组网需求
企业网络如图1所示,企业希望公司外的移动办公用户能够通过SSL VPN隧道访问公司内网的各种资源。
图1 移动办公用户使用SecoClient通过SSL VPN隧道访问企业内网
数据规划
项目 |
数据 |
接口 |
接口号:GigabitEthe.NET 0/0/1 IP地址:1.1.1.1/24 安全区域:UntRust GigabitEthernet 0/0/2 IP地址:10.1.1.1/24 安全区域:Trust |
虚拟网关 |
虚拟网关名称:sslvpn 接口:GigabitEthernet 0/0/1 最大用户数:150 最大用户在线数:100 |
移动办公用户 |
用户名:user0001 密码:Password@123 |
网络扩展 |
网络扩展地址池:172.16.1.1~172.16.1.100 说明: 若内网服务器IP地址与网络扩展地址池的IP地址不在同一网段,需要在内网服务器上配置到网络扩展地址池的路由。 路由模式:手动 网络扩展用户可访问的内网网段:10.1.2.0/24 |
操作步骤
配置FW。
1. 配置接口IP地址和安全区域,完成网络基本参数配置。
a. 选择“网络 > 接口”。
b. 单击GE0/0/1对应的修改图标,按如下参数配置。
安全区域 |
untrust |
IPv4 |
|
IP地址 |
1.1.1.1/24 |
启用访问管理 |
HTTPS、Ping |
c. 单击“确定”。
d. 参考上述步骤按如下参数配置GE0/0/2接口。
安全区域 |
trust |
IPv4 |
|
IP地址 |
10.1.1.1/24 |
启用访问管理 |
HTTPS、Ping |
2. 配置安全策略。
a. 选择“策略 > 安全策略 > 安全策略”。
b. 单击“新建”,按如下参数配置从Untrust到Local的安全策略,允许移动办公用户登录SSL VPN虚拟网关。
名称 |
sslvpn_ul |
源安全区域 |
untrust |
目的安全区域 |
local |
服务 |
https, udp 说明: 如果修改了https端口号,则此处建议按照修改后的端口号开放安全策略。 |
动作 |
允许 |
c. 单击“确定”。
d. 参考上述步骤配置从Untrust到Trust的域间策略。
名称 |
sslvpn_ut |
源安全区域 |
untrust |
目的安全区域 |
trust |
源地址/地区 |
172.16.1.0/24 |
目的地址/地区 |
10.1.2.0/24 |
动作 |
允许 |
3. 配置到Internet的路由。
假设FW通往Internet的路由下一跳的IP地址为1.1.1.2。
a. 选择“网络 > 路由 > 静态路由”。
b. 单击“新建”,按如下参数配置。
目的地址/掩码 |
0.0.0.0/0.0.0.0 |
下一跳 |
1.1.1.2 |
c. 单击“确定”。
4. 创建用户和用户组。
a. 选择“对象 > 用户 > default”。
b. “场景”选择“SSL VPN接入”,“用户所在位置”选择“本地”。
c. 单击“新建”,选择“新建用户组”,创建research用户组。
d. 单击“确定”。
e. 单击“新建”,选择“新建用户”,创建用户user0001,密码Password@123。
f. 单击“确定”。
g. 单击“应用”。
5. 创建并配置SSL VPN虚拟网关。
a. 配置SSL VPN虚拟网关。
设置网关IP地址、用户认证方式和最大并发用户数等参数,然后单击“下一步”。
b. 配置SSL的版本以及加密套件,然后单击“下一步”。
此处使用缺省算法即可。
c. 选择要开启的业务,然后单击“下一步”。
d. 配置网络扩展,然后单击“下一步”。
e. 配置SSL VPN的角色授权/用户。
单击“角色授权列表”中default后的修改按钮图标,,选中“网络扩展”,然后单击“确定”。
f. 返回角色授权/用户界面,单击“完成”。
· 配置移动办公用户侧的SecoClient。
说明:SecoClient软件包获取方法:
打开SecoClient,进入主界面。
1、在“连接”对应的下拉列表框中,选择“新建连接”。
2、配置SSL VPN连接参数。
在“新建连接”窗口左侧导航栏中选中“SSL VPN”,并配置相关的连接参数,然后单击“确定”。
3、登录SSL VPN虚拟网关。
a.在“连接”下拉列表框中选择已经创建的SSL VPN连接,单击“连接”。
b.在登录界面输入用户名、密码。
勾选“自动”,表示存在多个虚拟网关时,系统会自动选择响应速度最快的虚拟网关建立SSL VPN隧道。只有一个网关的情况下,无需勾选“自动”单选框。
说明:在隧道建立过程中,SecoClient侧为了保证所连接VPN网关身份的真实性,增加了对VPN网关设备证书的校验过程,在证书校验失败时系统会有如下告警提示。如果您确认当前所要连接的VPN网关真实可靠,可以单击“继续”。如果对VPN网关身份存疑,可以单击“取消”。
c.单击“登录”,发起VPN连接。
VPN接入成功时,系统会在界面右下角进行提示。连接成功后移动办公用户就可以和企业内网用户一样访问内网资源了。
2.移动办公用户可以正常访问企业内网资源。
#
sysname FW
#
interface GigabitEthernet 0/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
service-manage https permit
service-manage ping permit
#
interface GigabitEthernet 0/0/2
undo shutdown
ip address 10.1.1.1 255.255.255.0
service-manage https permit
service-manage ping permit
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
#
aaa
domAIn default
service-type ssl-vpn
#
firewall zone trust
set priority 85
add interface GigabitEthernet 0/0/2
#
firewall zone untrust
set priority 5
add interface GigabitEthernet 0/0/1
#
v-gateway sslvpn interface GigabitEthernet 0/0/1 private
v-gateway sslvpn authentication-domain default
v-gateway sslvpn alias sslvpn
#
#****BEGIN***sslvpn**1****#
v-gateway sslvpn
basic
ssl version tlsv10 tlsv11 tlsv12
ssl timeout 5
ssl lifecycle 1440
ssl ciphersuit custom aes256-sha non-des-cbc3-sha aes128-sha
service
network-extension enable
network-extension keep-alive enable
network-extension keep-alive interval 120
network-extension netpool 172.16.1.1 172.16.1.100 255.255.255.0
netpool 172.16.1.1 default
network-extension mode manual
network-extension manual-route 10.1.2.0 255.255.255.0
security
policy-default-action permit vt-src-ip
certification cert-anonymous cert-field user-filter subject cn group-filter subject cn
certification cert-anonymous filter-policy permit-all
certification cert-challenge cert-field user-filter subject cn
certification user-cert-filter key-usage any
undo public-user enable
hostchecker
cachecleaner
role
role default condition all
role default network-extension enable
#
security-policy
rule name sslvpn_ul
source-zone untrust
destination-zone local
service https
action permit
rule name sslvpn_ut
source-zone untrust
destination-zone trust
source-address 172.16.1.0 mask 255.255.255.0
destination-address 10.1.2.0 mask 255.255.255.0
action permit
# 以下创建用户/组的配置保存于数据库,不在配置文件体现
user-manage group /default/research
user-manage user user0001
parent-group /default/research
password *********
本文源自华为官网。转载时请注明出处,谢谢。