最佳答案
您好,请知:
需要使用IMC的EIA组件来和防火墙进行SSL VPN认证的联动。
以下是配置案例,请参考:
远程认证客户端:172.20.20.2
VPN网关PC端:172.20.20.1
VPN网关内网口:192.168.113.250
iMC:192.168.113.12
虚接口AC0:172.16.1.1
SSL VPN采用基于用户的权限管理方法,可以根据用户的身份限制用户可以访问的资源。同一台SSL VPN网关上可以创建多个SSL VPN访问实例(SSL VPN context),每个SSL VPN访问实例包含多个策略组。策略组中定义了Web资源、TCP接入服务资源、IP接入服务资源等。策略组与用户组进行绑定,最后由3A服务器实现将用户动态的分配到不同的用户组。对于多个访问实例引用同一网关的情况,SSL VPN网关根据用户指定的域判断该用户所属的SSL VPN访问实例并实现最终的授权。
基础网络配置,保证设备之间路由可达。
[F1020]interface g1/0/1
ip address 172.20.20.1 255.255.255.0 #模拟公网地址
[F1020]interface Vlan-interface113
ip address 192.168.113.250 255.255.255.0 #实现内网互通
[F1020]interface SSLVPN-AC 0 #配置隧道虚接口地址
ip address 172.16.1.1 255.255.255.0
F1020缺省端口不允许转发报文,需要将相关接口加入安全域里面
[F1020]security-zone name Trust
[F1020-security-zone-Trust]import interface GigabitEthernet1/0/1
[F1020-security-zone-Trust]import interface SSLVPN-AC0
[F1020-security-zone-Trust]import interface Vlan-interface113
配修改安全域内部报文默认过滤规则为允许
[F1020]security-zone intra-zone default permit
创建高级ACL 3010 #可根据域间策略调整ACL配置
[F1020]acl advanced 3010
[F1020-acl-ipv4-adv-3010]rule 5 permit tcp
[F1020-acl-ipv4-adv-3010]rule 10 permit ip
配置域间策略,保证Trust和Local之间可以正常转发业务流量
[F1020-zone-pair-security-Trust-Local]dis this
zone-pair security source Trust destination Local
packet-filter 3010
[F1020-zone-pair-security-Local-Trust]dis this
zone-pair security source Local destination Trust
packet-filter 3010
配置PKI域emo
[F1020]pki domain emo
指定PKI域证书使用的密钥对及密钥对的加密及验证算法
[F1020-pki-domain-emo]public-key rsa general name emo
导入PKI域所使用的CA证书ca.cer和服务器证书server.pfx,证书需要提前上传至设备根目录
[F1020]pki import domain emo der ca filename ca.cer
[F1020]pki import domain emo p12 local filename server.pfx
配置SSL服务器端策略emo,主要是指定SSL VPN隧道协商的加密方式并引用配置的PKI域emo
[F1020]ssl server-policy emo
ssl server-policy emo
[F1020-ssl-server-policy-emo]pki-domain emo
[F1020-ssl-server-policy-emo]ciphersuite rsa_aes_128_cbc_sha
配置会话缓存数量
[F1020-ssl-server-policy-emo]session cachesize 1000
配置SSL VPN网关emo, IP地址为172.20.20.1,并引用服务器端策略emo
[F1020]sslvpn gateway emo
[F1020-sslvpn-gateway-emo]ssl server-policy emo
[F1020-sslvpn-gateway-emo]ip address 172.20.20.1
开启网关服务
[F1020-sslvpn-gateway-emo]service enable
配置Radius方案emo,认证和授权服务器地址为iMC服务器地址,密钥和iMC侧配置保持一致,nas-ip使用内网IP地址
[F1020]radius scheme emo
[F1020-radius-emo]primary authentication 192.168.113.12
[F1020-radius-emo]primary accounting 192.168.113.12
[F1020-radius-emo]key authentication simple 123
[F1020-radius-emo]key accounting simple 123
[F1020-radius-emo]nas-ip 192.168.113.250
配置domain emo,并引用radius方案emo
[F1020]domain emo
[F1020-isp-emo]authentication sslvpn radius-scheme emo
[F1020-isp-emo]authorization sslvpn radius-scheme emo
[F1020-isp-emo]accounting sslvpn radius-scheme emo
配置隧道虚接口网关地址,后续客户端发往内网的报文均会经过该虚接口并进行解封装,确保内网服务器资源网段和该接口IP互通
[F1020]interface SSLVPN-AC 0 #终端虚网卡网关
[F1020-SSLVPN-AC0] ip address 172.16.1.1 255.255.255.0
创建SSL VPN地址池,终端认证通过后从此地址池获取IP地址
[F1020]sslvpn ip address-pool vpnpool 172.16.1.2 172.16.1.10
开启设备的DHCP服务
[F1020]dhcp enable
创建SSL VPN访问实例emo并引用VPN网关emo
[F1020]sslvpn context emo
[F1020-sslvpn-context-emo]gateway emo domain emo #多个实例引用同一网关时必须配置域名进行区分
配置SSL VPN访问实例使用ISP域emo进行AAA认证
[F1020-sslvpn-context-emo]aaa domain emo
配置SSL VPN访问实例emo引用SSL VPN AC接口0
[F1020-sslvpn-context-emo]ip-tunnel interface SSLVPN-AC 0
配置SSL VPN访问实例emo引用地址组vpnpool
[F1020-sslvpn-context-emo]ip-tunnel address-pool vpnpool mask 24
配置终端使用的DNS地址
[F1020-sslvpn-context-emo]ip-tunnel dns-server primary 8.8.8.8
在SSL VPN访问实例视图创建路由列表iplist,该列表的路由将会下发到认证客户端,添加需要通过VPN隧道访问的内网IP地址段
[F1020-sslvpn-context-emo]ip-route-list iplist
[F1020-sslvpn-context-emo-route-list-iplist] include 5.5.5.0 255.255.255.0
[F1020-sslvpn-context-emo-route-list-iplist] include 172.16.1.0 255.255.255.0
[F1020-sslvpn-context-emo-route-list-iplist] include 192.168.113.0 255.255.255.0
创建SSL VPN策略组emo并引用下发给客户端的路由列表
[F1020-sslvpn-context-emo]policy-group emo
策略组缺省不允许任何报文通过VPN隧道,所以需要包过滤
[F1020-sslvpn-context-emo-policy-group-emo]filter ip-tunnel acl 3010
[F1020-sslvpn-context-emo-policy-group-emo] filter web-access acl 3010
[F1020-sslvpn-context-emo-policy-group-emo]filter tcp-access acl 3010
[F1020-sslvpn-context-emo-policy-group-emo]ip-tunnel access-route ip-route-list iplist
配置缺省策略组,不配置用户组时使用该策略组
[F1020-sslvpn-context-emo]default-policy-group emo
开启SSL VPN访问实例
[F1020-sslvpn-context-emo]service enable
配置用户组emo,授权给该用户组的策略组为emo,可配置多个
[F1020-ugroup-emo]authorization-attribute sslvpn-policy-group emo
中间三层设备需要配置静态路由保证iMC可以和172.16.1.0网段互通(172.20.20网段和192.168.113.0网段不通)。
[h3cser]ip route-static 172.16.1.0 24 192.168.113.250
IMC侧配置
创建SSL VPN接入策略,如果不下发用户组就使用设备context视图配置的缺省策略组,如果下发用户组就使用该用户组对应的策略组。
创建接入服务并引用接入策略,服务后缀需要与设备配置的radius scheme保持一致,可以不同条件增加接入场景。
增加接入设备,与设备侧配置保持一致
创建接入用户并引用SSL VPN接入服务
iNode客户端配置
网关:172.20.20.1,用户名不需要输入@后缀,当有多个域的时候,用户需要从中选取一个,不同域对应不同的访问实例。
点击上线
cmd命令行窗口输入route print,PC路由表会多出iplist里面配置的路由。
ip-route-list iplist
include 5.5.5.0 255.255.255.0
include 172.16.1.0 255.255.255.0
include 192.168.113.0 255.255.255.0
PC获取到的vpnpool地址池里面的地址
PC侧可以访问内网资源
(0)
好的谢谢大师!
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
好的谢谢大师!