4  配置举例

4.1  SSL VPN配置举例

4.1.1  组网需求

如图1所示，使用设备的ge0和ge1接口以路由方式部署在网络中。用户希望设备提供SSL VPN服务，以供互联网用户通过SSL VPN访问内网的Web和FTP服务器。

图1 SSL VPN功能配置组网图

4.1.2  配置思路

(1)     按照组网图组网。

(2)     配置接口。

(3)     配置静态路由。

(4)     配置用户。

(5)     配置SSL VPN全局配置。

(6)     配置SSL VPN资源。

(7)     配置SSL VPN策略

4.1.3  使用版本

本举例是在R6614版本上进行配置和验证的。

4.1.4  配置步骤

1. 配置接口

如图2所示，进入“网络配置>接口配置>物理接口”页面，点击“编辑”按钮为ge0接口配置ip地址，并点击<提交>。

图2 配置接口

2. 配置静态路由

如图3所示，进入“网络配置>路由管理>静态路由”页面，点击<新建>按钮，配置一条静态路由：目的网段为服务器的网段：172.16.1.1/24，下一跳为ge1对端互联接口地址。

图3 配置静态路由

3. 配置用户

如图4示，进入“用户管理> 用户组织结构>用户”页面，点击<新建>按钮，新建用户“sslvpntest”，并点击<提交>。

图4 配置用户

4. 配置SSL VPN全局配置

如图5示，进入“网络配置>VPN>SSL VPN>全局配置”页面，进行SSL VPN全局配置，并点击<提交>。

图5 配置全局配置

5. 配置SSL VPN资源

如图6和图7示，进入“网络配置>VPN>SSL VPN>资源”页面，点击“新建”按钮，进行SSL VPN的web和ftp资源配置，并点击<提交>。

图6 配置HTTP资源

图7 配置ftp资源

6. 配置SSL VPN策略

如图8所示，进入“网络配置>VPN>SSL VPN>策略”页面，点击<新建>按钮，进行sslvpn的策略配置，并点击<提交>。

图8 策略配置

7. 配置SSL VPN在线用户与IP绑定

如果选择为SSL VPN分配静态IP，如图9所示，进入“网络管理>VPN>SSL VPN>全局配置”页面，点击<全局配置>按钮，取消勾选<登录设定>中“允许多处登录”。

图9 用户IP绑定全局设置图

如图10所示，进入“网络管理>VPN>SSL VPN>全局配置>IP用户绑定”页面，点击<新建>按钮，勾选<启用>，选择绑定用户，输入SSL VPN分配地址池中的IP地址，设置完毕后，客户端登录SSL VPN后，分配IP地址为绑定地址。

图10 IP用户绑定图

4.1.5  验证配置

(1)     查看SSL VPN在线用户

如图11所示，SSL VPN连接成功后，进入“数据中心>系统监控>SSL VPN在线用户”页面，查看在线用户。

图11 SSL VPN在线用户

(2)     查看客户端路由表

如图12所示，SSL VPN连接成功后，查看客户端的路由表，下发了两条路由。

图12 客户端路由表

(3)     访问SSL VPN资源

SSL VPN连接成功后，访问内网的FTP和HTTP资源，能够访问成功，如图13和图14所示。

图13 访问FTP资源

图14 访问HTTP资源

4.2  SSL VPN证书登录配置举例

4.2.1  组网需求

组网图如图1所示，外网PC当需要访问内网资源时，可以向设备发起SSL VPN拨号，拨号成功后，外网设备就可以访问内网资源，比如：访问内网主机。

4.2.2  配置思路

(1)     按照组网图组网。

(2)     配置接口、路由及用户。

(3)     生成CA证书。

(4)     导入证书。

(5)     配置SSL VPN全局配置，引用证书。

(6)     配置SSL VPN资源及策略。

(7)     客户端导入配置。

4.2.3  使用版本

本举例是在R6614版本上进行配置和验证的。

4.2.4  配置步骤

1. 配置接口、路由及用户

详细配置请参考4.1.4  配置步骤的相关说明。

2. 生成CA证书

(1)     在“策略配置>对象管理>CA服务器>根CA配置管理”中点击“生成CA根证书”，输入证书名称、有效期和密码，密钥大小选择1024，点击提交。

图15 生成CA证书

(2)     点击“导出CA根证书”，将证书导出到本地，导出时选择“CER格式”，导出证书文件，并保存在本地。

图16 导出证书

(3)     在“策略配置>对象管理>CA服务器>用户证书管理”中点击“生成证书请求”，输入证书名称，密钥大小选择1024，点击提交。

图17 生成用户证书

(4)     点击签发设置有效期和密码。

图18 签发证书

(5)     签发完成后点击复制，复制后的证书在“策略配置>对象管理>本地证书>证书>本地证书”中可以查看。

图19 复制用户证书

图20 查看复制后的证书

3. 导入证书

(1)     在“策略配置>对象管理>本地证书>证书>CA”中导入步骤2（生成CA证书）中生成的CA证书。在CA中可以导入CA根证书。

图21 导入CA证书

4. 配置SSL VPN全局配置，引用证书

在“网络配置>VPN>SSL VPN>全局配置”中配置引用证书功能选项。在使用第三方CA证书时，只支持.pem格式的CA证书。

图22 配置SSL VPN引用证书

需要勾选“证书登录”，不勾选仅使用用户名密码验证，勾选则使用用户名密码+证书登录。

修改该配置后，所有客户端需要重新导入配置文件，可以在门户页面下载配置文件。请参考 客户端导入配置。

5. 配置SSL VPN资源及策略

详细配置请参考4.1.4  配置步骤的相关说明。

6. 客户端导入配置

设备端配置好证书登录之后，门户页面中配置文件会自动更新，下载该配置文件，将配置文件在SSL VPN客户端中导入即可。

(1)     在“网络配置>VPN>SSL VPN>资源>门户页面”中填写标题，点击提交，开启门户页面。

图23 配置门户页面

(2)     下载配置文件，浏览器中输入：https://设备IP/sslvpn/portal.html，如下图，点击下载配置文件，将配置文件下载到本地。

图24 下载配置文件

(3)     右键点击客户端图标，选择“导入配置文件”，选择下载好的配置文件，点击打开，提示导入成功，即完成配置文件的导入。

图25 导入配置文件

图26 配置文件导入成功

(4)     右键点击客户端图标，选择导入的配置文件名，点击连接，然后使用管理员提供的用户名和密码登录即可。

图27 连接SSL VPN

图28 输入用户名、密码登录

7. 配置心跳重连间隔（可选）

进入“网络配置>VPN>SSL VPN>全局配置”，配置心跳报文发送间隔，并对重连进行自定义配置，如下图所示。

图29 配置心跳重连间隔

4.2.5  验证配置

SSL VPN 证书登录使用用户名密码+证书登录，用户拨号成功后，用户会在SSL VPN在线用户中显示。

图30 查看SSL VPN在线用户

如果配置了心跳报文间隔，每隔一定的间隔时间，客户端和设备之间发送心跳报文，如果未收到心跳报文的次数超过设置的未反馈次数后，客户端将重连。