碼上歡樂
相關內容    簡體    繁體

H3C SSLVPN 配置

本文轉載自   查看原文   2021-01-09 12:06   2257    網絡/ VPN/ 華為/ SSL

 

 IP接入配置舉例(缺省證書)

1. 組網需求

Device為SSL VPN網關設備,連接公網用戶和企業私有網絡。用戶通過Device可以通過IP

接入方式安全地訪問私有網絡內的Server。Device采用本地認證和授權方式對用戶進行認證和授權。

2. 組網圖

圖1-32 IP接入配置組網圖(缺省證書)

 

 

 

3. 配置步驟

 

  • 請確保SSL VPN用戶和SSL VPN網關設備Device間的路由可達。
  • 請確保SSL VPN網關設備Device與Server間的路由可達。
  • Server上存在到達網段10.1.1.0/24的路由。

 

(1)      配置SSL VPN網關

# 配置SSL VPN網關gw的IP地址為1.1.1.2,端口號為4430。

<Device> system-view

[Device] sslvpn gateway gw

[Device-sslvpn-gateway-gw] ip address 1.1.1.2 port 4430

[Device-sslvpn-gateway-gw] service enable

[Device-sslvpn-gateway-gw] quit

(2)      創建SSL VPN客戶端地址池

# 創建為SSL VPN客戶端分配地址的地址池sslvpnpool,地址范圍為10.1.1.1~10.1.1.10。

[Device] sslvpn ip address-pool sslvpnpool 10.1.1.1 10.1.1.10

(3)      創建SSL VPN AC接口

# 創建SSL VPN AC接口1,配置該接口的IP地址為10.1.1.100/24。

[Device] interface sslvpn-ac 1

[Device-SSLVPN-AC1] ip address 10.1.1.100 24

[Device-SSLVPN-AC1] quit

(4)      配置SSL VPN訪問實例

# 配置SSL VPN訪問實例ctxip,引用SSL VPN網關gw,指定域名為domainip。

[Device] sslvpn context ctxip

[Device-sslvpn-context-ctxip] gateway gw domain domainip

# 配置IP接入引用的SSL VPN AC接口1.

[Device-sslvpn-context-ctxip] ip-tunnel interface sslvpn-ac 1

# 創建路由表rtlist,並添加路由表項20.2.2.0/24。

[Device-sslvpn-context-ctxip] ip-route-list rtlist

[Device-sslvpn-context-ctxip-route-list-rtlist] include 20.2.2.0 24

[Device-sslvpn-context-ctxip-route-list-rtlist] quit

# 引用SSL VPN客戶端地址池sslvpnpool。

[Device-sslvpn-context-ctxip] ip-tunnel address-pool sslvpnpool mask 24

# 創建SSL VPN策略組resourcegrp,引用路由列表rtlist,並同時配置對IP接入進行ACL過濾。

[Device-sslvpn-context-ctxip] policy-group resourcegrp

[Device-sslvpn-context-ctxip-policy-group-resourcegrp] ip-tunnel access-route ip-route-list rtlist

[Device-sslvpn-context-ctxip-policy-group-resourcegrp] filter ip-tunnel acl 3000

[Device-sslvpn-context-ctxip-policy-group-resourcegrp] quit

# 開啟SSL VPN訪問實例ctxip。

[Device-sslvpn-context-ctxip] service enable

[Device-sslvpn-context-ctxip] quit

# 創建ACL 3000,規則為允許源IP為10.1.1.0/24的報文訪問目標IP網段20.2.2.0/24。

[Device] acl advanced 3000

[Device-acl-ipv4-adv-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 20.2.2.0 0.0.0.255

[Device-acl-ipv4-adv-3000] quit

(5)      配置SSL VPN用戶

# 創建本地SSL VPN用戶sslvpnuser,密碼為123456,用戶角色為network-operator,授權用戶的SSL VPN策略組為resourcegrp。

[Device] local-user sslvpnuser class network

[Device-luser-network-sslvpnuser] password simple 123456

[Device-luser-network-sslvpnuser] service-type sslvpn

[Device-luser-network-sslvpnuser] authorization-attribute sslvpn-policy-group resourcegrp

[Device-luser-network-sslvpnuser] authorization-attribute user-role network-operator

[Device-luser-network-sslvpnuser] quit

4. 驗證配置

# 在Device上查看SSL VPN網關狀態,可見SSL VPN網關gw處於Up狀態。

[Device] display sslvpn gateway

Gateway name: gw

  Operation state: Up

  IP: 1.1.1.2  Port: 4430

  Front VPN instance: Not configured

# 在Device上查看SSL VPN訪問實例狀態,可見SSL VPN訪問實例ctx處於Up狀態。

[Device] display sslvpn context

Context name: ctxip

  Operation state: Up

  AAA domain: Not specified

  Certificate authentication: Disabled

  Password authentication: Enabled

  Authentication use: All

  Dynamic password: Disabled

  Code verification: Disabled

  Default policy group: Not configured

  Associated SSL VPN gateway: gw

    Domain name: domainip

  Maximum users allowed: 1048575

  VPN instance: Not configured

  Idle timeout: 30 min

# SSL VPN用戶sslvpnuser在PC瀏覽器上輸入https://1.1.1.2:4430/,進入Domain List頁面,如下圖所示。

 

因為SSL VPN網關設備使用缺省證書(自簽名),因此在訪問SSL VPN網關的時候瀏覽器會提示非安全連接。

 

圖1-33 Domain List頁面

 

 

 

 

# 選擇domainip進入登錄頁面,輸入用戶sslvpnuser和密碼123456。

圖1-34 登錄頁面

 

 

 

 

# 單擊<登錄>按鈕,可以成功登錄SSL VPN網關。在網頁的應用程序欄中選擇“啟動IP客戶端應用程序”,如下圖所示。

圖1-35 應用程序列表

 

 

 

 

# 單擊<啟動>按鈕,下載IP接入客戶端軟件Svpnclient並安裝,安裝完成后,啟動iNode客戶端,輸入如下圖所示的參數。

圖1-36 iNode客戶端

 

 

 

 

# 單擊<連接>按鈕,成功登錄SSL VPN客戶端,如下圖所示。

圖1-37 成功登錄SSL VPN網關

 

 

 

 

# SSL VPN用戶sslvpnuser可以Ping通服務器地址20.2.2.2。

C:\>ping 20.2.2.2

Pinging 20.2.2.2 with 32 bytes of data:

Reply from 20.2.2.2: bytes=32 time=31ms TTL=254

Reply from 20.2.2.2: bytes=32 time=18ms TTL=254

Reply from 20.2.2.2: bytes=32 time=15ms TTL=254

Reply from 20.2.2.2: bytes=32 time=16ms TTL=254

 

Ping statistics for 20.2.2.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 15ms, Maximum = 31ms, Average = 20ms

# 在Device上可以看到SSL VPN用戶sslvpnuser的會話信息。

[Device] display sslvpn session user sslvpnuser

User              : sslvpnuser

Context           : ctxip

Policy group      : resourcegrp

Idle timeout      : 30 min

Created at        : 16:38:48 UTC Wed 07/26/2017

Lastest           : 16:47:41 UTC Wed 07/26/2017

User IPv4 address : 172.16.1.16

Allocated IP        : 10.1.1.1

Session ID        : 14

Web browser/OS    : Windows


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 H3C Telnet 配置 H3C配置telnet H3C DHCP配置 OSPF配置(H3C) H3C配置vlan H3C ARP配置 H3C配置命令 【H3C】Nqa配置 H3C 登錄配置 H3C ACL配置
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM