• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ACG1000-C9130 sslvpn 搭建

2023-10-28提问
  • 0关注
  • 0收藏,605浏览
粉丝:0人 关注:1人

问题描述:

求ACG1000搭建SSL VPN供客户连入内外服务器的配置实例,官网好像搜不到了。

组网及组网描述:

ACG1000透明模式,内网端是核心,外围端是防火墙,防火墙外侧路由器NAT外网。

最佳答案

粉丝:0人 关注:0人

https://www.h3c.com/cn/d_202308/1901325_30005_0.htm

暂无评论

2 个回答
已采纳
粉丝:20人 关注:9人

您好,请知:

以下是ACG配置SSL VPN的案例,请参考:

4  配置举例

4.1  SSL VPN配置举例

4.1.1  组网需求

图1所示,使用设备的ge0和ge1接口以路由方式部署在网络中。用户希望设备提供SSL VPN服务,以供互联网用户通过SSL VPN访问内网的Web和FTP服务器。

图1 SSL VPN功能配置组网图

 

4.1.2  配置思路

(1)     按照组网图组网。

(2)     配置接口。

(3)     配置静态路由。

(4)     配置用户。

(5)     配置SSL VPN全局配置。

(6)     配置SSL VPN资源。

(7)     配置SSL VPN策略

4.1.3  使用版本

本举例是在R6614版本上进行配置和验证的。

4.1.4  配置步骤

1. 配置接口

图2所示,进入“网络配置>接口配置>物理接口”页面,点击“编辑”按钮为ge0接口配置ip地址,并点击<提交>。

图2 配置接口

2. 配置静态路由

图3所示,进入“网络配置>路由管理>静态路由”页面,点击<新建>按钮,配置一条静态路由:目的网段为服务器的网段:172.16.1.1/24,下一跳为ge1对端互联接口地址。

图3 配置静态路由

 

3. 配置用户

图4示,进入“用户管理> 用户组织结构>用户”页面,点击<新建>按钮,新建用户“sslvpntest”,并点击<提交>。

图4 配置用户

 

 

4. 配置SSL VPN全局配置

图5示,进入“网络配置>VPN>SSL VPN>全局配置”页面,进行SSL VPN全局配置,并点击<提交>。

图5 配置全局配置

 

5. 配置SSL VPN资源

图6图7示,进入“网络配置>VPN>SSL VPN>资源”页面,点击“新建”按钮,进行SSL VPN的web和ftp资源配置,并点击<提交>。

图6 配置HTTP资源

 

图7 配置ftp资源

 

6. 配置SSL VPN策略

图8所示,进入“网络配置>VPN>SSL VPN>策略”页面,点击<新建>按钮,进行sslvpn的策略配置,并点击<提交>。

图8 策略配置

7. 配置SSL VPN在线用户与IP绑定

如果选择为SSL VPN分配静态IP,如图9所示,进入“网络管理>VPN>SSL VPN>全局配置”页面,点击<全局配置>按钮,取消勾选<登录设定>中“允许多处登录”。

图9 用户IP绑定全局设置图

 

 

图10所示,进入“网络管理>VPN>SSL VPN>全局配置>IP用户绑定”页面,点击<新建>按钮,勾选<启用>,选择绑定用户,输入SSL VPN分配地址池中的IP地址,设置完毕后,客户端登录SSL VPN后,分配IP地址为绑定地址。

 

图10 IP用户绑定图

 

4.1.5  验证配置

(1)     查看SSL VPN在线用户

图11所示,SSL VPN连接成功后,进入“数据中心>系统监控>SSL VPN在线用户”页面,查看在线用户。

图11 SSL VPN在线用户

 

(2)     查看客户端路由表

图12所示,SSL VPN连接成功后,查看客户端的路由表,下发了两条路由。

图12 客户端路由表

 

(3)     访问SSL VPN资源

SSL VPN连接成功后,访问内网的FTP和HTTP资源,能够访问成功,如图13图14所示。

图13 访问FTP资源

 

图14 访问HTTP资源

 

4.2  SSL VPN证书登录配置举例

4.2.1  组网需求

组网图如图1所示,外网PC当需要访问内网资源时,可以向设备发起SSL VPN拨号,拨号成功后,外网设备就可以访问内网资源,比如:访问内网主机。

4.2.2  配置思路

(1)     按照组网图组网。

(2)     配置接口、路由及用户。

(3)     生成CA证书。

(4)     导入证书。

(5)     配置SSL VPN全局配置,引用证书。

(6)     配置SSL VPN资源及策略。

(7)     客户端导入配置。

4.2.3  使用版本

本举例是在R6614版本上进行配置和验证的。

4.2.4  配置步骤

1. 配置接口、路由及用户

详细配置请参考4.1.4  配置步骤的相关说明。

2. 生成CA证书

(1)     在“策略配置>对象管理>CA服务器>根CA配置管理”中点击“生成CA根证书”,输入证书名称、有效期和密码,密钥大小选择1024,点击提交。

图15 生成CA证书

 

(2)     点击“导出CA根证书”,将证书导出到本地,导出时选择“CER格式”,导出证书文件,并保存在本地。

图16 导出证书

 

(3)     在“策略配置>对象管理>CA服务器>用户证书管理”中点击“生成证书请求”,输入证书名称,密钥大小选择1024,点击提交。

图17 生成用户证书

 

(4)     点击签发设置有效期和密码。

图18 签发证书

 

(5)     签发完成后点击复制,复制后的证书在“策略配置>对象管理>本地证书>证书>本地证书”中可以查看。

图19 复制用户证书

图20 查看复制后的证书

 

3. 导入证书

(1)     在“策略配置>对象管理>本地证书>证书>CA”中导入步骤2(生成CA证书)中生成的CA证书。在CA中可以导入CA根证书。

图21 导入CA证书

 

4. 配置SSL VPN全局配置,引用证书

在“网络配置>VPN>SSL VPN>全局配置”中配置引用证书功能选项。在使用第三方CA证书时,只支持.pem格式的CA证书。

图22 配置SSL VPN引用证书

 

需要勾选“证书登录”,不勾选仅使用用户名密码验证,勾选则使用用户名密码+证书登录。

修改该配置后,所有客户端需要重新导入配置文件,可以在门户页面下载配置文件。请参考 客户端导入配置

5. 配置SSL VPN资源及策略

详细配置请参考4.1.4  配置步骤的相关说明。

6. 客户端导入配置

设备端配置好证书登录之后,门户页面中配置文件会自动更新,下载该配置文件,将配置文件在SSL VPN客户端中导入即可。

(1)     在“网络配置>VPN>SSL VPN>资源>门户页面”中填写标题,点击提交,开启门户页面。

图23 配置门户页面

 

(2)     下载配置文件,浏览器中输入:https://设备IP/sslvpn/portal.html,如下图,点击下载配置文件,将配置文件下载到本地。

图24 下载配置文件

 

(3)     右键点击客户端图标,选择“导入配置文件”,选择下载好的配置文件,点击打开,提示导入成功,即完成配置文件的导入。

图25 导入配置文件

 

图26 配置文件导入成功

 

(4)     右键点击客户端图标,选择导入的配置文件名,点击连接,然后使用管理员提供的用户名和密码登录即可。

图27 连接SSL VPN

 

图28 输入用户名、密码登录

 

7. 配置心跳重连间隔(可选)

进入“网络配置>VPN>SSL VPN>全局配置”,配置心跳报文发送间隔,并对重连进行自定义配置,如下图所示。

图29 配置心跳重连间隔

 

4.2.5  验证配置

SSL VPN 证书登录使用用户名密码+证书登录,用户拨号成功后,用户会在SSL VPN在线用户中显示。

图30 查看SSL VPN在线用户

如果配置了心跳报文间隔,每隔一定的间隔时间,客户端和设备之间发送心跳报文,如果未收到心跳报文的次数超过设置的未反馈次数后,客户端将重连。


暂无评论

zhiliao_DXhkU2 知了小白
粉丝:0人 关注:1人

两位大佬发的正是我需要的,感谢

顺便问下网桥模式可以VPN么?用网桥的接口还是外网口的接口?


暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明