访问请求,否则拒绝用户访问。

(8)     内网APP/API服务器向SDP网关发送APP/API响应报文。

(9)     SDP网关向用户转发内网APP/API的响应报文,完成用户对内网APP/API的最终访问。

图1-3 SDP零信任(IP接入方式)访问流程图

 

3. 混合方式

混合方式下用户必须首先通过iNode客户端登录SDP控制器进行身份认证,认证成功后可以通过浏览器或iNode客户端访问内网资源,访问流程同上文介绍的两种方式。

 

1.2  SDP零信任与硬件适配关系

本功能的支持情况与设备型号有关,请以设备实际情况为准。

F1000系列

型号

说明

F1000-X-G5系列

F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5

支持

F1000-X-XI系列

F1000-D-XI、F1000-E-XI

支持

 

F100系列

型号

说明

F100-X-G5系列

F100-A-G5、F100-C-G5、F100-E-G5、F100-M-G5、F100-S-G5

支持

F100-C-A系列

F100-C-A2、F100-C-A1

不支持

F100-X-XI系列

F100-A-XI

不支持

F100-C-XI、F100-S-XI

支持

1.3  vSystem相关说明

vSystem支持本特性的所有功能。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。

1.4  配置限制和指导

SDP网关借助云平台连接功能向SDP控制器通报保活状态,由于SDP控制器设置的保活时间为30秒,为了保证SDP可信访问控制功能的正常运行,需要将设备向云平台服务器发送Keepalive报文的时间间隔(通过cloud-management keepalive命令)设置为10~29秒。关于云平台连接的详细介绍,请参见“WLAN配置指导”中的“云平台连接”。

1.5  SDP零信任配置任务简介

SDP零信任功能的相关配置需要在SDP网关上进行,配置任务如下:

(1)     配置SDP网关

(2)     配置SDP功能

(3)     配置SDP访问实例

(4)     配置SDP接入服务

请至少选择以下一种接入服务。

¡     配置Web接入

¡     配置IP接入

1.6  配置准备

开始本配置之前,假设SDP控制器已经部署完成,即配置了SDP网关的IP地址以及SDP网关所保护的APP/API、SDP用户的身份信息等,保证能够对用户进行身份认证和资源授权。

1.7  配置SDP网关

(1)     进入系统视图。

system-view

(2)     创建SDP网关,并进入SDP网关视图。

sslvpn gateway gateway-name

(3)     配置SDP网关的IPv4地址和端口号。

ip address ip-address [ port port-number ]

缺省情况下,SDP网关的IP地址为0.0.0.0,端口号为443。

执行本配置时,如果没有指定端口号,则缺省端口号为443。

(4)     配置SDP网关的IPv6地址和端口号。

ipv6 address ipv6-address [ port port-number ]

缺省情况下,未配置SDP网关的IPv6地址和端口号。

执行本配置时,如果没有指定端口号,则缺省端口号为443。

(5)     开启当前的SDP网关。

service enable

缺省情况下,当前的SDP网关处于关闭状态。

1.8  配置SDP功能

(1)     进入系统视图。

system-view

(2)     创建并进入SDP可信访问控制器视图。

trusted-access controller sdp

(3)     开启SDP可信访问控制功能。

sdp enable

缺省情况下,SDP可信访问控制功能处于关闭状态。

(4)     配置用户通过SDP网关访问内网资源的方式。

sdp access-method { ip-tunnel | mix | web-access }

缺省情况下,用户通过SDP网关访问内网资源的方式为混合方式。

(5)     配置用户通过SDP网关访问内网API的缺省动作。

sdp api-access default { deny | permit }

缺省情况下,用户通过SDP网关访问内网API的缺省动作为允许。

(6)     开启单包认证功能。

spa enable

缺省情况下,单包认证功能处于关闭状态。

本功能仅在IP接入方式和混合方式下支持。

1.9  配置SDP访问实例

(1)     进入系统视图。

system-view

(2)     创建SDP访问实例,并进入SDP访问实例视图。

sslvpn context context-name

SDP访问实例的名称必须为default。

(3)     配置SDP访问实例引用SDP网关。

gateway gateway-name [ domain domain-name | virtual-host virtual-host-name ]

缺省情况下,SDP访问实例没有引用SDP网关。

(4)     开启当前的SSL VPN访问实例。

service enable

缺省情况下,SDP访问实例处于关闭状态。

1.10  配置Web接入

(1)     进入系统视图。

system-view

(2)     进入SSL VPN访问实例视图。

sslvpn context context-name

(3)     创建URL表项,并进入URL表项视图。

url-item name

(4)     配置资源的URL。

url url

缺省情况下,未配置资源的URL。

如果URL中未指定协议类型,则默认为HTTP。

(5)     (可选)配置URL资源的映射方式。

url-mapping { domain-mapping domain-name | port-mapping gateway gateway-name [ virtual-host virtual-host-name ] } [ rewrite-enable ]

缺省情况下,URL资源的映射方式为常规改写。

1.11  配置IP接入

(1)     进入系统视图。

system-view

(2)     创建SSL VPN AC接口,并进入SSL VPN AC接口视图。

interface sslvpn-ac interface-number

(3)     配置接口的IPv4地址。

ip address ip-address { mask | mask-length }

缺省情况下,没有指定接口的IPv4地址。

(4)     配置接口的IPv6地址。

ipv6 address { ipv6-address prefix-length | ipv6-address/ prefix-length }

缺省情况下,没有指定接口的IPv6地址。

(5)     开启当前接口。

undo shutdown

缺省情况下,SSL VPN AC接口均处于开启状态。

(6)     退回系统视图。

quit

(7)     进入SSL VPN访问实例视图。

sslvpn context context-name

(8)     配置IP接入引用的SSL VPN AC接口。

ip-tunnel interface sslvpn-ac interface-number

缺省情况下,IP接入未引用SSL VPN AC接口。

1.12  SDP零信任显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置SDP零信任后的运行情况,通过查看显示信息验证配置的效果。

表1-1 SDP零信任显示和维护

配置

命令

显示SDP控制器下发给用户的内网资源

display trusted-access controller sdp assigned-resource { api | app } [ context context-name ]

显示SDP会话信息

display trusted-access controller sdp session [ context context-name ] [ user user-name ]

显示TCP代理类型应用的连接信息

display trusted-access controller sdp tcp-proxy-connection [ context context-name ] [ slot slot-number ]

 

1.13  SDP零信任典型配置举例

1.13.1  SDP零信任典型配置举例(Web接入方式)

1. 组网需求

Device作为SDP网关设备,连接公网用户和企业私有网络。用户首先通过SDP控制器进行身份认证,认证通过后,SDP控制器授权用户可以访问的资源,用户再通过SDP网关对授权访问的企业内网资源进行访问。

2. 组网图

图1-4 SDP零信任(Web接入方式)配置组网图

3. 配置准备

开始本配置之前,假设SDP控制器已经部署完成,能够对用户进行身份认证和资源授权。

4. 配置Device

(1)     配置接口IP地址。

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 1.1.1.2 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置路由。

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达App server/API server的下一跳IP地址为3.3.3.4,到达Host的下一跳IP地址为1.1.1.3,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 30.3.3.3 24 3.3.3.4

[Device] ip route-static 40.1.1.1 24 1.1.1.3

(3)     配置接口加入安全域。

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1

[Device-security-zone-Untrust] quit

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/2

[Device-security-zone-Trust] import interface gigabitethernet 1/0/2

[Device-security-zone-Trust] quit

(4)     配置安全策略放行指定安全域之间的流量。

# 配置名称为sdplocalout1的安全策规则,使Device可以向用户发送报文,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name sdplocalout1

[Device-security-policy-ip-1-sdplocalout1] source-zone local

[Device-security-policy-ip-1-sdplocalout1] destination-zone untrust

[Device-security-policy-ip-1-sdplocalout1] source-ip-host 1.1.1.2

[Device-security-policy-ip-1-sdplocalout1] destination-ip-host 40.1.1.1

[Device-security-policy-ip-1-sdplocalout1] action pass

[Device-security-policy-ip-1-sdplocalout1] quit

# 配置名称为sdplocalin1的安全策略规则,使用户可以向Device发送报文,具体配置步骤如下。

[Device-security-policy-ip] rule name sdplocalin1

[Device-security-policy-ip-2-sdplocalin1] source-zone untrust

[Device-security-policy-ip-2-sdplocalin1] destination-zone local

[Device-security-policy-ip-2-sdplocalin1] source-ip-host 40.1.1.1

[Device-security-policy-ip-2-sdplocalin1] destination-ip-host 1.1.1.2

[Device-security-policy-ip-2-sdplocalin1] action pass

[Device-security-policy-ip-2-sdplocalin1] quit

# 配置名称为sdplocalout2的安全策规则,使Device可以向App server/API server、SDP控制器发送报文,具体配置步骤如下。

[Device-security-policy-ip] rule name sdplocalout2

[Device-security-policy-ip-3-sdplocalout2] source-zone local

[Device-security-policy-ip-3-sdplocalout2] destination-zone trust

[Device-security-policy-ip-3-sdplocalout2] source-ip-host 2.2.2.2

[Device-security-policy-ip-3-sdplocalout2] source-ip-host 3.3.3.3

[Device-security-policy-ip-3-sdplocalout2] destination-ip-host 2.2.2.10

[Device-security-policy-ip-3-sdplocalout2] destination-ip-host 30.3.3.3

[Device-security-policy-ip-3-sdplocalout2] action pass

[Device-security-policy-ip-3-sdplocalout2] quit

# 配置名称为sdplocalin2的安全策略规则,使App server/API server、SDP控制器可以向Device发送报文,具体配置步骤如下。

[Device-security-policy-ip] rule name sdplocalin2

[Device-security-policy-ip-4-sdplocalin2] source-zone trust

[Device-security-policy-ip-4-sdplocalin2] destination-zone local

[Device-security-policy-ip-4-sdplocalin2] source-ip-host 2.2.2.10

[Device-security-policy-ip-4-sdplocalin2] source-ip-host 30.3.3.3

[Device-security-policy-ip-4-sdplocalin2] destination-ip-host 2.2.2.2

[Device-security-policy-ip-4-sdplocalin2] destination-ip-host 3.3.3.3

[Device-security-policy-ip-4-sdplocalin2] action pass

[Device-security-policy-ip-4-sdplocalin2] quit

[Device-security-policy-ip] quit

(5)     配置SDP网关,用于用户访问内网资源。

# 配置SDP网关gw的IP地址为1.1.1.2,端口号为2000。该SDP网关地址和端口需要在SDP控制器上注册。

[Device] sslvpn gateway gw

[Device-sslvpn-gateway-gw] ip address 1.1.1.2 port 2000

[Device-sslvpn-gateway-gw] service enable

[Device-sslvpn-gateway-gw] quit

(6)     配置并开启SDP功能。

[Device] trusted-access controller sdp

[Device-tac-sdp] sdp access-method web-access

[Device-tac-sdp] sdp api-access default deny

[Device-tac-sdp] sdp enable

(7)     配置SDP访问实例,为用户提供Web接入服务。

# 配置SDP访问实例default引用SDP网关gw。

[Device] sslvpn context default

[Device-sslvpn-context-default] gateway gw

[Device-sslvpn-context-default] url-item urlitem

[Device-sslvpn-context-default-url-item-urlitem] url http://30.3.3.3

[Device-sslvpn-context-default-url-item-urlitem] url-mapping domain-mapping www.domain.com

[Device-sslvpn-context-default-url-item-urlitem] quit

[Device-sslvpn-context-default] quit

(8)     配置云平台连接功能,用于SDP网关和SDP控制器之间进行通信。

# 配置云平台连接功能,实现SDP网关和SDP控制器建立云管道连接,其中www.sdpexample.com和2.2.2.10为SDP控制器的域名和IP地址。

[Device] ip host www.sdpexample.com 2.2.2.10

[Device] cloud-management server domain www.sdpexample.com

[Device] cloud-management server port 18002

[Device] cloud-management keepalive 10

(9)     开启云平台连接功能所需的协议。

# 开启RESTful、Netconf、HTTP以及HTTPS协议,用于SDP控制器与网关之间进行信息交互。

[Device] restful http enable

[Device] restful https enable

[Device] netconf soap http enable

[Device] netconf soap https enable

[Device] ip http enable

[Device] ip https enable

5. 验证配置

# 在Device上查看SDP网关状态,可见SDP控制器下发给用户的应用资源。

[Device] display trusted-access controller sdp assigned-resource app

Context                : default

App ID                 : 12345

App Name               : urlitem

AccessType             : web proxy

HostName               : host1

Address                : Protocol    : HTTPS

IPv4Address : 30.3.3.3

Port        : 4430

# 在Device上查看SDP会话信息,可见SDP会话信息如下。

[Device] display trusted-access controller sdp session

User                   : user1

Authentication method  : SDP authentication

Context                : default

Created at             : 13:49:27 UTC Wed 04/14/2021

Latest                : 17:50:58 UTC Wed 04/14/2021

Session ID             : 1

Send rate              : 0.00 B/s

Receive rate           : 0.00 B/s

Sent bytes             : 0.00 B

Received bytes         : 0.00 B

Apps                   : urlitem/permit;

                         app2/deny;

                         

APIs                   : api1/permit;

                         api2/deny;

                         

1.13.2  SDP零信任典型配置举例(IP接入方式)

1. 组网需求

Device作为SDP网关设备,连接公网用户和企业私有网络。用户首先通过SDP控制器进行身份认证,认证通过后,SDP控制器授权用户可以访问的资源,用户再通过SDP网关对授权访问的企业内网资源进行访问。

2. 组网图

图1-5 SDP零信任(IP接入方式)配置组网图

3. 配置准备

开始本配置之前,假设SDP控制器已经部署完成,能够对用户进行身份认证和资源授权。

4. 配置Device

(1)     配置接口IP地址。

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 1.1.1.2 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     创建SSL VPN AC接口,用于转发IP接入流量。

# 创建SSL VPN AC接口1,并配置接口的IP地址为10.1.1.100/24,该地址需要与SDP控制器上配置的地址池为同一个网段。

[Device] interface sslvpn-ac 1

[Device-SSLVPN-AC1] ip address 10.1.1.100 24

[Device-SSLVPN-AC1] quit

(3)     配置路由。

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达App server/API server的下一跳IP地址为3.3.3.4,到达Host的下一跳IP地址为1.1.1.3,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 30.3.3.3 24 3.3.3.4

[Device] ip route-static 40.1.1.1 24 1.1.1.3

(4)     配置接口加入安全域。

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1

[Device-security-zone-Untrust] import interface sslvpn-ac 1

[Device-security-zone-Untrust] quit

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/2

[Device-security-zone-Trust] import interface gigabitethernet 1/0/2

[Device-security-zone-Trust] quit

(5)     配置安全策略放行指定安全域之间的流量。

# 配置名称为sdplocalout1的安全策规则,使Device可以向用户发送报文,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name sdplocalout1

[Device-security-policy-ip-1-sdplocalout1] source-zone local

[Device-security-policy-ip-1-sdplocalout1] destination-zone untrust

[Device-security-policy-ip-1-sdplocalout1] source-ip-host 1.1.1.2

[Device-security-policy-ip-1-sdplocalout1] destination-ip-host 40.1.1.1

[Device-security-policy-ip-1-sdplocalout1] action pass

[Device-security-policy-ip-1-sdplocalout1] quit

# 配置名称为sdplocalin1的安全策略规则,使用户可以向Device发送报文,具体配置步骤如下。

[Device-security-policy-ip] rule name sdplocalin1

[Device-security-policy-ip-2-sdplocalin1] source-zone untrust

[Device-security-policy-ip-2-sdplocalin1] destination-zone local

[Device-security-policy-ip-2-sdplocalin1] source-ip-host 40.1.1.1

[Device-security-policy-ip-2-sdplocalin1] destination-ip-host 1.1.1.2

[Device-security-policy-ip-2-sdplocalin1] action pass

[Device-security-policy-ip-2-sdplocalin1] quit

# 配置名称为sdplocalout2的安全策规则,使Device可以向App server/API server、SDP控制器发送报文,具体配置步骤如下。

[Device-security-policy-ip] rule name sdplocalout2

[Device-security-policy-ip-3-sdplocalout2] source-zone local

[Device-security-policy-ip-3-sdplocalout2] destination-zone trust

[Device-security-policy-ip-3-sdplocalout2] source-ip-host 2.2.2.2

[Device-security-policy-ip-3-sdplocalout2] source-ip-host 3.3.3.3

[Device-security-policy-ip-3-sdplocalout2] destination-ip-host 2.2.2.10

[Device-security-policy-ip-3-sdplocalout2] destination-ip-host 30.3.3.3

[Device-security-policy-ip-3-sdplocalout2] action pass

[Device-security-policy-ip-3-sdplocalout2] quit

# 配置名称为sdplocalin2的安全策略规则,使App server/API server、SDP控制器可以向Device发送报文,具体配置步骤如下。

[Device-security-policy-ip] rule name sdplocalin2

[Device-security-policy-ip-4-sdplocalin2] source-zone trust

[Device-security-policy-ip-4-sdplocalin2] destination-zone local

[Device-security-policy-ip-4-sdplocalin2] source-ip-host 2.2.2.10

[Device-security-policy-ip-4-sdplocalin2] source-ip-host 30.3.3.3

[Device-security-policy-ip-4-sdplocalin2] destination-ip-host 2.2.2.2

[Device-security-policy-ip-4-sdplocalin2] destination-ip-host 3.3.3.3

[Device-security-policy-ip-4-sdplocalin2] action pass

[Device-security-policy-ip-4-sdplocalin2] quit

# 配置名称为untrust-trust的安全策规则,使用户可以通过SSL VPN AC接口访问App server/API server,具体配置步骤如下。

[Device-security-policy-ip] rule name untrust-trust

[Device-security-policy-ip-5-untrust-trust] source-zone untrust

[Device-security-policy-ip-5-untrust-trust] destination-zone trust

[Device-security-policy-ip-5-untrust-trust] source-ip-subnet 10.1.1.0 24

[Device-security-policy-ip-5-untrust-trust] destination-ip-host 30.3.3.3

[Device-security-policy-ip-5-untrust-trust] action pass

[Device-security-policy-ip-5-untrust-trust] quit

# 配置名称为trust-untrust的安全策略规则,使App server/API server可以通过SSL VPN AC接口向用户发送报文,具体配置步骤如下。

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-6-trust-untrust] source-zone trust

[Device-security-policy-ip-6-trust-untrust] destination-zone untrust

[Device-security-policy-ip-6-trust-untrust] source-ip-host 30.3.3.3

[Device-security-policy-ip-6-trust-untrust] destination-ip-subnet 10.1.1.0 24

[Device-security-policy-ip-6-trust-untrust] action pass

[Device-security-policy-ip-6-trust-untrust] quit

[Device-security-policy-ip] quit

(6)     配置SDP网关,用于用户访问内网资源。

# 配置SDP网关gw的IP地址为1.1.1.2,端口号为2000。该SDP网关地址和端口需要在SDP控制器上注册。

[Device] sslvpn gateway gw

[Device-sslvpn-gateway-gw] ip address 1.1.1.2 port 2000

[Device-sslvpn-gateway-gw] service enable

[Device-sslvpn-gateway-gw] quit

# 配置并开启SDP功能。

[Device] trusted-access controller sdp

[Device-tac-sdp] sdp access-method ip-tunnel

[Device-tac-sdp] sdp api-access default deny

[Device-tac-sdp] spa enable

[Device-tac-sdp] sdp enable

(7)     配置SDP访问实例,为用户提供IP接入服务。

# 配置SDP访问实例default引用SDP网关gw。

[Device] sslvpn context default

[Device-sslvpn-context-default] gateway gw

[Device-sslvpn-context-default] ip-tunnel interface sslvpn-ac 1

[Device-sslvpn-context-default] quit

(8)     配置云平台连接功能,用于SDP网关和SDP控制器之间进行通信。

# 配置云平台连接功能,实现SDP网关和SDP控制器建立云管道连接,其中www.sdpexample.com和2.2.2.10为SDP控制器的域名和IP地址。

[Device] ip host www.sdpexample.com 2.2.2.10

[Device] cloud-management server domain www.sdpexample.com

[Device] cloud-management server port 18002

[Device] cloud-management keepalive 10

(9)     开启云平台连接功能所需的协议。

# 开启RESTful、Netconf、HTTP以及HTTPS协议,用于SDP控制器与SDP网关之间进行信息交互。

[Device] restful http enable

[Device] restful https enable

[Device] netconf soap http enable

[Device] netconf soap https enable

[Device] ip http enable

[Device] ip https enable

(10)     由于SDP网关和SDP控制器之间不需要进行SPA认证,配置指定协议的报文不受安全策略控制,从而绕过SPA认证。

# 在SDP网关上配置SDP控制器可以通过如下协议访问本设备,不受安全策略限制。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] manage http inbound

[Device-GigabitEthernet1/0/2] manage https inbound

[Device-GigabitEthernet1/0/2] manage netconf-http inbound

[Device-GigabitEthernet1/0/2] manage netconf-https inbound

[Device-GigabitEthernet1/0/2] manage netconf-ssh inbound

[Device-GigabitEthernet1/0/2] manage ping inbound

[Device-GigabitEthernet1/0/2] manage snmp inbound

[Device-GigabitEthernet1/0/2] manage ssh inbound

[Device-GigabitEthernet1/0/2] manage telnet inbound

5. 验证配置

# 在Device上查看SDP网关状态,可见SDP控制器下发给用户的应用资源。

[Device] display trusted-access controller sdp assigned-resource app

Context                : default

App ID                 : 12345

App Name               : urlitem

AccessType             : ip-tunnel

HostName               : host1

Address                : Protocol    : HTTPS

IPv4Address : 30.3.3.3

Port        : 4430

# 在Device上查看SDP会话信息,可见SDP会话信息如下。

[Sysname] display trusted-access controller sdp session

User                   : user1

Authentication method  : SDP authentication

Context                : default

Created at             : 13:49:27 UTC Wed 04/14/2021

Latest                : 17:50:58 UTC Wed 04/14/2021

Allocated IPv4 address : 10.1.1.1

Session ID             : 1

Send rate              : 0.00 B/s

Receive rate           : 0.00 B/s

Sent bytes             : 0.00 B

Received bytes         : 0.00 B

Apps                   : app1/permit;

                         app2/deny;

                         

APIs                   : api1/permit;

                         api2/deny;

                         

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们