组网需求

企业网络如图1所示，企业希望公司外的移动办公用户能够通过SSL VPN隧道访问公司内网的各种资源。

图1 移动办公用户使用SecoClient通过SSL VPN隧道访问企业内网

数据规划

操作步骤

配置FW。

1. 配置接口IP地址和安全区域，完成网络基本参数配置。

a. 选择“网络 > 接口”。

b. 单击GE0/0/1对应的修改图标，按如下参数配置。

c. 单击“确定”。

d. 参考上述步骤按如下参数配置GE0/0/2接口。

2. 配置安全策略。

a. 选择“策略 > 安全策略 > 安全策略”。

b. 单击“新建”，按如下参数配置从Untrust到Local的安全策略，允许移动办公用户登录SSL VPN虚拟网关。

c. 单击“确定”。

d. 参考上述步骤配置从Untrust到Trust的域间策略。

3. 配置到Internet的路由。

假设FW通往Internet的路由下一跳的IP地址为1.1.1.2。

a. 选择“网络 > 路由 > 静态路由”。

b. 单击“新建”，按如下参数配置。

c. 单击“确定”。

4. 创建用户和用户组。

a. 选择“对象 > 用户 > default”。

b. “场景”选择“SSL VPN接入”，“用户所在位置”选择“本地”。

c. 单击“新建”，选择“新建用户组”，创建research用户组。

d. 单击“确定”。

e. 单击“新建”，选择“新建用户”，创建用户user0001，密码Password@123。

f. 单击“确定”。

g. 单击“应用”。

5. 创建并配置SSL VPN虚拟网关。

a. 配置SSL VPN虚拟网关。

设置网关IP地址、用户认证方式和最大并发用户数等参数，然后单击“下一步”。

b. 配置SSL的版本以及加密套件，然后单击“下一步”。

此处使用缺省算法即可。

c. 选择要开启的业务，然后单击“下一步”。

d. 配置网络扩展，然后单击“下一步”。

e. 配置SSL VPN的角色授权/用户。

单击“角色授权列表”中default后的修改按钮图标，，选中“网络扩展”，然后单击“确定”。

f. 返回角色授权/用户界面，单击“完成”。

· 配置移动办公用户侧的SecoClient。

说明：SecoClient软件包获取方法：

• 从所在企业的网络管理人员处直接获取软件安装包，上传并安装到您的终端设备上。
• 使用具有SecoClient客户端软件安装包下载权限的账号登录华为技术支持网站下载软件安装包。登录网站http://support.huawei.com/enterprise，进入“企业网络 > 安全 > 防火墙&VPN网关 >（选择款型）”，选择“软件”和版本，下载对应版本的软件安装包。
• 如果企业网络管理员在企业的出口网关上部署了SSL VPN虚拟网关，还可以通过浏览器登录SSL VPN虚拟网关页面下载软件安装包。

打开SecoClient，进入主界面。

1、在“连接”对应的下拉列表框中，选择“新建连接”。

2、配置SSL VPN连接参数。

在“新建连接”窗口左侧导航栏中选中“SSL VPN”，并配置相关的连接参数，然后单击“确定”。

3、登录SSL VPN虚拟网关。

a.在“连接”下拉列表框中选择已经创建的SSL VPN连接，单击“连接”。

b.在登录界面输入用户名、密码。

勾选“自动”，表示存在多个虚拟网关时，系统会自动选择响应速度最快的虚拟网关建立SSL VPN隧道。只有一个网关的情况下，无需勾选“自动”单选框。

说明：在隧道建立过程中，SecoClient侧为了保证所连接VPN网关身份的真实性，增加了对VPN网关设备证书的校验过程，在证书校验失败时系统会有如下告警提示。如果您确认当前所要连接的VPN网关真实可靠，可以单击“继续”。如果对VPN网关身份存疑，可以单击“取消”。

c.单击“登录”，发起VPN连接。

VPN接入成功时，系统会在界面右下角进行提示。连接成功后移动办公用户就可以和企业内网用户一样访问内网资源了。

检查配置结果

1. 登录FW，选择“网络 > SSL VPN > 监控”，查看用户在线列表，发现user0001用户已经登录成功。

2.移动办公用户可以正常访问企业内网资源。

配置脚本

#
sysname FW
#
interface GigabitEthernet 0/0/1
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
 service-manage https permit
 service-manage ping permit
#
interface GigabitEthernet 0/0/2
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
 service-manage https permit
 service-manage ping permit
#  
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
#
aaa
 domAIn default
  service-type ssl-vpn
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 0/0/2
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 0/0/1
#
 v-gateway sslvpn interface GigabitEthernet 0/0/1 private
 v-gateway sslvpn authentication-domain default
 v-gateway sslvpn alias sslvpn
#
#****BEGIN***sslvpn**1****#
v-gateway sslvpn
 basic
  ssl version tlsv10 tlsv11 tlsv12
  ssl timeout 5
  ssl lifecycle 1440
  ssl ciphersuit custom aes256-sha non-des-cbc3-sha aes128-sha
 service
  network-extension enable
  network-extension keep-alive enable
  network-extension keep-alive interval 120
  network-extension netpool 172.16.1.1 172.16.1.100 255.255.255.0
  netpool 172.16.1.1 default
  network-extension mode manual
  network-extension manual-route 10.1.2.0 255.255.255.0
 security
  policy-default-action permit vt-src-ip
  certification cert-anonymous cert-field user-filter subject cn group-filter subject cn
  certification cert-anonymous filter-policy permit-all
  certification cert-challenge cert-field user-filter subject cn
  certification user-cert-filter key-usage any
  undo public-user enable
 hostchecker
 cachecleaner
 role
  role default condition all
  role default network-extension enable
#
security-policy
 rule name sslvpn_ul
  source-zone untrust
  destination-zone local
  service https
  action permit
 rule name sslvpn_ut
  source-zone untrust
  destination-zone trust
  source-address 172.16.1.0 mask 255.255.255.0
  destination-address 10.1.2.0 mask 255.255.255.0
  action permit
# 以下创建用户/组的配置保存于数据库，不在配置文件体现
user-manage group /default/research
user-manage user user0001
 parent-group /default/research
 password *********

本文源自华为官网。转载时请注明出处，谢谢。