问
secpath f100 如何进行sslvpn 设置
1天前提问
- 0关注
- 0收藏,56浏览
部署方案:如何“无缝”替换旧VPN?
你的目标很简单:用防火墙直接提供SSL VPN服务,替代内网那台性能不佳的单臂模式VPN。
确认防火墙已支持SSL VPN功能
在H3C SecPath F100系列中,SSL VPN通常是默认支持的功能,无需额外授权。不过,默认允许的并发用户数与设备型号挂钩(例如F100-C-G5系列默认为15个)。建议你登录防火墙的Web界面,在“VPN”相关菜单下确认是否有“SSL VPN”的配置选项,以核实你的设备是否支持。
替换策略与步骤
第一步:获取官方文档:开始前,先下载官方配置手册。可以参考官方VPN配置指南和SSL VPN管理员手册。
第二步:配置防火墙SSL VPN服务:参考下面“详细配置步骤”章节,在你的H3C防火墙上新建SSL VPN网关、地址池和用户。
第三步:停用旧VPN并测试:暂时停用旧的SSL VPN设备,从外网测试新配置的VPN能否正常拨入,并确保所有需要访问的内网资源都可达。
第四步:DNS与路由调整:确保防火墙上配置的DNS能正确解析内网资源。如果内网有多个网段,需在SSL VPN策略中添加相应的路由。
第五步:最终替换:确认新VPN服务稳定后,正式将旧的SSL VPN设备下线,并清理其在核心交换机上可能残留的路由或端口映射配置。
命令行配置示例:
<H3C> system-view
# 1. 配置SSL VPN网关,监听外网接口的10443端口
[H3C] sslvpn gateway SSLVPNGW
[H3C-sslvpn-gateway-SSLVPNGW] ip address GigabitEthernet1/0/0 port 10443
[H3C-sslvpn-gateway-SSLVPNGW] service enable
[H3C-sslvpn-gateway-SSLVPNGW] quit
# 2. 创建SSL VPN AC接口并配置地址池
[H3C] interface SSLVPN-AC 1
[H3C-SSLVPN-AC1] ip address 10.10.10.1 255.255.255.0
[H3C-SSLVPN-AC1] quit
[H3C] sslvpn ip address-pool SSLPOOL 10.10.10.2 10.10.10.254
# 3. 配置内网资源访问权限(允许访问192.168.10.0/24网段)
[H3C] acl advanced 3999
[H3C-acl-ipv4-adv-3999] rule permit ip destination 192.168.10.0 0.0.0.255
[H3C-acl-ipv4-adv-3999] quit
# 4. 配置SSL VPN访问实例
[H3C] sslvpn context SSLVPN
[H3C-sslvpn-context-SSLVPN] gateway SSLVPNGW
[H3C-sslvpn-context-SSLVPN] ip-tunnel interface SSLVPN-AC1
[H3C-sslvpn-context-SSLVPN] ip-tunnel address-pool SSLPOOL mask 255.255.255.0
[H3C-sslvpn-context-SSLVPN] ip-tunnel dns-server primary 114.114.114.114
[H3C-sslvpn-context-SSLVPN] ip-route-list NEIWANG
[H3C-sslvpn-context-SSLVPN-route-list-NEIWANG] include 192.168.10.0 255.255.255.0
[H3C-sslvpn-context-SSLVPN-route-list-NEIWANG] quit
[H3C-sslvpn-context-SSLVPN] policy-group SSLVPNZIYUAN
[H3C-sslvpn-context-SSLVPN-policy-group-SSLVPNZIYUAN] filter ip-tunnel acl 3999
[H3C-sslvpn-context-SSLVPN-policy-group-SSLVPNZIYUAN] quit
# 5. 创建用户并授权(例如用户名为vpnuser,密码为Pass@123)
[H3C] local-user vpnuser class network
[H3C-luser-network-vpnuser] password simple Pass@123
[H3C-luser-network-vpnuser] service-type sslvpn
[H3C-luser-network-vpnuser] authorization-attribute user-role network-operator
[H3C-luser-network-vpnuser] authorization-attribute sslvpn-policy-group SSLVPNZIYUAN
[H3C-luser-network-vpnuser] quit
暂无评论
zhiliao_Gixe
四段
核心方案:在F100上启用SSL VPN服务,替代原有单臂设备。
方案选择: 直接使用F100内置的SSL VPN功能。它作为网关,无需单臂部署,性能更优,可解决卡慢问题。
关键配置步骤:
1. 创建SSL VPN网关:
interface GigabitEthernet1/0/1 //假设此为外网口
ip address x.x.x.x y.y.y.y
ssl-vpn server gateway
2. 创建SSL VPN访问实例:
ssl-vpn context context1
gateway 1.1.1.1 port 443 //对外发布的IP和端口
policy group default
filter acl 3000 //用于控制VPN用户可访问的内网资源
ip-tunnel interface Tunnel0 mode ssl-vpn //创建隧道接口
ip-tunnel address-pool pool1 10.0.1.0 255.255.255.0 //分配地址池
ip-tunnel dhcp server ip-pool pool1
3. 配置用户认证:
local-user vpnuser class network
password simple 123456
service-type ssl-vpn
authorization-attribute ssl-vpn-policy-group default
4. 配置路由和安全策略:
* 确保内网路由可达Tunnel接口网段。
* 配置安全策略,允许SSL VPN用户(源安全域为`SSL VPN`)访问内网服务器区(目的安全域为`Trust`)。
实施前:
1. 备份当前配置。
2. 规划好SSL VPN服务对外的IP地址和端口(默认443)。
3. 规划给VPN用户分配的IP地址池,确保与内网网段不冲突。
4. 明确需要开放给VPN用户访问的内网资源列表,以便配置ACL。
信息补充:
请提供F100的具体软件版本,以便确认命令的精确性。
方案选择: 直接使用F100内置的SSL VPN功能。它作为网关,无需单臂部署,性能更优,可解决卡慢问题。
关键配置步骤:
1. 创建SSL VPN网关:
interface GigabitEthernet1/0/1 //假设此为外网口
ip address x.x.x.x y.y.y.y
ssl-vpn server gateway
2. 创建SSL VPN访问实例:
ssl-vpn context context1
gateway 1.1.1.1 port 443 //对外发布的IP和端口
policy group default
filter acl 3000 //用于控制VPN用户可访问的内网资源
ip-tunnel interface Tunnel0 mode ssl-vpn //创建隧道接口
ip-tunnel address-pool pool1 10.0.1.0 255.255.255.0 //分配地址池
ip-tunnel dhcp server ip-pool pool1
3. 配置用户认证:
local-user vpnuser class network
password simple 123456
service-type ssl-vpn
authorization-attribute ssl-vpn-policy-group default
4. 配置路由和安全策略:
* 确保内网路由可达Tunnel接口网段。
* 配置安全策略,允许SSL VPN用户(源安全域为`SSL VPN`)访问内网服务器区(目的安全域为`Trust`)。
实施前:
1. 备份当前配置。
2. 规划好SSL VPN服务对外的IP地址和端口(默认443)。
3. 规划给VPN用户分配的IP地址池,确保与内网网段不冲突。
4. 明确需要开放给VPN用户访问的内网资源列表,以便配置ACL。
信息补充:
请提供F100的具体软件版本,以便确认命令的精确性。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论