国家 / 地区

H3C MSR系列路由器典型配置举例(V5)-6W100

47-MSR系列路由器SSL VPN特性典型配置举例

本章节下载  (2.12 MB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Typical_Configuration_Example/H3C_MSR_(V5)-6W100/201401/812758_30005_0.htm

47-MSR系列路由器SSL VPN特性典型配置举例

MSR系列路由器SSL VPN特性典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



1  简介

本文档介绍SSL VPN特性的典型配置举例。

SSL VPN能够满足用户随时随地以多种方式接入网络、对用户访问权限进行严格限制的需求,具有跨平台、免安装、免维护的客户端和丰富有效的权限管理等特点。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解SSL VPN特性。

3  配置举例

3.1  组网需求

图1所示,Router B是Telnet服务器,AAA服务器、CA服务器和邮件服务器为一台Windows 2003 server设备,分别提供AAA认证,证书申请和邮件服务功能。要求:

·     远程接入用户需要通过SSL VPN以Telnet方式访问Router B设备。

·     远程接入用户需要通过SSL VPN以WEB方式访问WEB服务器。

图1 SSL VPN特性的典型配置组网图

设备

接口

IP地址

设备

接口

IP地址

Router A

GE0/0

16.1.1.1/24

CA服务器

 

168.32.36.2/16

 

Eth2/1

1.1.1.11/24

WEB服务器

 

192.168.0.1/24

 

Eth2/0

192.168.0.2/24

AAA服务器

 

168.32.36.2/16

 

Eth2/2

168.32.30.11/24

邮件服务器

 

168.32.36.2/16

Router B

Eth0/0

1.1.1.2/24

用户PC

 

16.1.1.2/24

 

3.2  配置思路

·     为了使普通用户能够以HTTPS方式登录SSL VPN网关的Web页面,需要开启路由器的HTTP功能。

·     为了使SSL VPN网关和远程接入用户可以验证彼此的身份,需要在路由器上配置证书服务。

·     通过指定使用的SSL服务器端策略,可以确定SSL VPN服务使用的SSL参数。

·     为了下载并运行“ActiveX控件”以便使用“TCP应用”和“IP网络”,需将使用SSL VPN的远程接入用户设置成管理员级别用户。

·     为了在PC上启用SSL VPN功能,在配置前需要对PC进行安全设置,在“Internet选项”中,“自定义级别”的“安全设置”中将“对没有标记为安全的ActiveX控件进行初始化和脚本运行”的选项修改为“启用”。

图2 安全设置

#

 

3.3  使用版本

本举例是在Release 2317版本上进行配置和验证的。

3.4  配置注意事项

·     在同时使用HTTPS和SSL VPN功能时,由于这两个模块默认监听端口都是443,修改SSL VPN策略后,需要同时去使能HTTPS和SSL VPN后,修改的策略才会生效。

·     配置SSL VPN应用的时候,不支持命令行配置方式,只能使用WEB方式进行,包括界面定制、配置用户、配置资源、配置组、配置WEB代理服务、配置TCP应用、配置IP应用、配置域、配置认证方式和配置安全策略等。

3.5  配置步骤

3.5.1  Router A的配置

·     命令行配置方式

# 配置接口GigabitEthernet0/0的IP地址。

<RouterA> system-view

[RouterA] interface gigabitethernet 0/0

[RouterA-GigabitEthernet0/0] ip address 16.1.1.1 255.255.255.0

[RouterA-GigabitEthernet0/0] quit

# 配置接口Ethernet2/0的IP地址。

[RouterA] interface ethernet 2/0

[RouterA-Ethernet2/0] ip address 192.168.0.2 255.255.255.0

[RouterA-Ethernet2/0] quit

# 配置接口Ethernet2/1的IP地址。

[RouterA] interface ethernet 2/1

[RouterA-Ethernet2/1] ip address 1.1.1.11 255.255.255.0

[RouterA-Ethernet2/1] quit

# 配置接口Ethernet2/2的IP地址。

[RouterA] interface ethernet 2/2

[RouterA-Ethernet2/2] ip address 168.32.30.11 255.255.255.0

[RouterA-Ethernet2/2] quit

# 配置PKI实体。

[RouterA] pki entity test

[RouterA-pki-entity-test] common-name 333

[RouterA-pki-entity-test] quit

# 配置PKI域。

[RouterA] pki domain test

[RouterA-pki-domain-test] ca identifier test

[RouterA-pki-domain-test] certificate request url http://168.32.36.2/certsrv/mscep/mscep.dll

[RouterA-pki-domain-test] certificate request from ra

[RouterA-pki-domain-test] certificate request entity test

[RouterA-pki-domain-test] crl check disable

[RouterA-pki-domain-test] quit

# 生成本地密钥对。

[RouterA] public-key local create rsa

# 生成CA证书。

[RouterA] pki retrieval-certificate ca domain test

# 生成CA签名的本地证书。

[RouterA] pki request-certificate domain test

# 设置加密卡为SSL方式,并重启设备使设置生效。

[RouterA] card-mode slot 13 ssl

# 配置SSL的策略。

[RouterA] ssl server-policy test

[RouterA-ssl-server-policy-test] pki-domain test

[RouterA-ssl-server-policy-test] crypto-accelerator Encrypt13/0

[RouterA-ssl-server-policy-test] quit

# 配置SSL策略和SSL VPN关联。

[RouterA] ssl-vpn server-policy test

# 使能SSL VPN。

[RouterA] ssl-vpn enable

# 配置本地用户。

[RouterA] local-user 1

[RouterA-luser-1] service-type web

[RouterA-luser-1] authorization-attribute level 3

[RouterA-luser-1] password simple 1

[RouterA-luser-1] quit

# 使能HTTP。

[RouterA] ip http enable

·     Web配置方式

# 定义SSL VPN用户

使用Web方式登录路由器,在导航栏中单击“VPN > SSL VPN > 用户管理 > 本地用户页面”,单击<新建>创建本地用户,进入用户定义页面,定义用户名为“111111”密码为“111111”的用户。

图3 新建本地账户界面图

 

# 配置Web代理功能——定义Web代理资源

进入“VPN > SSL VPN > 资源管理 > Web代理页面”,单击<新建>,如下方式定义Web代理,单击<确定>按钮完成操作。

图4 SSL VPN的Web代理界面图

 

# 配置Web代理功能——资源加入资源组

进入“VPN > SSL VPN > 资源管理 > 资源组页面”,单击<新建>定义资源组。资源组中选择已定义Web代理资源。

图5 SSL VPN的资源组界面图

 

# 配置Web代理功能——用户和资源通过资源组关联

进入“VPN > SSL VPN > 用户管理 > 用户组页面”,单击<新建>定义用户组,将用户和资源加入组中。

图6 SSL VPN的用户组界面图。

 

# 配置TCP应用

进入“VPN > SSL VPN> 资源管理 > TCP应用 > 桌面共享页面”,按照如下方式进行配置,单击<确定>按钮完成操作。

图7 SSL VPN的更改桌面共享服务界面图

 

将已配置的资源加入到资源组中。

图8 将配置的资源加入资源组图

 

# 配置IP应用——定义IP网络资源

进入“VPN > SSL VPN > 资源管理 > IP网络页面”,按照如下方式配置“全局配置”,单击<确定>按钮完成操作。

图9 全局配置图

 

# 配置IP应用——定义主机配置

进入“VPN > SSL VPN >资源管理 > IP网络 > 主机配置页面”,点击<新建>。按照如下方式设置“允许访问的网络服务”,单击<确定>按钮完成操作。

图10 配置允许访问的网络服务图

 

3.5.2  Router B的配置

# 配置接口Ethernet0/0的IP地址。

<RouterB> system-view

[RouterB] interface ethernet 0/0

[RouterB-Ethernet0/0] ip address 1.1.1.2 255.255.255.0

[RouterB-Ethernet0/0] quit

3.6  验证配置

(1)     验证“本地认证”功能。

在IE的地址栏中输入“https://16.1.1.1/svpn/”进入SSL VPN的登录页面,使用“111111”用户登录SSL VPN,登录成功。

图11 SSL VPN登录界面图

 

图12 SSL VPN用户访问界面图

 

(2)     验证“Web代理”功能

使用“111111”用户登录SSL VPN,在“Web站点”下面会出现已定义的“web”资源。

图13 用户111111登录的SSL VPN用户访问界面图

 

(3)     验证“桌面共享”功能

使用“111111”用户登录SSL VPN。

图14 用户111111登录的SSL VPN的用户访问界面图

 

点击“TCP应用”中的“mstsc”。

图15 远程桌面登录界面图

#

 

(4)     验证“IP网络”功能

远程接入用户在PC上使用DOS命令route  print查看计算机的路由表如下图所示生成两条路由。

图16 计算机的路由表图

#

 

使用“111111”用户登录SSL VPN,查看可以访问的网段资源会出现在图16显示的路由表中。

图17 用户111111登录的用户访问界面图

 

# 在Router A上生成一个“SSLVPN”接口。

[RouterA] display interface SSLVPN

SSLVPN1 current state: UP

Line protocol current state: UP

Description: SSLVPN1 Interface

The Maximum Transmit Unit is 1500

Internet Address is 29.1.1.1/24 Primary

3.7  配置文件

·     Router A:

#

pki entity test

 common-name 333

#

pki domain test

 ca identifier test

 certificate request url http://168.32.36.2/certsrv/mscep/mscep.dll

 certificate request from ra

 certificate request entity test

 crl check disable

#

local-user 1

 password simple 1

 authorization-attribute level 3

service-type web

#

ssl server-policy test

 pki-domain test

 crypto-accelerator Encrypt13/0

ssl server-policy access-policy

 pki-domain test

#

interface Ethernet2/0

 port link-mode route

 ip address 192.168.0.2 255.255.255.0

#

interface Ethernet2/1

 port link-mode route

 ip address 1.1.1.11 255.255.255.0

#

interface Ethernet2/2

 port link-mode bridge

 ip address 168.32.30.11 255.255.255.0

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 16.1.1.1 255.255.255.0

#

interface Encrypt13/0

#

ssl-vpn server-policy access-policy

 ssl-vpn enable

#

·     Router B :

#

interface Ethernet0/0

 port link-mode route

 ip address 1.1.1.2 255.255.255.0

#

4  相关资料

·     H3C MSR 系列路由器 命令参考(V5)-R2311

·     H3C MSR 系列路由器 配置指导(V5)-R2311

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们 联系我们
联系我们
回到顶部 回到顶部