求ACG1000搭建SSL VPN供客户连入内外服务器的配置实例,官网好像搜不到了。
ACG1000透明模式,内网端是核心,外围端是防火墙,防火墙外侧路由器NAT外网。
(0)
最佳答案
您好,请知:
以下是ACG配置SSL VPN的案例,请参考:
如图1所示,使用设备的ge0和ge1接口以路由方式部署在网络中。用户希望设备提供SSL VPN服务,以供互联网用户通过SSL VPN访问内网的Web和FTP服务器。
图1 SSL VPN功能配置组网图
(1) 按照组网图组网。
(2) 配置接口。
(3) 配置静态路由。
(4) 配置用户。
(5) 配置SSL VPN全局配置。
(6) 配置SSL VPN资源。
(7) 配置SSL VPN策略
本举例是在R6614版本上进行配置和验证的。
如图2所示,进入“网络配置>接口配置>物理接口”页面,点击“编辑”按钮为ge0接口配置ip地址,并点击<提交>。
如图3所示,进入“网络配置>路由管理>静态路由”页面,点击<新建>按钮,配置一条静态路由:目的网段为服务器的网段:172.16.1.1/24,下一跳为ge1对端互联接口地址。
如图4示,进入“用户管理> 用户组织结构>用户”页面,点击<新建>按钮,新建用户“sslvpntest”,并点击<提交>。
图4 配置用户
如图5示,进入“网络配置>VPN>SSL VPN>全局配置”页面,进行SSL VPN全局配置,并点击<提交>。
如图6和图7示,进入“网络配置>VPN>SSL VPN>资源”页面,点击“新建”按钮,进行SSL VPN的web和ftp资源配置,并点击<提交>。
图6 配置HTTP资源
图7 配置ftp资源
如图8所示,进入“网络配置>VPN>SSL VPN>策略”页面,点击<新建>按钮,进行sslvpn的策略配置,并点击<提交>。
如果选择为SSL VPN分配静态IP,如图9所示,进入“网络管理>VPN>SSL VPN>全局配置”页面,点击<全局配置>按钮,取消勾选<登录设定>中“允许多处登录”。
图9 用户IP绑定全局设置图
如图10所示,进入“网络管理>VPN>SSL VPN>全局配置>IP用户绑定”页面,点击<新建>按钮,勾选<启用>,选择绑定用户,输入SSL VPN分配地址池中的IP地址,设置完毕后,客户端登录SSL VPN后,分配IP地址为绑定地址。
图10 IP用户绑定图
(1) 查看SSL VPN在线用户
如图11所示,SSL VPN连接成功后,进入“数据中心>系统监控>SSL VPN在线用户”页面,查看在线用户。
图11 SSL VPN在线用户
(2) 查看客户端路由表
如图12所示,SSL VPN连接成功后,查看客户端的路由表,下发了两条路由。
(3) 访问SSL VPN资源
SSL VPN连接成功后,访问内网的FTP和HTTP资源,能够访问成功,如图13和图14所示。
组网图如图1所示,外网PC当需要访问内网资源时,可以向设备发起SSL VPN拨号,拨号成功后,外网设备就可以访问内网资源,比如:访问内网主机。
(1) 按照组网图组网。
(2) 配置接口、路由及用户。
(3) 生成CA证书。
(4) 导入证书。
(5) 配置SSL VPN全局配置,引用证书。
(6) 配置SSL VPN资源及策略。
(7) 客户端导入配置。
本举例是在R6614版本上进行配置和验证的。
(1) 在“策略配置>对象管理>CA服务器>根CA配置管理”中点击“生成CA根证书”,输入证书名称、有效期和密码,密钥大小选择1024,点击提交。
图15 生成CA证书
(2) 点击“导出CA根证书”,将证书导出到本地,导出时选择“CER格式”,导出证书文件,并保存在本地。
图16 导出证书
(3) 在“策略配置>对象管理>CA服务器>用户证书管理”中点击“生成证书请求”,输入证书名称,密钥大小选择1024,点击提交。
图17 生成用户证书
(4) 点击签发设置有效期和密码。
图18 签发证书
(5) 签发完成后点击复制,复制后的证书在“策略配置>对象管理>本地证书>证书>本地证书”中可以查看。
图19 复制用户证书
图20 查看复制后的证书
(1) 在“策略配置>对象管理>本地证书>证书>CA”中导入步骤2(生成CA证书)中生成的CA证书。在CA中可以导入CA根证书。
图21 导入CA证书
在“网络配置>VPN>SSL VPN>全局配置”中配置引用证书功能选项。在使用第三方CA证书时,只支持.pem格式的CA证书。
图22 配置SSL VPN引用证书
需要勾选“证书登录”,不勾选仅使用用户名密码验证,勾选则使用用户名密码+证书登录。
修改该配置后,所有客户端需要重新导入配置文件,可以在门户页面下载配置文件。请参考 客户端导入配置。
设备端配置好证书登录之后,门户页面中配置文件会自动更新,下载该配置文件,将配置文件在SSL VPN客户端中导入即可。
(1) 在“网络配置>VPN>SSL VPN>资源>门户页面”中填写标题,点击提交,开启门户页面。
图23 配置门户页面
(2) 下载配置文件,浏览器中输入:https://设备IP/sslvpn/portal.html,如下图,点击下载配置文件,将配置文件下载到本地。
图24 下载配置文件
(3) 右键点击客户端图标,选择“导入配置文件”,选择下载好的配置文件,点击打开,提示导入成功,即完成配置文件的导入。
图25 导入配置文件
图26 配置文件导入成功
(4) 右键点击客户端图标,选择导入的配置文件名,点击连接,然后使用管理员提供的用户名和密码登录即可。
图27 连接SSL VPN
图28 输入用户名、密码登录
进入“网络配置>VPN>SSL VPN>全局配置”,配置心跳报文发送间隔,并对重连进行自定义配置,如下图所示。
图29 配置心跳重连间隔
SSL VPN 证书登录使用用户名密码+证书登录,用户拨号成功后,用户会在SSL VPN在线用户中显示。
图30 查看SSL VPN在线用户
如果配置了心跳报文间隔,每隔一定的间隔时间,客户端和设备之间发送心跳报文,如果未收到心跳报文的次数超过设置的未反馈次数后,客户端将重连。
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论