您好，请知：

以下是SSL VPN的配置举例，请参考：

4 SSL VPN典型配置举例

4.1  组网需求

在SSL VPN中，为了普通用户能够以HTTPS方式登录SSL VPN网关的Web页面，通过SSL VPN网关管理和访问企业内部资源，需要为SSL VPN网关申请证书，并启用SSL VPN服务。

在本配置举例中：

·     SSL VPN网关的地址为10.1.1.1/24，为SSL VPN网关和远程接入用户颁发证书的CA（Certificate Authority，证书颁发机构）地址为10.2.1.1/24，CA名称为CA server。

·     对SSL VPN用户进行RADIUS认证，由一台CAMS/iMC服务器（IP地址为10.153.10.131/24）担当RADIUS认证服务器。SSL VPN用户通过认证后，可以访问公司内部提供技术网站（IP地址为10.153.1.223）；可以访问10.153.2.0/24网段中的所有主机，并可以通过FTP协议快捷访问Security Server（IP地址为10.153.2.25）。

·     提供一个公共账号usera，对其进行本地认证（不进行RADIUS认证），且最多允许1个用户同时使用该公共账号登录。用户通过该公共账号登录SSL VPN后，可以访问公司内部主机10.153.70.120的共享桌面。

·     SSL VPN域的默认认证方式为RADIUS认证，并且启用校验码验证。

图4-1 SSL VPN配置组网图

4.2  配置步骤

4.2.1  配置SSL VPN服务

(1)     配置PKI实体en。

步骤1：在导航栏中选择“证书管理 > PKI实体”

步骤2：单击<新建>按钮。

步骤3：如下图所示，输入PKI实体名称为“en”，输入通用名为“http-server”。

步骤4：单击<确定>按钮完成操作。

图4-2 配置PKI实体en

(2)     配置PKI域sslvpn。

步骤1：在导航栏中选择“证书管理 > PKI域”。

步骤2：单击<新建>按钮。

步骤3：进行如下配置，如下图所示。

·     输入PKI域名称为“sslvpn”。

·     输入CA标识符为“CA server”。

·     选择本端实体为“en”。

·     选择注册机构为“RA”。

·     输入证书申请URL为“http://10.2.1.1/certsrv/mscep/mscep.dll”。

·     选择证书申请方式为“Manual”。

步骤4：单击<确定>按钮，弹出的对话框提示“未指定根证书指纹，在获取CA证书时将不对根证书指纹进行验证，确认要继续吗？”

步骤5：单击对话框中的<确定>按钮完成操作。

图4-3 配置PKI域sslvpn

(3)     生成RSA密钥对。

步骤1：在导航栏中选择“证书管理 > 证书”。

步骤2：单击<创建密钥>按钮。

步骤3：如下图所示，输入密钥长度为“1024”。

步骤4：单击<确定>按钮开始生成RSA密钥对。

图4-4 生成RSA密钥对

(4)     获取CA证书至本地。

步骤1：生成密钥对成功后，在证书列表页面单击<获取证书>按钮。

步骤2：进行如下配置，如下图所示。

·     选择PKI域为“sslvpn”。

·     选择证书类型为“CA”。

步骤3：单击<确定>按钮开始获取CA证书。

图4-5 获取CA证书至本地

(5)     申请本地证书。

步骤1：获取CA证书成功后，在证书列表页面单击<申请证书>按钮。

步骤2：如下图所示，选择PKI域名称为“sslvpn”。

图4-6 申请本地证书

步骤3：单击<确定>按钮开始申请本地证书，弹出“证书申请已提交”的提示框。

步骤4：单击提示框中的的<确定>按钮完成操作。

步骤5：完成上述配置后，在证书列表页面可以看到获取到的CA证书和本地证书，如下图所示。

图4-7 获取到的CA证书和本地证书

(6)     启用SSL VPN，并配置SSL VPN服务的端口号和使用的PKI域。

步骤1：在导航栏中选择“VPN > SSL VPN > 服务管理”。

步骤2：进行如下配置，如下图所示。

·     选中“启用SSL VPN”前的复选框。

·     输入端口为“443”。

·     选择PKI域为“sslvpn”。

步骤3：单击<确定>按钮完成操作。

图4-8 配置SSL VPN服务

4.2.2  配置SSL VPN访问资源

(1)     配置访问公司内部技术网站的Web代理服务器资源tech。

步骤1：在导航栏中选择“VPN > SSL VPN > 资源管理 > Web代理”。

步骤2：单击<新建>按钮。

步骤3：进入如下配置，如下图所示。

·     输入资源名称为“tech”。

·     输入站点地址为“http://10.153.1.223/”。

步骤4：单击<确定>按钮完成操作。

图4-9 配置Web代理服务器资源

(2)     配置主机10.153.70.120的桌面共享服务资源desktop。

步骤1：在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

步骤2：单击“桌面共享”页签。

步骤3：单击<新建>按钮。

步骤4：进入如下配置，如下图所示。

·     输入资源名称为“desktop”。

·     输入远程主机为“10.153.70.120”。

·     输入服务端口为“3389”。

·     输入本地主机为“127.0.0.2”。

·     输入本地端口为“20000”。

·     输入命令行为“mstsc /v 127.0.0.2:20000”。

步骤5：单击<确定>按钮完成操作。

图4-10 配置桌面共享服务资源

(3)     配置IP网络资源的全局参数。

步骤1：在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”，进入“全局配置”页签的页面。

步骤2：进行如下配置，如下图所示。

·     输入起始IP为“192.168.0.1”。

·     输入终止IP为“192.168.0.100”。

·     输入子网掩码为“24”。

·     输入网关地址为“192.168.0.101”。

步骤3：单击<确定>按钮完成操作。

图4-11 配置IP网络资源的全局参数

(4)     配置用户通过IP网络接入方式可以访问的主机资源sec_srv。

步骤1：单击“主机配置”页签。

步骤2：单击<新建>按钮。

步骤3：输入资源名为“sec_srv”。

步骤4：在“允许访问的网络服务”中单击<新建>按钮。

步骤5：在弹出的窗口中进行如下配置，如下图所示。

·     输入目的地址为“10.153.2.0”。

·     输入子网掩码为“24”。

·     选择协议类型为“IP”。

·     输入描述信息为“10.153.2.0/24”。

步骤6：单击<确定>按钮向该主机资源中添加一个允许访问的网络服务。

图4-12 配置允许访问的网络访问

步骤7：在“快捷方式”中单击<新建>按钮。

步骤8：在弹出的窗口中进行如下配置，如下图所示。

·     输入快捷方式名称为“ftp_security-server”。

·     输入快捷方式命令为“ftp 10.153.2.25”。

步骤9：单击<确定>按钮向该主机资源中添加一个快捷方式。

图4-13 配置允许访问的网络访问

步骤10：完成上述配置后的新建主机资源页面如下图所示，单击<确定>按钮完成操作。

图4-14 配置主机资源

(5)     配置资源组res_gr1，包含资源desktop。

步骤1：在导航栏中选择“VPN > SSL VPN > 资源管理 > 资源组”。

步骤2：单击<新建>按钮。

步骤3：进行如下配置，如下图所示。

·     输入资源组名为“res_gr1”。

·     在可用资源中选中“desktop”，单击“<<”按钮。

步骤4：单击<确定>按钮完成操作。

图4-15 配置资源组res_gr1

(6)     配置资源组res_gr2，包含资源tech和sec_srv。

步骤1：在资源组列表页面单击<新建>按钮。

步骤2：进行如下配置，如下图所示。

·     输入资源组名为“res_gr2”。

·     在可用资源中选中“sec_srv”和“tech”，单击“<<”按钮。

步骤3：单击<确定>按钮完成操作。

图4-16 配置资源组res_gr2

4.2.3  配置SSL VPN用户

(1)     配置本地用户usera。

步骤1：在导航栏中选择“VPN > SSL VPN > 用户管理 > 本地用户”。

步骤2：单击<新建>按钮。

步骤3：进行如下配置，如下图所示。

·     输入用户名为“usera”。

·     输入用户密码为“passworda”。

·     输入密码确认为“passworda”。

·     选中“启用公共账号”前的复选框。

·     输入公共账号允许登录的最大用户数为“1”。

·     选择用户状态为“允许”。

步骤4：单击<确定>按钮完成操作。

图4-17 配置本地用户usera

(2)     配置用户组user_gr1，包含资源组res_gr1和本地用户usera。

步骤1：在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户组”。

步骤2：单击<新建>按钮。

步骤3：进行如下配置，如下图所示。

·     输入用户组名为“user_gr1”。

·     在可用资源组中选中“res_gr1”，单击“<<”按钮。

·     在可用本地用户中选中“usera”，单击“<<”按钮。

步骤4：单击<确定>按钮完成操作。

图4-18 配置用户组user_gr1

(3)     配置用户组user_gr2，包含资源组res_gr2。

步骤1：在用户组列表页面单击<新建>按钮。

步骤2：进行如下配置，如下图所示。

·     输入用户组名为“user_gr2”。

·     在可用资源组中选中“res_gr2”，单击“<<”按钮。

步骤3：单击<确定>按钮完成操作。

图4-19 配置用户组user_gr2

4.2.4  配置SSL VPN域

(1)     配置SSL VPN域的默认认证方式为RADIUS认证，并启用校验码验证。

步骤1：在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”。

步骤2：进行如下配置，如下图所示。

·     选中“启用校验码验证”前的复选框。

·     选择默认认证方式为“RADIUS认证”。

步骤3：单击<确定>按钮完成操作。

图4-20 配置域策略

(2)     配置RADIUS方案system。

步骤1：在导航栏中选择“用户管理 > RADIUS”。

步骤2：单击<新建>按钮。

步骤3：进行如下配置。

·     输入方案名称为“system”。

·     选择服务类型为“Extended”。

·     选择用户名格式为“不带域名”。

步骤4：在RADIUS服务器配置中单击<添加>按钮。

步骤5：在弹出的页面上进行如下配置，如下图所示。

·     选择服务器类型为“主认证服务器”。

·     输入IP地址为“10.153.10.131”。

·     输入端口为“1812”。

·     输入密钥为“expert”。

·     输入确认密钥为“expert”。

步骤6：单击<确定>按钮向RADIUS方案中添加一个主认证服务器。

图4-21 配置主认证服务器

步骤7：完成上述配置后的新建RADIUS方案页面如下图所示，单击<确定>按钮完成操作。

图4-22 配置RADIUS方案system

(3)     对SSL VPN域启用RADIUS认证。

步骤1：在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

步骤2：单击“RADIUS认证”页签。

步骤3：如下图所示，选中“启用RADIUS认证”前的复选框。

步骤4：单击<确定>按钮完成操作。

图4-23 启用RADIUS认证

4.3  配置结果验证

完成上述配置后，SSL VPN用户在其主机上启动浏览器，在浏览器的地址栏中输入“https://10.1.1.1/svpn/”后回车，进入SSL VPN的登录页面，如下图所示，可以看到默认的认证方式（即类别）为RADIUS，并且需要输入验证码。

图4-24 SSL VPN登录页面

用户使用公共账号usera登录SSL VPN，登录时类别参数设置为“Local”。usera登录SSL VPN后，可以看到其可访问的资源desktop，如图4-25所示。单击此资源名称，即可弹出如图4-26所示的窗口，访问指定主机的共享桌面。

图4-25 公共账号usera可访问的资源

图4-26 访问桌面共享资源

假设RADIUS服务器上配置了属于用户组“user_gr2”的RADIUS用户“userb”，用户使用该账号登录SSL VPN，登录时类别参数采用默认值“RADIUS”。userb登录SSL VPN后，可以看到其可访问的资源包括有Web站点资源tech、10.153.2.0/24网段的所有主机，以及通过FTP访问Security Server，如图4-27所示。单击tech资源名称，即可弹出技术网站的访问窗口；单击快捷方式ftp_security-server，即可弹出如图4-28所示的窗口，通过FTP协议访问Security Server。

图4-27 非公共账号可访问的资源

图4-28 访问IP网络资源