• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

关于防火墙F1090做SSLVPN与IMC结合问题

2021-06-15提问
  • 0关注
  • -1收藏,245浏览
粉丝:4人 关注:4人

问题描述:

想问一下有这方面的教程吗,上官网的EIA配置视频里面没有找到这个。

组网及组网描述:


最佳答案

已采纳
粉丝:96人 关注:0人

好的谢谢大师!

COOSK琨琨 发表时间:2021-06-15
2 个回答
粉丝:8人 关注:4人

与IMC结合?你是要做什么?

就是在IMC上分配账号给sslvpn

COOSK琨琨 发表时间:2021-06-15
粉丝: 关注:

您好,请知:

需要使用IMC的EIA组件来和防火墙进行SSL VPN认证的联动。

以下是配置案例,请参考:

远程认证客户端:172.20.20.2

VPN网关PC端:172.20.20.1

VPN网关内网口:192.168.113.250

iMC192.168.113.12

虚接口AC0:172.16.1.1

SSL VPN采用基于用户的权限管理方法,可以根据用户的身份限制用户可以访问的资源。同一台SSL VPN网关上可以创建多个SSL VPN访问实例(SSL VPN context),每个SSL VPN访问实例包含多个策略组。策略组中定义了Web资源、TCP接入服务资源、IP接入服务资源等。策略组与用户组进行绑定,最后由3A服务器实现将用户动态的分配到不同的用户组。对于多个访问实例引用同一网关的情况,SSL VPN网关根据用户指定的域判断该用户所属的SSL VPN访问实例并实现最终的授权。

配置步骤

 

基础网络配置,保证设备之间路由可达。

[F1020]interface g1/0/1

ip address 172.20.20.1 255.255.255.0      #模拟公网地址

[F1020]interface Vlan-interface113

ip address 192.168.113.250 255.255.255.0  #实现内网互通

[F1020]interface SSLVPN-AC 0          #配置隧道虚接口地址

ip address 172.16.1.1 255.255.255.0

F1020缺省端口不允许转发报文,需要将相关接口加入安全域里面

[F1020]security-zone name Trust

[F1020-security-zone-Trust]import interface GigabitEthernet1/0/1

[F1020-security-zone-Trust]import interface SSLVPN-AC0

[F1020-security-zone-Trust]import interface Vlan-interface113

配修改安全域内部报文默认过滤规则为允许

[F1020]security-zone intra-zone default permit

创建高级ACL 3010        #可根据域间策略调整ACL配置

[F1020]acl advanced 3010

[F1020-acl-ipv4-adv-3010]rule 5 permit tcp

[F1020-acl-ipv4-adv-3010]rule 10 permit ip

配置域间策略,保证TrustLocal之间可以正常转发业务流量

[F1020-zone-pair-security-Trust-Local]dis this

zone-pair security source Trust destination Local

 packet-filter 3010

[F1020-zone-pair-security-Local-Trust]dis this

zone-pair security source Local destination Trust

 packet-filter 3010

配置PKIemo

[F1020]pki domain emo

指定PKI域证书使用的密钥对及密钥对的加密及验证算法

[F1020-pki-domain-emo]public-key rsa general name emo

导入PKI域所使用的CA证书ca.cer和服务器证书server.pfx,证书需要提前上传至设备根目录

[F1020]pki import domain emo der ca filename ca.cer

[F1020]pki import domain emo p12 local filename server.pfx

配置SSL服务器端策略emo,主要是指定SSL VPN隧道协商的加密方式并引用配置的PKIemo

[F1020]ssl server-policy emo

ssl server-policy emo

[F1020-ssl-server-policy-emo]pki-domain emo

[F1020-ssl-server-policy-emo]ciphersuite rsa_aes_128_cbc_sha

配置会话缓存数量

[F1020-ssl-server-policy-emo]session cachesize 1000

配置SSL VPN网关emo IP地址为172.20.20.1,并引用服务器端策略emo

[F1020]sslvpn gateway emo

[F1020-sslvpn-gateway-emo]ssl server-policy emo

[F1020-sslvpn-gateway-emo]ip address 172.20.20.1

开启网关服务

[F1020-sslvpn-gateway-emo]service enable

配置Radius方案emo,认证和授权服务器地址为iMC服务器地址,密钥和iMC侧配置保持一致,nas-ip使用内网IP地址

[F1020]radius scheme emo

[F1020-radius-emo]primary authentication 192.168.113.12

[F1020-radius-emo]primary accounting 192.168.113.12

[F1020-radius-emo]key authentication simple 123

[F1020-radius-emo]key accounting simple 123

[F1020-radius-emo]nas-ip 192.168.113.250

配置domain emo,并引用radius方案emo

[F1020]domain emo

[F1020-isp-emo]authentication sslvpn radius-scheme emo

 [F1020-isp-emo]authorization sslvpn radius-scheme emo

 [F1020-isp-emo]accounting sslvpn radius-scheme emo

配置隧道虚接口网关地址,后续客户端发往内网的报文均会经过该虚接口并进行解封装,确保内网服务器资源网段和该接口IP互通

[F1020]interface SSLVPN-AC 0        #终端虚网卡网关

[F1020-SSLVPN-AC0] ip address 172.16.1.1 255.255.255.0 

创建SSL VPN地址池,终端认证通过后从此地址池获取IP地址

[F1020]sslvpn ip address-pool vpnpool 172.16.1.2 172.16.1.10

开启设备的DHCP服务

[F1020]dhcp  enable

创建SSL VPN访问实例emo并引用VPN网关emo

[F1020]sslvpn context emo

[F1020-sslvpn-context-emo]gateway emo domain emo #多个实例引用同一网关时必须配置域名进行区分

配置SSL VPN访问实例使用ISPemo进行AAA认证

[F1020-sslvpn-context-emo]aaa domain emo

配置SSL VPN访问实例emo引用SSL VPN AC接口0

[F1020-sslvpn-context-emo]ip-tunnel interface SSLVPN-AC 0

配置SSL VPN访问实例emo引用地址组vpnpool

[F1020-sslvpn-context-emo]ip-tunnel address-pool vpnpool mask 24

配置终端使用的DNS地址

[F1020-sslvpn-context-emo]ip-tunnel dns-server primary 8.8.8.8

SSL VPN访问实例视图创建路由列表iplist,该列表的路由将会下发到认证客户端,添加需要通过VPN隧道访问的内网IP地址段

[F1020-sslvpn-context-emo]ip-route-list iplist

 [F1020-sslvpn-context-emo-route-list-iplist] include 5.5.5.0 255.255.255.0

 [F1020-sslvpn-context-emo-route-list-iplist] include 172.16.1.0 255.255.255.0

 [F1020-sslvpn-context-emo-route-list-iplist] include 192.168.113.0 255.255.255.0

创建SSL VPN策略组emo并引用下发给客户端的路由列表

[F1020-sslvpn-context-emo]policy-group emo

策略组缺省不允许任何报文通过VPN隧道,所以需要包过滤

[F1020-sslvpn-context-emo-policy-group-emo]filter ip-tunnel acl 3010

[F1020-sslvpn-context-emo-policy-group-emo] filter web-access acl 3010

[F1020-sslvpn-context-emo-policy-group-emo]filter tcp-access acl 3010

[F1020-sslvpn-context-emo-policy-group-emo]ip-tunnel access-route ip-route-list iplist

配置缺省策略组,不配置用户组时使用该策略组

[F1020-sslvpn-context-emo]default-policy-group emo

开启SSL VPN访问实例

[F1020-sslvpn-context-emo]service  enable

配置用户组emo,授权给该用户组的策略组为emo,可配置多个

[F1020-ugroup-emo]authorization-attribute sslvpn-policy-group emo

中间三层设备需要配置静态路由保证iMC可以和172.16.1.0网段互通(172.20.20网段和192.168.113.0网段不通)。

[h3cser]ip route-static 172.16.1.0 24 192.168.113.250

IMC侧配置

创建SSL VPN接入策略,如果不下发用户组就使用设备context视图配置的缺省策略组,如果下发用户组就使用该用户组对应的策略组。

创建接入服务并引用接入策略,服务后缀需要与设备配置的radius scheme保持一致,可以不同条件增加接入场景。

增加接入设备,与设备侧配置保持一致

创建接入用户并引用SSL VPN接入服务

iNode客户端配置

网关:172.20.20.1,用户名不需要输入@后缀,当有多个域的时候,用户需要从中选取一个,不同域对应不同的访问实例。

点击上线

cmd命令行窗口输入route printPC路由表会多出iplist里面配置的路由。

ip-route-list iplist

  include 5.5.5.0 255.255.255.0

  include 172.16.1.0 255.255.255.0

  include 192.168.113.0 255.255.255.0

PC获取到的vpnpool地址池里面的地址

PC侧可以访问内网资源

好的谢谢大师!

COOSK琨琨 发表时间:2021-06-15

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明