組網(wǎng)需求
企業(yè)網(wǎng)絡(luò)如圖1所示,企業(yè)希望公司外的移動辦公用戶能夠通過SSL VPN隧道訪問公司內(nèi)網(wǎng)的各種資源。
圖1 移動辦公用戶使用SecoClient通過SSL VPN隧道訪問企業(yè)內(nèi)網(wǎng)
數(shù)據(jù)規(guī)劃
|
項目 |
數(shù)據(jù) |
|
接口 |
接口號:GigabitEthe.NET 0/0/1 IP地址:1.1.1.1/24 安全區(qū)域:Untrust GigabitEthernet 0/0/2 IP地址:10.1.1.1/24 安全區(qū)域:Trust |
|
虛擬網(wǎng)關(guān) |
虛擬網(wǎng)關(guān)名稱:sslvpn 接口:GigabitEthernet 0/0/1 最大用戶數(shù):150 最大用戶在線數(shù):100 |
|
移動辦公用戶 |
用戶名:user0001 密碼:Password@123 |
|
網(wǎng)絡(luò)擴展 |
網(wǎng)絡(luò)擴展地址池:172.16.1.1~172.16.1.100 說明: 若內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)絡(luò)擴展地址池的IP地址不在同一網(wǎng)段,需要在內(nèi)網(wǎng)服務(wù)器上配置到網(wǎng)絡(luò)擴展地址池的路由。 路由模式:手動 網(wǎng)絡(luò)擴展用戶可訪問的內(nèi)網(wǎng)網(wǎng)段:10.1.2.0/24 |
操作步驟
配置FW。
1. 配置接口IP地址和安全區(qū)域,完成網(wǎng)絡(luò)基本參數(shù)配置。
a. 選擇“網(wǎng)絡(luò) > 接口”。
b. 單擊GE0/0/1對應(yīng)的修改圖標,按如下參數(shù)配置。
|
安全區(qū)域 |
untrust |
|
IPv4 |
|
|
IP地址 |
1.1.1.1/24 |
|
啟用訪問管理 |
HTTPS、Ping |
c. 單擊“確定”。
d. 參考上述步驟按如下參數(shù)配置GE0/0/2接口。
|
安全區(qū)域 |
trust |
|
IPv4 |
|
|
IP地址 |
10.1.1.1/24 |
|
啟用訪問管理 |
HTTPS、Ping |
2. 配置安全策略。
a. 選擇“策略 > 安全策略 > 安全策略”。
b. 單擊“新建”,按如下參數(shù)配置從Untrust到Local的安全策略,允許移動辦公用戶登錄SSL VPN虛擬網(wǎng)關(guān)。
|
名稱 |
sslvpn_ul |
|
源安全區(qū)域 |
untrust |
|
目的安全區(qū)域 |
local |
|
服務(wù) |
https, udp 說明: 如果修改了https端口號,則此處建議按照修改后的端口號開放安全策略。 |
|
動作 |
允許 |
c. 單擊“確定”。
d. 參考上述步驟配置從Untrust到Trust的域間策略。
|
名稱 |
sslvpn_ut |
|
源安全區(qū)域 |
untrust |
|
目的安全區(qū)域 |
trust |
|
源地址/地區(qū) |
172.16.1.0/24 |
|
目的地址/地區(qū) |
10.1.2.0/24 |
|
動作 |
允許 |
3. 配置到Internet的路由。
假設(shè)FW通往Internet的路由下一跳的IP地址為1.1.1.2。
a. 選擇“網(wǎng)絡(luò) > 路由 > 靜態(tài)路由”。
b. 單擊“新建”,按如下參數(shù)配置。
|
目的地址/掩碼 |
0.0.0.0/0.0.0.0 |
|
下一跳 |
1.1.1.2 |
c. 單擊“確定”。
4. 創(chuàng)建用戶和用戶組。
a. 選擇“對象 > 用戶 > default”。
b. “場景”選擇“SSL VPN接入”,“用戶所在位置”選擇“本地”。
c. 單擊“新建”,選擇“新建用戶組”,創(chuàng)建research用戶組。
d. 單擊“確定”。
e. 單擊“新建”,選擇“新建用戶”,創(chuàng)建用戶user0001,密碼Password@123。
f. 單擊“確定”。
g. 單擊“應(yīng)用”。
5. 創(chuàng)建并配置SSL VPN虛擬網(wǎng)關(guān)。
a. 配置SSL VPN虛擬網(wǎng)關(guān)。
設(shè)置網(wǎng)關(guān)IP地址、用戶認證方式和最大并發(fā)用戶數(shù)等參數(shù),然后單擊“下一步”。
b. 配置SSL的版本以及加密套件,然后單擊“下一步”。
此處使用缺省算法即可。
c. 選擇要開啟的業(yè)務(wù),然后單擊“下一步”。
d. 配置網(wǎng)絡(luò)擴展,然后單擊“下一步”。
e. 配置SSL VPN的角色授權(quán)/用戶。
單擊“角色授權(quán)列表”中default后的修改按鈕圖標,,選中“網(wǎng)絡(luò)擴展”,然后單擊“確定”。
f. 返回角色授權(quán)/用戶界面,單擊“完成”。
· 配置移動辦公用戶側(cè)的SecoClient。
說明:SecoClient軟件包獲取方法:
- 從所在企業(yè)的網(wǎng)絡(luò)管理人員處直接獲取軟件安裝包,上傳并安裝到您的終端設(shè)備上。
- 使用具有SecoClient客戶端軟件安裝包下載權(quán)限的賬號登錄華為技術(shù)支持網(wǎng)站下載軟件安裝包。登錄網(wǎng)站http://support.huawei.com/enterprise,進入“企業(yè)網(wǎng)絡(luò) > 安全 > 防火墻&VPN網(wǎng)關(guān) >(選擇款型)”,選擇“軟件”和版本,下載對應(yīng)版本的軟件安裝包。
- 如果企業(yè)網(wǎng)絡(luò)管理員在企業(yè)的出口網(wǎng)關(guān)上部署了SSL VPN虛擬網(wǎng)關(guān),還可以通過瀏覽器登錄SSL VPN虛擬網(wǎng)關(guān)頁面下載軟件安裝包。
打開SecoClient,進入主界面。
1、在“連接”對應(yīng)的下拉列表框中,選擇“新建連接”。
2、配置SSL VPN連接參數(shù)。
在“新建連接”窗口左側(cè)導(dǎo)航欄中選中“SSL VPN”,并配置相關(guān)的連接參數(shù),然后單擊“確定”。
3、登錄SSL VPN虛擬網(wǎng)關(guān)。
a.在“連接”下拉列表框中選擇已經(jīng)創(chuàng)建的SSL VPN連接,單擊“連接”。
b.在登錄界面輸入用戶名、密碼。
勾選“自動”,表示存在多個虛擬網(wǎng)關(guān)時,系統(tǒng)會自動選擇響應(yīng)速度最快的虛擬網(wǎng)關(guān)建立SSL VPN隧道。只有一個網(wǎng)關(guān)的情況下,無需勾選“自動”單選框。
說明:在隧道建立過程中,SecoClient側(cè)為了保證所連接VPN網(wǎng)關(guān)身份的真實性,增加了對VPN網(wǎng)關(guān)設(shè)備證書的校驗過程,在證書校驗失敗時系統(tǒng)會有如下告警提示。如果您確認當前所要連接的VPN網(wǎng)關(guān)真實可靠,可以單擊“繼續(xù)”。如果對VPN網(wǎng)關(guān)身份存疑,可以單擊“取消”。
c.單擊“登錄”,發(fā)起VPN連接。
VPN接入成功時,系統(tǒng)會在界面右下角進行提示。連接成功后移動辦公用戶就可以和企業(yè)內(nèi)網(wǎng)用戶一樣訪問內(nèi)網(wǎng)資源了。
檢查配置結(jié)果
- 登錄FW,選擇“網(wǎng)絡(luò) > SSL VPN > 監(jiān)控”,查看用戶在線列表,發(fā)現(xiàn)user0001用戶已經(jīng)登錄成功。
2.移動辦公用戶可以正常訪問企業(yè)內(nèi)網(wǎng)資源。
配置腳本
#
sysname FW
#
interface GigabitEthernet 0/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
service-manage https permit
service-manage ping permit
#
interface GigabitEthernet 0/0/2
undo shutdown
ip address 10.1.1.1 255.255.255.0
service-manage https permit
service-manage ping permit
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
#
aaa
domain default
service-type ssl-vpn
#
firewall zone trust
set priority 85
add interface GigabitEthernet 0/0/2
#
firewall zone untrust
set priority 5
add interface GigabitEthernet 0/0/1
#
v-gateway sslvpn interface GigabitEthernet 0/0/1 private
v-gateway sslvpn authentication-domain default
v-gateway sslvpn alias sslvpn
#
#****BEGIN***sslvpn**1****#
v-gateway sslvpn
basic
ssl version tlsv10 tlsv11 tlsv12
ssl timeout 5
ssl lifecycle 1440
ssl ciphersuit custom aes256-sha non-des-cbc3-sha aes128-sha
service
network-extension enable
network-extension keep-alive enable
network-extension keep-alive interval 120
network-extension netpool 172.16.1.1 172.16.1.100 255.255.255.0
netpool 172.16.1.1 default
network-extension mode manual
network-extension manual-route 10.1.2.0 255.255.255.0
security
policy-default-action permit vt-src-ip
certification cert-anonymous cert-field user-filter subject cn group-filter subject cn
certification cert-anonymous filter-policy permit-all
certification cert-challenge cert-field user-filter subject cn
certification user-cert-filter key-usage any
undo public-user enable
hostchecker
cachecleaner
role
role default condition all
role default network-extension enable
#
security-policy
rule name sslvpn_ul
source-zone untrust
destination-zone local
service https
action permit
rule name sslvpn_ut
source-zone untrust
destination-zone trust
source-address 172.16.1.0 mask 255.255.255.0
destination-address 10.1.2.0 mask 255.255.255.0
action permit
# 以下創(chuàng)建用戶/組的配置保存于數(shù)據(jù)庫,不在配置文件體現(xiàn)
user-manage group /default/research
user-manage user user0001
parent-group /default/research
password *********
本文源自華為官網(wǎng)。轉(zhuǎn)載時請注明出處,謝謝。
