sslvpn功能实现,参考：

组网需求

如图-88所示，SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用IP接入方式能够安全地访问私有网络内的Server。具体需求如下：

SSL VPN网关设备通过对用户进行本地认证和授权。

图-88 IP接入方式配置组网图（本地认证）

使用版本

本举例是在F1000-AI-55的R8860版本上进行配置和验证的。

配置注意事项

·     为客户端地址池配置的网段需要满足以下要求：

○    不能和客户端物理网卡的IP地址在同一个网段。

○    不能包含SSL VPN网关所在设备的接口地址，否则会导致地址冲突。

○    不能和欲访问的内网地址在同一个网段。

·     SSL VPN AC接口需要加入安全域，且保证该接口所在安全域与到达内部服务器所在接口的安全域域间流量互通。

·     需要保证内网Server到达SSL VPN客户端地址池所在网段10.1.1.0/24路由可达。

配置步骤

1.     Device的配置

1.     配置接口IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，参数配置如下：

·     安全域：Untrust

·     选择“IPV4地址”页签，配置IP地址/掩码：1.1.1.2/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/2右侧的<编辑>按钮，参数配置如下：

·     安全域：Trust

·     选择“IPV4地址”页签，配置IP地址/掩码：2.2.2.2/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/3右侧的<编辑>按钮，参数配置如下：

·     安全域：Trust

·     选择“IPV4地址”页签，配置IP地址/掩码：3.3.3.1/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2.     配置路由

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

·     目的IP地址：40.1.1.1

·     掩码长度：24

·     下一跳IP地址：1.1.1.3

·     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

# 按照同样的步骤新建IPv4静态路由，并进行如下配置：

·     目的IP地址：20.2.2.2

·     掩码长度：24

·     下一跳IP地址：2.2.2.3

·     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

3.     配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

·     名称：untrust-local

·     源安全域：Untrust

·     目的安全域：Local

·     类型：IPv4

·     动作：允许

·     源IPv4地址：40.1.1.1

·     目的IPv4地址：1.1.1.2

·     其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

# 按照同样的步骤新建安全策略，配置如下。

·     名称：untrust-trust

·     源安全域：Untrust

·     目的安全域：Trust

·     类型：IPv4

·     动作：允许

·     源IPv4地址：10.1.1.0/24

·     目的IPv4地址：20.2.2.0/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

4.     配置SSL VPN网关

# 选择“网络 > SSL VPN > 网关”，进入SSL VPN网关页面，单击<新建>按钮，创建SSL VPN网关，参数配置如下图所示。

图-89 配置SSL VPN网关

# 单击<确定>按钮，完成配置。

5.     创建SSL VPN AC接口

# 选择“网络 > SSL VPN > IP接入接口”，进入SSL VPN接入接口页面。单击<新建>按钮，创建SSL VPN接入接口，接口编号输入1，单击<确定>，然后继续配置接口参数，如下图所示。

图-90 创建IP接入接口（1）

图-91 创建IP接入接口（2）

# 单击<确定>按钮。

6.     创建SSL VPN客户端地址池

# 选择“网络 > SSL VPN > 客户端地址池”，进入SSL VPN客户端地址池页面。单击<新建>按钮，创建SSL VPN客户端地址池，参数配置如下图所示。

图-92 创建客户端地址池

# 单击<确定>按钮。

7.     配置SSL VPN访问实例

# 选择“网络 > SSL VPN > 访问实例”，进入SSL VPN访问实例页面，单击<新建>按钮，创建SSL VPN访问实例，参数配置如下图所示，未显示的部分，采用默认配置即可。

图-93 新建访问实例

# 单击<下一步>，配置认证配置，参数配置如下图所示。

# 单击<下一步>，不配置URI ACL，继续单击<下一步>，在跳转的页面选择“IP业务”，单击<下一步>。配置IP业务，参数配置如下图所示。

图-94 配置IP业务（1）

图-95 配置IP业务（2）

# 单击<下一步>，不配置快捷方式，继续单击<下一步>，在跳转的页面单击<新建>按钮，配置资源组，参数配置如下图所示（本例的IPv4 ACL 3999规则为允许通过所有流量）。

图-96 配置资源组

# 单击<确定>按钮，资源组如下图所示。

图-97 资源组

# 单击<完成>按钮，完成配置。

# 在<使能>按钮的选择框上挑勾，使能配置的访问实例，如下图所示。

图-98 使能访问实例

8.     创建SSL VPN用户

# 选择“对象 > 用户 > 用户管理 > 本地用户”，进入用户界面，点击<新建>按钮，创建SSL VPN用户，参数配置如下图所示。

图-99 创建SSL VPN用户

# 为该用户授权SSL VPN策略组，参数配置如下图所示。

图-100 授权属性

# 单击<确定>按钮，完成配置。

2.     Host的配置

# 配置IP地址、网关，保证到SSL VPN网关的路由可达。

验证配置

# 在浏览器地址栏输入https://1.1.1.2，回车确认之后跳转到域列表选择页面，如下图所示。

图-101 域列表界面

# 单击“domainip”，跳转到SSL VPN登录界面，输入用户名密码（用户名user1，密码123456），如下图所示。

图-102 SSL VPN登录界面

# 单击<登录>按钮，可以成功登录。

# 单击<启动>按钮，启动IP客户端，系统会自动下载iNode客户端（如果Host之前没有安装过iNode客户端），下载完成后会自动启动iNode客户端，并登录SSL VPN网关，成功登录后如下图所示。

图-103 iNode客户端

这个型号的我不太懂，这个场景也没碰到过，哪位大神提供一个解决思路