- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath VPN 综合安全网关
典型配置举例
|
Copyright © 2023-2025 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
本文档介绍H3C SecPath VPN 综合安全网关(以下称VPN)的SSL和IPSEC配置举例。
SSL(安全套接字协议)是为网络通信提供安全及数据完整性的一种安全协议,在传输层和应用层之间对网络连接进行加密,SSL服务可以实现客户端通过登录的方式经身份等安全验证后访问内网资源的功能。
IPSEC协议是通过对IP协议的分组进行加密和认证来保护ip协议的网络传输协议族,IPSEC可以实现跨网段组局域网的功能,使不同地方的不同子网能够互联互通,组成跨地域的局域网,应用场景为总公司与多个子公司之间,以及子公司与子公司之间应用平台的建设及远程访问,需要保护数据的安全性。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解SSL和IPSEC。
该页面展示设备的版本信息、设备型号、硬盘容量和内存容量信息,直接点击<下一步>即可。
图1 设备配置详情
初始化时默认使用内置证书,直接点击<下一步>即可。
图2 CA证书类型选择
输入根证书的相关信息,其中名称、国家、有效起止时间、密钥类型、密钥长度为必填项,其他信息可根据需要输入,完成后点击<下一步>。
图3 CA证书初始化
· 根证书名称可输入caroot或其他长度在7位以内的数字及字母。
· 有效起始时间不能早于1990年,有效终止日期不能超过2036年,如无特殊要求证书起始时间早于添加配置的时间,终止时间设为2036年12月31日。
输入设备证书的相关信息,其中名称、国家、有效起止时间为必填项,其他信息可根据需要输入,完成后点击<下一步>。
· 此处有效起始时日期要晚于根证书有效起始时日期,有效终止日期要早于根证书有效终止日期。
安装KEY-SERVER程序,在主机USB key初始化页面右边,点击下载KEY-SERVER,下载并安装驱动程序客户端(Windows 64位)。下载客户端后,以管理员权限运行,按照安装提示,所有操作都选择是即可。
· 安装及使用客户端的过程中需要退出杀毒和安全类软件,否则可能出现安装失败或使用出现问题。
· 若出现安装失败,请检PC是否安装有VC运行库,若缺少相应的VC运行库,程序会安装失败。
图5 下载客户端
主机USB Key初始化,初始化时将两把主机USB Key插在进行操作的pc上,点击<刷新KEY>,分别选择主USB Key对应的序列号和从USB Key对应的序列号,点击<下一步>。主机USB Key初始化完成后需要将其中的一把主机USB Key插在VPN设备的USB接口上,否则会因初始化完成时设备自动重启过程中找不到主机USB Key而无法进入系统。
图6 主机key初始化
· 若安装客户端后点击<刷新KEY>依然无法读取USB Key,可查看pc上8090和433两个端口的占用情况,端口若被其它程序占用,请先关闭占用端口的程序。
· 主从USB Key作用一样,从USB Key相当于一个备份,当主USB Key遗失,可以将从USB Key插到设备前面板USB口上,请妥善保存好主机USB Key。
管理员初始化,设备配备了3把管理员USB Key,安全管理员、系统管理员、审计管理员。新的USB Key默认密码(PIN码)为12345678。在操作的管理PC上分别插入三把管理员USB Key。此处以安全管理员为例,点击<刷新KEY>,首先在KEY序列号中选择与安全管理员对应的序列号(USB Key背面),然后输入新密码并确认密码,点击<初始化安全管理员>按钮,初始化完后,点击<创建USB-KEY>,如下图所示,按照实际情况进行填写证书信息,填写完成后点击确定,然后同样的步骤进行系统管理员和审计管理员的初始化和证书创建,完成三种身份管理员的初始化操作和创建USB Key证书操作后,点击<下一步>。
· 此处进行管理员初始化整个过程中,尽量不要点击<上一步>或者重启设备的操作,如不小心操作,请使用skfhtml中的工具将USB Key的密码重置回12345678,重置完成后再按照指导进行初始化,并且在进行管理员初始化时需要在初始化页面<清空绑定KEY>。
· 管理员初始化完之后,如果想要更改管理员密码,可以使用该管理员登录管理界面,点击右上角管理员头像,点击修改密码按钮,修改后用新密码登录即可。
· 需要USB Key对应的原始密码是12345678时,管理员才能初始化成功,默认新USB Key的初始密码都是12345678,如果不是的话请使用工具skfhtml进行重置。
图7 管理员初始化
· 管理员USB Key初始化可一把一把进行。
点击<下一步>后,提示是否使用以上配置完成初始化,点击<确定>即可,完成初始化。初始化完成后会重启服务,等待一段时间后可以进入系统。
使用安全管理员的USB Key登录管理界面后可以看到证书管理 > CA管理,在这里新增根证书,证书分为内置证书和外置证书。
内置证书根据情况输入信息,其中名称、有效起始时间和有效终止时间必填,且终止时间要晚于起始时间即可,一般使用内置根证书,若有特殊要求也可以选择使用外置证书进行。
· 一般来说初始化完成后,即完成了相关根证书以及设备证书生成,此处可不用再进行证书更新。
· 有效终止日期不能小于起始时间,且不能晚于2036年12月31日,可以设置的长一些。
图9 内置证书配置
从外置CA签发机构获取外置根证书,将外置根证书直接导入即可。
生成根证书后需要生成设备证书,选择证书管理 > 设备证书页面。
点击<新增>,在弹出的窗口中选择内置设备证书,根据情况输入信息,其中名称、有效起始时间和有效终止时间必填,且终止时间要晚于起始时间。具体起始日期和终止日期根据需求确定,若无特殊要求建议起始时间早于当前时间,终止时间设置为2036年12月31日。
图11 设备证书配置示意图
图12 内置证书配置详情
若CA支持签发单证,则点击<新增>,在弹出的窗口中选择外置双P10,在外置CA列表中选中已上传的外置CA,根据情况输入信息,其中名称、有效起始时间和有效终止时间必填,且终止时间要晚于起始时间。具体起始日期和终止日期根据需求确定,若无特殊要求建议起始时间早于当前时间,终止时间设置为2036年12月31日,点击<确认>,会下载两个P10文件,分别对应加密和签名证书。将文件发送给CA以签发设备证书。
图13 证书类型选择配置
图14 外置双P10配置
拿到证书后导入到对应的证书下即可。
图15 证书导入示例
若CA支持签发双证,则点击<新增>,在弹出的窗口中选择外置单P10,在外置CA列表中选中已上传的外置CA,根据情况输入信息,其中名称、有效起始时间和有效终止时间必填,且终止时间要晚于起始时间。具体起始日期和终止日期根据需求确定,若无特殊要求建议起始时间早于当前时间,终止时间设置为2036年12月31日,点击<确认>,会下载签名P10文件,将签名P10发送给CA签发设备证书,将证书文件导入即可。
图16 证书类型选择配置
图17 外置单P10配置
图18 导入证书示例
链路聚合是一种将多个网络链路合并成一个逻辑链路以提高带宽、冗余性和负载均衡的网络技术。
使用系统管理员USB Key登录管理系统,进入系统配置 > 网络配置 > 链路聚合页面,点击<新增>。
图19 新增功能示例
在打开的页面选择需要的模式,再选择需要聚合的物理网口,以及聚合后的逻辑网口,然后点击<保存>。
图20 链路聚合网口配置
参数说明:
l 模式选择:主备模式(mode=1)。主备模式:在该模式下选择的逻辑网口为主链路,其他聚合的网口为副链路,当主链路发生故障时,副链路会接管业务;该模式下不需要交换机进行配置。
l Wan物理端口:实际的外网网口选择。
l Wan逻辑端口:聚合后的外网网口选择。
l Lan物理端口:实际的内网网口选择。
l Lan逻辑端口:聚合后的内网网口选择。
使用系统管理员USB Key登录管理系统,进入系统配置 > 网络配置 > 链路聚合页面,点击<新增>。
图21 新增功能示例
在打开的页面选择需要的模式,再选择需要聚合的物理网口,以及聚合后的逻辑网口,然后点击<保存>。
图22 链路聚合网口配置
参数说明:
l 模式选择:负载均衡(mode=0)。负载均衡:在该模式下,多个网络链路并行工作,并分摊网络流量,以确保负载均衡;该模式下需交换机进行静态链路聚合配置。
l Wan物理端口:实际的外网网口选择。
l Wan逻辑端口:聚合后的外网网口选择。
l Lan物理端口:实际的内网网口选择。
l Lan逻辑端口:聚合后的内网网口选择。
网络中的其他设备长pingVPN的逻辑网口IP,ping包正常后拔掉GE0/2口的网线,ping包正常。
聚合后的逻辑网口带宽为物理网口带宽之和。
可以通过页面,进行管理员密码的复杂度配置,包括密码长度、密码复杂度、登录失败次数限制以及锁定时间。页面也提供入口,实现密码修改周期的配置。
使用安全管理员USB Key登录管理系统,进入系统设置 > 管理员账号页面,选择任一管理员组,点击<编辑>。
图23 管理员组编辑示例
图24 管理员组密码复杂度编辑示例
参数说明:
l 口令密码策略(长度):密码限制的长度,输入8-16之内的整数。
l 口令安全策略(复杂度):密码的复杂度,分为低中高三档,输入框后面有对应复杂度的具体描述。
l 口令安全策略(失败次数):设置登录失败次数上限,输入1-10之内的整数。
l 口令安全策略(锁定时间-分钟): 登录失败次数达到上限后的锁定次数,输入1-30之内的整数。
配置完成后点击<保存>。
使用安全管理员USB Key登录管理系统,进入系统设置 > 管理员账号页面,点击页面<修改密码有效期>。
图25 密码有效期修改点击示例
图26 修改举例
输入1-180之间的整数后,点击<确定>生效。
在刚刚编辑过的系统管理员组下新建一个系统管理员1,设置密码时,可以看到对应管理员组的复杂度校验。
图27 密码复杂度校验举例
输入一个符合复杂度要求的PIN码,保存。
将新建的系统管理员1的USB Key插入设备,输入一个错误密码,点击<立即登录>。
图28 登录失败示例
图29 登录失败达上限示例
等过了设置的修改有效期时间之后,输入正确密码登录时,会弹出密码修改对话框。
图30 密码修改超过有效期示例
修改完密码后,可正常登录。
存在于公用网络的pc或者安卓手机需要访问被隔离于内网的网络资源时可以配置SSL VPN功能,SSL VPN支持串联和旁挂部署,此处以串联部署举例。
图31 串联组网部署
图32 旁挂组网部署
· 添加SSL资源
· 在用户组创建用户,并将创建的资源分配给该用户组
· 虚卡配置
· 映射网口
· 客户端登录VPN进行验证
· 若需配置主备或集群的高可用方案,先参考配置HA和集群完成后再进行资源和用户的添加。
· 配置前,请按照组网配置各接口地址以及网关,保证VPN内网口和资源互通,外网口和客户端互通。
使用系统管理员USB Key登录管理界面,选择SSLVPN设置 > 资源管理,选中默认资源组,点击<新增>,<L3VPN应用>,在打开的页面是输入资源名称,此处以L3VPN应用为例,点击<添加>,输入内网资源与VPN连接的IP网段,点击<保存>。
图33 添加资源示意图
图34 L3VPN应用web配置详情
选择SSLVPN设置 > 用户管理,选中默认用户组,点击<新增>,选择<用户>,在打开的页面中输入用户名、密码,然后点击<保存>。
图35 编辑用户组示意图
图36 创建用户示意图
· 同一把USB Key不可既做用户USB Key又做管理员USB Key,两种身份不可共用。
· 用户绑定USB Key操作参考Web配置指导。
选择SSLVPN设置 > 虚卡配置,可查看配置虚拟网卡详情,首次配置需点击虚卡生效按钮。
· 虚卡起转发资源的作用,用户登录后会在本地生成一张虚卡,会和VPN中的虚卡建立隧道连接,在这里配置完虚卡后VPN会通过生效的虚卡对资源进行转发。
图37 虚卡配置
选择SSLVPN设置 > 映射配置,新增映射网口,网口选择VPN与资源服务器连接的网口,点击<保存>。
图38 映射配置新增示意图
若需修改映射网口,选中需要修改的项,点击<编辑>。
图39 映射配置修改示意图
· 若使用旁路模式,映射配置仅添加旁路使用的网口即可。
客户端分为Windows客户端,安卓客户端及各国产化平台客户端,下载路径为https://管理地址:9494,将需要使用的安装文件放置对应的设备上安装使用即可。
· 使用客户端前请添加L3VPN资源并将资源分配给用户组,保证登录的用户拥有L3VPN资源,否则会登录失败。
· Windows及UOS双击可进行安装,银河麒麟在终端中运行dpkg -i 安装包名进行安装。
· 国产化平台卸载方式为终端中运行dpkg -r org.gnome.slink。
访问 https://管理地址:9494,在此页面可下载各版本客户端。
如果不确定使用哪款客户端:后台使用命令uname -a可查看。
如果是统信或银河麒麟操作系统显示如下,则页面选择飞腾客户端。
图40 操作系统版本查看
图41 客户端下载页面展示
中标麒麟操作系统可以根据相应的架构选择页面统信/银河麒麟版本的下载。
同样的windows系统页面选择Windows版本下载,Android系统页面选择Android,x86页面选择x86版本。
网络设置:
· 算法套件:客户端协商时使用的套件类型,使用默认配置即可。
· 日志等级: 客户端产生日志的等级设置,推荐使用默认配置。
· 服务地地址:要连接的VPN的IP地址。
· TCP端口:要连接的VPN的端口。
图42 网络设置
登录设置:
· 关闭自动登录:若想关闭客户端自动登录功能,可在此处进行设置。
· 开机自启:若需要客户端程序开机自启,可在此处进行设置。
· 启用SSO:若服务端配置了SSO环境,可在此处启用。
· 安全性校验:若需要客户端运行时检测运行环境是否安全,可在此处进行设置。
· 登录方式选择:包含用户名登录和USB-Key登录,可选择需要使用的登录方式。
图43 登录设置
ukey设置:
· 选择厂商:若使用环境中适配过其他厂商的USB Key,可在此处选择。
· 选择USB Key:选择要使用的USB Key的序列号。
· 用户应用:若为内置证书,容器名选择admin,若为外置证书则根据管理员提供名称进行选择。
· 用户容器:若为内置证书,容器名选择fcontainer0,若为外置证书则根据管理员提供名称进行选择。
· CA容器:若为内置证书,容器名选择fcontainer1,若为外置证书则根据管理员提供名称进行选择。
· 上传签发CA:若为内置证书则不用设置,若为外置证书则上传管理员提供的证书即可。
图44 ukey设置
同步设置:若使用环境中新适配了的第三方USB Key,可点击查询更新进行同步。
图45 同步设置
(3) Windows客户端登录
使用L3VPN资源需要使用客户端,以Windows客户端为例,打开VPN标识的客户端,点击<网络配置>页面,修改IP为VPN连接互联网的IP,端口默认8443为例,点击<保存>,点击<用户名登录>页面,在用户名登录输入添加用户时创建的test用户,输入密码,点击<登录>。此时即可在浏览器访问在192.168.17.0/24网段内部的资源了。
图46 客户端网络配置示意图
配置客户端与VPN的连接详细信息,点击<设置>切换到配置窗口。
图47 配置页面
参数说明:
· 日志等级:分为FATAL、ERR、WARN、INFO、DEBUG共5个等级,日志内容依次增加,默认使用ERR。
· 服务器地址:VPN的IP地址。
· 服务器端口:默认为8443。
· 选择厂商:要使用的USB Key的厂商。
· 选择USB Key:要使用的USB Key。
· 用户应用:选择admin。
· 用户容器:选择fcontainer0。
· CA容器:选择fcontainer1。
· 上传签发CA:当证书由第三方CA直接签发到USB Key中时,需要上传CA证书。
· 查询更新:当设备适配完其他厂商的USB Key时可在此处点击<查询更新>进行同步。
配置好后点击<保存>,会提示服务器地址配置成功!
· 安装及使用客户端的过程中需要退出杀毒和安全类软件,否则可能出现安装失败或使用出现问题。
· 使用客户端的设备上不要安装其他VPN客户端或类VPN客户端,否则会出现登录成功却无法正常访问资源的情况。
· 同一用户账号不可重复登录Windows的客户端程序,若在SSL接入选项页面开启了固定虚拟IP,则同一用户账号只能登录一个客户端。
使用用户名密码登录后可看到当前用户可以访问的资源详情。
图48 l3vpn资源展示页面
图49 web资源展示页面
之后在命令行ping资源ip, 能够ping通则说明配置成功。
图50 SSL配置成功示例
(4) 安卓客户端登录
运行客户端程序,点击<设置>按钮,配置服务器ip和端口,点击<保存>。
图51 客户端配置
输入用户名和密码,点击<登录>。点击登录后会弹出连接请求确认窗口,点击<确定>。
图52 客户端登录
确定后可看到已添加的资源,此时链路状态为开启。
图53 资源页面
· 若客户端登录提示错误,可参考故障排除手册进行处理。
· UDP端口一定要修改为0,否则点击开启VPN功能后会闪退。
· 安装VPN客户端后系统耗电量会增加,若提示电量相关问题,请选择允许客户端常驻后台。
· 同一用户账号不可重复登录安卓客户端程序,若在SSL接入选项页面开启了固定虚拟IP,则同一用户账号只能登录一个客户端。
在用户系统登录页下载客户端后存放至桌面,鼠标双击安装或在终端中通过dpkg -i 客户端程序名称的方式进行安装。
安装完成后双击桌面快捷方式运行客户端,点击<设置>切换到连接配置窗口。
图54 客户端配置
输入用户名和密码,点击<登录>。登录完成后会出现资源详情界面,界面下方显示VPN已开启。
图55 客户端登录
之后在命令行ping资源ip, 能够ping通则说明配置成功
图56 SSL配置成功示例
· 客户端卸载命令:dpkg -r slink。
· 同一用户账号不可重复登录同一个国产化平台的客户端程序,若在SSL接入选项页面开启了固定虚拟IP,则同一用户账号只能登录一个客户端。
使用系统管理员USB Key登录管理系统,进入SSL卸载设置 > SSL卸载页面,点击新增进行配置。
· 添加SSL卸载资源、使用证书、使用算法。
· 国密浏览器,通过设置的VPN代理端口进行验证,当前适配红莲花安全浏览器(5.0.100235.1)或360安全浏览器(v13.1.2002.25)。
· 对ssl卸载进行的新增,删除,编辑操作均需要点击生效按钮才能生效,建议所有的配置都完成后,在合适的时间统一进行生效。
点击<新增>后点击<国密>,进入国密卸载配置页面。
图57 SSL国密卸载
图58 SSL国密单向卸载配置
参数说明:
l 名称:卸载的资源名称。
l 资源协议:ipv4或者ipv6。
l 网络协议|资源ip:端口:选择http或https协议;填写要进行卸载的资源ip地址及端口
l 外部端口:代理端口,默认使用18500-18800段之间,且未被占用的端口。
l 模式选择:选择单向认证。
l 服务端签名证书:选择要使用的设备证书。
l 服务端加密证书:与签名证书配套的加密证书。
l HTTP HEADER和HTTP COOKIE:若添加的资源存在相关的配置,则在此处进行添加。
l 算法套件:选择要使用的算法。
点击<保存>后,点击<生效>。
图59 卸载生效
选择一款国密浏览器,红莲花安全浏览器(5.0.100235.1)或360安全浏览器(v13.1.2002.25),输入VPN设备地址及代理端口访问。
图60 配置生效示例
使用系统管理员USB Key登录管理系统,点击SSLVPN设置 > 用户管理 > 选择默认用户组 > 新增 > 用户,填写SSL用户基本信息,点击保存,创建SSL用户。
图61 创建用户示例
点击<创建USB-KEY>,填写用户USB Key基本信息,并输入USB Key密码,此处USB Key密码会同步为SSL用户密码,点击<确定>,完成用户创建。
使用安全管理员USB Key登录管理系统,点击证书管理 >CA管理页面,将显示为默认证书的CA下载到本地。
图62 CA证书下载
点击证书管理 > 可信证书列表页面。
左上角可信证书列表 —<上传证书>,选择<SSL国密>,进入<下一步>,将刚刚下载的CA证书上传。
图63 国密双向卸载证书上传
使用系统管理员USB Key登录管理系统,进入SSL卸载配置 > SSL卸载,点击<新增>,进入国密卸载配置页面。
图64 新增卸载
图65 新增卸载页面
参数说明:
l 名称:卸载的资源名称。
l 资源协议:资源地址协议ipv4或者ipv6。
l 网络协议|资源ip:端口:http协议或https协议|要进行卸载的资源ip地址及端口。
l 外部端口:代理端口,默认使用18500-18800段之间,且未被占用的端口。
l 模式选择:选择双向认证。
l 服务端签名证书:选择要使用的设备证书。
l 服务端加密证书:与签名证书配套的加密证书。
l 客户端可信证书选择:选择刚刚在可信证书列表里面上传的CA证书。
l HTTP HEADER和HTTP COOKIE:若添加的资源存在相关的配置,则在此处进行添加。
l 算法套件:选择要使用的算法。
点击<保存>后,点击<生效>。
图66 生效示例
使用系统管理员USB Key登录管理系统,进入SSL卸载配置 > SSL卸载,点击编辑,查看刚刚新建的双向卸载中使用的服务端签名证书和加密证书的名称。
图67 服务端设备证书示例
使用安全管理员USB Key登录管理系统,点击证书管理 >(CA)设备证书页面,找到配置双向卸载使用的设备证书对应的CA证书名称。
图68 设备证书页面
点击证书管理 >CA管理页面,找到配置双向卸载使用的设备证书对应的CA证书并下载至本地。
图69 服务端证书下载
选择支持国密协议的国密浏览器进行验证,打开浏览器设置-高级-隐私设置和安全性-管理证书-其他人-导入,这里导入刚刚下载的服务端CA证书即可。这里上传可信证书仅为示例,其他国密浏览器同理。
图70 浏览器配置
注:若使用360国密浏览器,注意勾选身份鉴别选项,如下图。
图71 高级选项
(6) 32位key库升级
保证keyserver服务在运行(keyserver服务可通过ssl客户端实现)。
图72 任务管理器页面展示
将32位key的库(可在E6101P01归档版本里下载)放在C:\Windows\SysWOW64下(64位的库暂不适配)。
图73 key库文件
Win+R,输入regedit,在计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Cryptography\Defaults\Provider路径下先建项,名称为fisec,在fisec项内建字符串值,名称为SKFImagePath,数值数据为C:\Windows\SysWOW64\KeyGDBApi.dll。
图74 注册表示例
将(1)中创建的用户USB Key在当前PC上,输入安全接入网关的地址及卸载的端口访问。选择USB Key中所使用的证书点击确定,证书名称为“用户名称+Sign”。
图75 页面展示
下一步输入USB Key的PIN码。
图76 输入密码
页面成功访问。
图77 访问示例
点击<新增>后,点击<国际>,进入国际卸载配置页面。
图78 SSL国际卸载
图79 国际卸载配置示例
参数说明:
l 资源协议:ipv4或者ipv6。
l 网络协议|资源ip:端口:选择http或https协议;填写要进行卸载的资源ip地址及端口
l 外部端口:代理端口,默认使用18500-18800段之间。
l 模式选择:单向认证。
l HTTP HEADER:若添加的资源存在相关的配置,则在此处进行添加。
l 证书选择:默认选择内置证书。如要选择外置证书,则需要先在证书管理处上传所需的外置证书后,再进行配置。
点击<保存>后,点击<生效>。
图80 卸载生效
选择任意一款浏览器,输入VPN地址及外部端口进行访问。
图81 卸载生效示例
两台VPN(一台主机一台备机)共用1个虚拟IP(客户端网络配置中的IP)对外提供服务,正常情况下客户端访问的是主机,当主机出现故障时客户端会访问到备机,这种方案保证可增强系统的稳定性,在设备出现故障时不影响使用。
配置说明:两台VPNGE0/0口IP分别为192.188.4.184和192.188.4.186,共用的 虚拟IP为192.188.4.180;内网资源挂在GE0/1口,IP分别为192.168.27.184和192.168.27.186,共用的虚拟IP为192.168.27.180。
图82 SSLHA拓扑
以VPN1为主机,VPN2为备机进行配置。
(1) VPN1操作
在VPN1上以安全管理员身份登录管理界面,选择系统维护>密钥备份/恢复,点击<备份初始化>。
图83 备份页面展示
插入USB Key,每次插入后点击<刷新>按钮刷新页面读取到的USB Key,点击选择智能密码钥匙列表,选中要使用的USB Key,输入对应的PIN码,点击<导入密钥>,提示导入成功后更换下一把USB Key,该操作需进行5次,使用5把USB Key(可以使用管理员USB Key)。
图84 密钥备份页面
图85 导入成功提示语
第五次完成后页面会更新为下图,点击<开始备份>,下载密钥备份文件。
图86 密钥备份页面
· 备份的数据包中含证书、密钥数据。
(2) VPN2操作
在VPN2上以安全管理员身份登录管理页面,选择系统维护>密钥备份/恢复,点击<备份初始化>。
图87 备份页面展示
插入USB Key,在密钥备份处,每次插入后点击<刷新>按钮刷新页面读取到的USB Key,点击选择智能密码钥匙列表,选中要使用的USB Key,输入对应的PIN码,点击<导入密钥>,提示导入成功后更换下一把USB Key,该操作需进行5次,使用5把USB Key。
图88 密钥备份页面
图89 导入成功提示语
第五次完成后,在密钥恢复部分选择前面使用的5把USB Key中的3把,输入PIN码后点击<导出密钥>,页面显示如下,输入3把后会显示数据文件恢复的选项。
图90 密钥恢复页面
点击<选择文件>,选择VPN1上备份下来的文件,点击<开始恢复>。
图91 恢复示例
恢复完成后使用系统管理员身份登录VPN2的管理页面,选择SSLVPN设置>虚卡配置,点击<虚卡生效>按钮,完成证书同步。
图92 证书同步示例
· 主机USB Key、管理员USB Key和用户USB Key都可用于密钥备份恢复功能使用。
· 两台VPN备份恢复密钥时,同一把USB Key可在两台设备上重复使用。
分为两个步骤,需要分别在VPN1和VPN2上进行操作。
(1) VPN1配置虚拟ip
在VPN1上,使用系统管理员身份登录管理页面,选择高可用>keepalived>实例配置页面,点击<增加实例>。
· 实例名称:v180_184
· 心跳检测网卡:GE0/0,GE0/1
· VRID标识:180
· 优先级:100
· 虚拟IP:192.188.4.180/24,192.168.27.180/24
· 实例绑定网卡:GE0/0,GE0/1
· 心跳包检测间隔:5秒
填写完成后点击<保存>,然后点击<配置生效>,如下图。
图93 参数配置
· 优先级范围1-100, 在这个范围中两台机器的配置优先级高的为主机,低的为备机。
· 主备机优先级配置一致时,启用非抢占模式才生效,先点击生效的设备为主机。
(2) VPN2配置虚拟ip
在VPN2上,使用系统管理员身份登录管理页面,选择高可用>keepalived>实例配置页面,点击<增加实例>。
· 实例名称:V184_180
· 心跳检测网卡:GE0/0,GE0/1
· VRID标识:180(与主机一致)
· 优先级:80
· 虚拟IP:192.188.4.180/24,192.168.27.180/24
· 实例绑定网卡:GE0/0,GE0/1
· 心跳包检测间隔:5秒
填写完成后点击<保存>,然后点击<配置生效>,如下图。
图94 参数配置
· Keepalived配置前需将配置使用的网口连接上网线。
· 若使用旁路模式,则仅需配置监控旁路使用的网口即可,此时只需要配置一个外网口虚拟IP。
· 当主机死机或网口状态异常时,业务会切换到备机。
主机的“本端启用状态”如下图所示。
图95 生效效果展示
· 在双机状态下,会以本页面的“本端启用状态”一栏,来判断是否是主机。只有当该页面所有配置的“本端启用状态”均为“√”时,该设备才会被视为当前双机环境下的主机,并从该主机向备机同步服务配置。
· 为保证服务配置文件同步效果,请确保添加的实例配置是按正确方式配置的。
在VPN1上,以系统管理员身份登录管理界面,选择高可用>双主复制,点击<开启服务>,在打开的页面输入VPN2的GE0/0口IP,点击<开启服务>。
图96 开启服务示例
点击高可用>双主复制页面中的备份/恢复,在弹出的窗口中点击<下载>,保存备份的数据库文件。
图97 数据备份
· 配置双主复制之前请确保主备设备时间一致,设备SSL VPN配置和IPSEC配置保持一致,否则需要在主机上备份文件恢复到其他设备上。
· 两台设备会同步SSL VPN用户管理、资源管理、SSL卸载以及IPSEC等的配置,其他网络相关配置不会同步。
· 备份文件数据包包括IPSec配置、卸载配置、用户组、用户、资源组、资源等数据。
服务类型选择master,本机ID输入1,点击<保存>。
图98 服务主机ID设置
提示配置成功后,二进制文件名和文件偏移量会自动填充,将两个值复制。
图99 master主机配置
在VPN2上以系统管理员身份登录管理界面,选择高可用>双主复制,点击<开启服务>,在打开的页面输入VPN1的GE0/0口IP,点击<开启服务>。
图100 开启服务
点击高可用>双主复制页面中的备份/恢复,在配置还原中点击<选择>,选择从VPN1上备份的数据库文件,点击<上传>。
图101 数据还原
服务类型选择slave,本机ID为2,IP填写VPN1的GE0/0口地址192.188.4.184,将VPN1上的二进制文件名和偏移量粘贴过来,点击<保存>。
图102 slave端配置
至此以VPN1为主,VPN2为从的热备配置同步完成,需要再以VPN2为主,VPN1为从配置一遍。
即VPN2上,服务类型选择master,本机ID为2,点击保存,待提示通过后复制二进制文件名及文件偏移量。
图103 master端配置
在VPN1上以系统管理员身份登录管理界面,选择高可用>双主复制,服务类型选择slave,本机ID为1,IP填VPN2的GE0/0口地址192.188.4.186,二进制文件名和文件偏移量粘贴VPN2的,点击<保存>,等待结果提示。
图104 slave端配置
至此双机热备配置完成。
· 状态监控面板出现红色错误提示时,可点击右上角的帮助查看错误信息提示。
· 双主复制状态同步需要时间,若页面显示红色日志,可多等待一段时间。
· 只有在配置好双主复制和keepalived的情况下两台VPN的用户、资源数据以及SSL、卸载和IPSEC等服务配置才可同步。
以系统管理员身份登录VPN1管理界面,选择SSLVPN设置 > 资源管理,选中默认资源组,点击<新增>,<L3VPN应用>,在打开的页面是输入资源名称,此处以L3VPN为例,点击<添加>,输入内网资源与VPN连接的IP段192.168.27.0/24,点击<保存>。
图105 添加资源示意图
图106 资源详情
图107 web资源详情
以系统管理员身份登录VPN1管理界面,选择SSLVPN设置 > 用户管理,选中默认用户组,点击<新增>,在打开的页面中输入用户名,然后点击<保存>。
图108 编辑用户组示意图
图109 创建用户示意图
用系统管理员登录管理页面,选择SSLVPN设置 > 虚卡配置,可查看配置虚拟网卡详情,首次配置需点击虚卡生效按钮。
· 虚卡起转发资源的作用,用户登录后会在本地生成一张虚卡,会和VPN中的虚卡建立隧道连接,在这里配置完虚卡后VPN会通过生效的虚卡对资源进行转发。
· 主设备的虚卡开启状态会自动同步到备设备上。
图110 虚卡配置
使用系统管理员登录设备管理系统,选择SSLVPN设置 > 映射配置,点击<新增>,网口选择VPN与服务器连接的网口GE0/1,点击<保存>。
图111 映射配置修改示意图
· 如果主备机使用的业务网口不一致,则除了添加主机业务网口外,还需要添加上备机的业务网口。
相关操作可参考7.3.5 登录客户端,其中连接VPN地址以及资源地址根据实际组网进行配置。
当HA环境需要进行拆除时,需要对设备进行配置操作。
以系统管理员身份登录备机VPN管理界面,选择高可用 > keepalived,在备机VPN设备上删除所有实例,并点击配置生效。
图112 keepalived页面
选择高可用 > 双主复制,点击<管理已开启服务的设备>按钮,将配置双主复制中添加的主机删除。
图113 管理开启服务设备页面
点击<重置双机状态>按钮,弹出提示框,点击<确认>。
图114 重置双机状态
以系统管理员身份登录主机VPN管理界面,选择高可用 > keepalived,在主机VPN设备上删除所有实例,并点击配置生效。
图115 keepalived配置页面
选择高可用 > 双主复制,点击管理已开启服务的设备按钮,将配置双主复制中添加的备机删除。
图116 管理开启服务设备页面
点击<重置双机状态>按钮,弹出提示框,点击<确认>。
图117 重置双机状态
两台VPN(一台主机一台备机)共用1个虚拟IP(客户端网络配置中的IP)对外提供服务,后面添加若干台被负载VPN共同对外提供服务,这种方案可应对大用户量的情况,在被负载设备出现故障时不影响使用,后续扩容也更加容易。
配置说明:两台VPN的GE0/0口IP分别为192.188.4.184和192.188.4.186,共用的 虚拟IP为192.188.4.180;GE0/1口IP分别为192.168.27.184和192.168.27.186,共用的虚拟IP为192.168.27.180,内网资源通过被GE0/1口与被负载VPN进行连接,IP在192.168.37.0/24子网网段中。
本文档以VPN1为主机,VPN2为备机,后接一台被负载VPN为例进行配置。若负载多台相关配置参考子节点说明,组网供参考。
图118 SSL集群负载拓扑
(1) VPN1操作
在VPN1上以安全管理员身份登录管理界面,选择系统维护>密钥备份/恢复,点击<备份初始化>。
图119 备份页面展示
此过程需要共需要插入5把USB Key,插入USB Key,每次插入后点击<刷新>按钮刷新页面读取到的USB Key,点击选择智能密码钥匙列表,选中要使用的USB Key,输入对应的PIN码,点击<导入密钥>,提示导入成功后更换下一把USB Key,到此完成一次操作,重复上述操作插入下一把USB Key,该操作需进行5次,共使用5把USB Key(可以使用管理员USB Key)。
图120 密钥备份页面
图121 导入成功提示语
第五次完成后页面会更新为下图,点击<开始备份>,下载密钥备份文件。
图122 备份页面展示
· 备份的数据包中含证书、密钥数据。
(2) VPN2操作
在VPN2上以安全管理员身份登录管理页面,选择系统维护>密钥备份/恢复,点击<备份初始化>。
图123 密钥备份页面
插入USB Key,在密钥备份处,每次插入后点击<刷新>按钮刷新页面读取到的USB Key,点击选择智能密码钥匙列表,选中要使用的USB Key,输入对应的PIN码,点击<导入密钥>,提示导入成功后更换下一把USB Key,该操作需进行5次,使用5把USB Key。
图124 密钥备份详情页面
图125 导入成功提示语
第五次完成后,在密钥恢复部分选择前面使用的5把USB Key中的3把,输入PIN码后点击<导出密钥>,页面显示如下,输入3把后会显示数据文件恢复的选项。
图126 密钥恢复页面
点击<选择文件>,选择VPN1上备份下来的文件,点击<开始恢复>。
图127 恢复页面示例
恢复完成后使用系统管理员身份登录VPN2的管理页面,选择SSLVPN设置>虚卡配置,点击<虚卡生效>按钮,完成证书同步。
图128 证书同步示例
· 主机USB Key、管理员USB Key和用户USB Key都可用于密钥备份恢复功能使用。
· 两台VPN备份恢复密钥时,同一把USB Key可在两台设备上重复使用。
· 证书密钥同步操作仅备机操作,子节点无需进行。
在子节点设备上,使用系统管理员登录管理系统,进入系统设置>系统配置>控制台配置页面,将用于负载服务的虚拟IP地址以及负载主备机的真实IP地址,添加到负载主机白名单中,并将远程维护支持状态修改为启用,指定允许远程IP可为空,点击<保存>。
图129 负载主机白名单举例
图130 远程维护支持
(2) VPN1操作
在VPN1上,使用系统管理员身份登录管理页面,选择高可用>keepalived>实例配置页面,点击<增加实例>。
· 实例名称:v180_184
· 心跳检测网卡:GE0/0,GE0/1
· VRID标识:180
· 优先级:100
· 虚拟IP:192.188.4.180/24,192.168.27.180/24
· 实例绑定网卡:GE0/0,GE0/1
· 心跳包检测间隔:5
填写完成后点击<保存>,然后点击<配置生效>,如下图
· 优先级范围1-100, 在这个范围中两台机器的配置优先级高的为主机,低的为备机。
图131 参数配置
在VPN2上,使用系统管理员身份登录管理页面,选择高可用>keepalived>实例配置页面,点击<增加实例>。
· 实例名称:V184_180
· 心跳检测网卡:GE0/0,GE0/1
· VRID标识:180(与主机一致)
· 优先级:80
· 虚拟IP:192.188.4.180/24,192.168.27.180/24
· 实例绑定网卡:GE0/0,GE0/1
· 心跳包检测间隔:5
填写完成后点击<保存>,然后点击<配置生效>,如下图
图132 参数配置
使用系统管理员身份登录管理页面,选择系统设置>网络设置>部署模式页面,将主备机GE0/1口的虚拟IP设置为子节点的默认网关。
图133 参数配置
在VPN1和VPN2上使用系统管理员身份登录管理页面,选择高可用>keepalived页面,添加对外提供服务的IP和端口,切换到负载均衡页面,点击添加实例配置如下
· 虚拟ip:192.188.4.180(对外提供SSL服务的虚拟IP)
· 内网虚拟IP:主备VPN与被负载VPN连接的网口虚拟IP
· 转发端口:8443(对外提供SSL服务的端口号)
· 调度算法:rr:轮询调度,将请求依次负载给VPN
· 转发模式:NAT
· 协议:TCP
点击<保存>生效配置。
图134 参数配置
点击操作里的<+>,添加被负载VPN的端口
· 被负载VPN管理页面地址:192.188.27.84:8181(被负载VPN的管理页面地址)
· 选择端口:被负载VPN的SSL服务端口号(此处以8443为例)
· 权重:范围1~7,输入5即可
· 检查方式:TCP_CHECK
图135 参数配置
配置完成后点击<配置生效>。
上面配置后的效果是客户端通过192.168.27.180和8443登录客户端,请求会被负载到192.168.27.84这台VPN的8443端口上。
在VPN1上,以系统管理员身份登录管理界面,选择高可用>双主复制,点击<开启服务>,在打开的页面输入VPN2的GE0/0口IP,点击<开启服务>。
图136 开启服务
点击备份/恢复,在弹出的窗口中点击<下载>,保存备份的数据库文件。
图137 数据备份
· 配置双主复制之前请确保主备设备时间一致,设备SSL VPN配置和IPSEC配置保持一致,否则需要在主机上备份文件恢复到其他设备上。
· 两台设备会同步SSL VPN用户管理、资源管理、SSL卸载以及IPSEC等的配置,其他网络相关配置不会同步。
· 备份文件数据包包括IPSec配置、卸载配置、用户组、用户、资源组、资源等数据。
服务类型选择master,本机ID输入1,点击<保存>。
图138 master端ID设置
提示配置成功后,二进制文件名和文件偏移量会自动填充,将两个值复制。
图139 master端配置
在VPN2上以系统管理员身份登录管理界面,选择高可用>双主复制,点击<开启服务>,在打开的页面输入VPN1的GE0/0口IP,点击<开启服务>。
图140 开启服务
点击备份/恢复,在配置还原中点击<选择>,选择从VPN1上备份的数据库文件,点击<上传>。
图141 配置还原
服务类型选择slave,本机ID为2,IP填写VPN1的GE0/0口地址192.188.4.184,将VPN1上的二进制文件名和偏移量粘贴过来,点击<保存>。
图142 slave端配置
至此以VPN1为主,VPN2为从的热备配置同步完成,需要再以VPN2为主,VPN1为从配置一遍。
即VPN2上,服务类型选择master,本机ID为2,点击保存,待提示通过后复制二进制文件名及文件偏移量。
图143 master端配置
在VPN1上以系统管理员身份登录管理界面,选择高可用>双主复制,服务类型选择slave,本机ID为1,IP填VPN2的GE0/0口地址192.188.4.186,二进制文件名和文件偏移量粘贴VPN2的,点击<保存>,等待结果提示。至此双机热备配置完成。
· 状态监控面板出现红色错误提示时,可点解右上角的帮助查看错误信息提示。
· 双主复制状态同步需要时间,若页面显示红色日志,可多等待一段时间。
· 只有在配置好双主复制和keepalived的情况下两台VPN的用户、资源数据以及SSL、卸载和IPSEC等服务配置才可同步。
以系统管理员身份登录VPN1管理界面,选择SSLVPN设置 > 资源管理,选中默认资源组,点击<新增>,<L3VPN应用>,在打开的页面是输入资源名称,此处以L3VPN为例,点击<添加>,输入内网资源的IP段192.168.37.0/24,点击<保存>。
图144 添加资源示意图
图145 资源详情
图146 L3VPN资源详情
以系统管理员身份登录主设备管理界面,选择SSLVPN设置 > 用户管理,选中默认用户组,点击<新增>,在打开的页面中输入用户名,然后点击<保存>。
图147 编辑用户组示意图
图148 创建用户示意图
用系统管理员登录管理页面,选择SSLVPN设置 > 虚卡配置,可查看配置虚拟网卡详情,首次配置需点击虚卡生效按钮。
· 虚卡起转发资源的作用,用户登录后会在本地生成一张虚卡,会和VPN中的虚卡建立隧道连接,在这里配置完虚卡后VPN会通过生效的虚卡对资源进行转发。
· 主设备的虚卡状态会自动同步到备设备上。
图149 虚卡配置
使用系统管理员分别登录VPN1和被负载的子节点管理页面,选择SSLVPN设置 > 映射配置,点击<新增>,VPN1映射端口选择为与被负载子节点连接的网口GE0/1,子节点选择与服务器连接的网口GE0/1,点击<保存>。
图150 映射配置新增示意图
· 如果主备机使用的业务网口不一致,则除了添加主机业务网口外,还需要添加上备机的业务网口。
使用系统管理员登录管理页面,选择SSLVPN设置 > 虚卡配置,点击虚卡生效按钮。
相关操作可参考7.3.5 登录客户端,其中连接VPN地址以及资源地址根据实际组网进行配置。
当集群环境需要进行拆除时,不能直接将设备直接从环境里拿出,需要进行配置还原操作。
在主机上将需要拆除的子节点设备全部删除,然后点击配置生效,该子节点将完全退出集群环境。
图151 负载均衡页面
然后在当前tab页中删除实例项。
图152 负载均衡页面
拆除HA步骤请参考拆除HA典型配置。
如下图所示,两台安全网关的GE0/0网口通过交换机互联,然后分别在两台网关的GE0/1口连接两个子网资源,配置ipsec隧道后,两个子网可以相互ping通。
图153 IPSEC配置组网图
分别使用安全管理员登陆VPN1和VPN2,选择证书管理>CA管理,下载当前使用的根证书。
图154 下载根证书
证书下载完成后在证书管理>可信证书列表,点击<上传证书>,证书用途选择IPSEC点击<下一步>,上传对端的根证书(VPN1上上传VPN2的根证书,VPN2上上传VPN1的根证书)。
图155 上传可信证书
(1) VPN1配置
以系统管理员身份登录管理页面,选择IPSECVPN设置 > 连接管理,切换至保护节点标签页,点击<新增>,输入以下配置,点击<确定>。
图156 新增保护节点
参数说明:
· 节点名称:新增节点的名字。
· 网络类型:IPv4协议。
· 本端VPN地址:VPN1接入互联网的IP。
· 本端内部子网:VPN1与子网1的网络。
· 对端VPN地址:VPN2接入互联网的IP。
· 对端内部子网:VPN2与子网2的网络。
切换至SA策略标签页,点击<新增>,输入以下配置,点击<确定>。
图157 新增SA策略
参数说明:
· SA策略名称:添加的策略名称。
· IKE算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
· ESP算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
· ISA存活时间:第一阶段协商产生的密钥的存活时间,单位可为秒,分和时,最大时间为8小时。每达到一个存活时间就会协商出新的密钥,可参考上述图片中的取值。
· SA存活时间:第二阶段协商产生的密钥的存活时间,单位可为秒,分和时,最大时间为2小时。每达到一个存活时间就会协商出新的密钥,可参考上述图片中的取值。
· SA更新误差:SA更新允许存在的误差时间,单位可为秒,分和时,SA更新时间=SA存活时间±SA误差时间,两端配置的SA更新误差最好不同以错开更新时间,可参考上述图片中的取值。
· SA更新抖动:SA更新误差的误差,单位为百分数,SA更新时间=SA存活时间±SA误差时间*(1±更新抖动),可参考上述图片中的取值。
· DPD周期:每隔多久检查一次隧道连接情况;过期:当前连接检测情况多久失效;行为:过期后的行为,若无特殊需求一般主动端选择为重协商,被动端选择清除SA,可参考上述图片中的取值。
· 重试次数:失败时的重试次数。
切换至IPSEC连接标签页,点击<新增>,连接类型选择被动,保护节点、SA策略签名证书选择已添加的节点策略和证书,下一跳地址无需要时为空,点击<确定>。
图158 新增IPSEC连接
参数说明:
· 连接名称:添加的IPSEC连接名称。
· 连接类型:可选主动或被动,隧道仅能由主动端发起并进行管理。
· 保护节点:选择已添加的保护节点。
· SA策略:选择已添加的SA策略。
· 签名证书:建立隧道使用的签名证书。
· 加密证书:建立隧道使用的加密证书。
· 下一跳地址:与对端VPN建立连接时若需配置下一跳地址时可填,其他情况下无需配置。
(2) VPN2配置
以系统管理员身份登录管理页面,选择IPSECVPN设置 > 连接管理,切换至保护节点标签页,点击<新增>,输入以下配置,点击<确定>。
图159 新增保护节点
参数说明:
· 节点名称:新增节点的名字。
· 网络类型:IPv4协议。
· 本端VPN地址:VPN2接入互联网的IP。
· 本端内部子网:VPN2与子网2的网络。
· 对端VPN地址:VPN1接入互联网的IP。
· 对端内部子网:VPN1与子网1的网络。
切换至SA策略标签页,点击<新增>,输入以下配置,点击<确定>。
图160 新增SA策略
参数说明:
· SA策略名称:添加的策略名称。
· IKE算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
· ESP算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
· ISA存活时间:第一阶段协商产生的密钥的存活时间,单位可为秒,分和时,最大时间为8小时。每达到一个存活时间就会协商出新的密钥,可参考上述图片中的取值。
· SA存活时间:第二阶段协商产生的密钥的存活时间,单位可为秒,分和时,最大时间为2小时。每达到一个存活时间就会协商出新的密钥,可参考上述图片中的取值。
· SA更新误差:SA更新允许存在的误差时间,单位可为秒,分和时,SA更新时间=SA存活时间±SA误差时间,两端配置的SA更新误差最好不同以错开更新时间,可参考上述图片中的取值。
· SA更新抖动:SA更新误差的误差,单位为百分数,SA更新时间=SA存活时间±SA误差时间*(1±更新抖动),可参考上述图片中的取值。
· DPD周期:每隔多久检查一次隧道连接情况;过期:当前连接检测情况多久失效;行为:过期后的行为,若无特殊需求一般主动端选择为重协商,被动端选择清除SA,可参考上述图片中的取值。
· 重试次数:失败时的重试次数。
切换至IPSEC连接标签页,点击<新增>,连接类型选择主动,保护节点、SA策略签名证书选择已添加的节点策略和证书,下一跳地址无需要时为空,点击<确定>。
图161 新增IPSEC连接
参数说明:
· 连接名称:添加的IPSEC连接名称。
· 连接类型:可选主动或被动,隧道仅能由主动端发起并进行管理。
· 保护节点:选择已添加的保护节点。
· SA策略:选择已添加的SA策略。
· 签名证书:建立隧道使用的签名证书。
· 加密证书:建立隧道使用的加密证书。
· 下一跳地址:与对端VPN建立连接时若需配置下一跳地址时可填,其他情况下无需配置。
两台设备分别点击<生效>按钮会生效所有的连接,弹出的确认对话框选择确定。
图162 生效配置
提示成功后点击连接右边查看按钮可以查看隧道状态。
图163 状态查看
分别在两台VPN上192.168.71.0/24段与192.168.72.0/24段网口上接入两台Windows设备(IP配置为192.168.71.198和192.168.72.198)并配置好网络,Windows设备除IP设置匹配192.168.71.0/24段与192.168.72.0/24段外,网关也要设置成对应连接VPN的网口IP。在一台Windows设备上ping另一台Windows设备的IP,能通则表示配置成功。
图164 验证示例
图165 验证示例
“IPSEC + GRE” 是一种常用的隧道技术组合,主要用于在两个网络之间安全地传输数据。在VPN中GRE 负责封装OSPF协议(打包运输),IPSEC 负责加密传输(保护数据)。GRE会在VPN上生成虚卡,虚卡之间通过IPSEC隧道通信,配置时需要在OSPF管理页面将虚卡和子网宣告出去。
可参考11.2.1 上传可信证书进行配置。
(1) VPN1配置
以系统管理员身份登录管理页面,选择IPSECVPN设置 > 连接管理,切换至保护节点标签页,点击<新增>,输入以下配置,点击<确定>。
图166 新增保护节点
参数说明:
· 节点名称:新增节点的名字。
· road warrior:选择“否”
· 子网网络类型:ipv4/ipv6协议。
· 本端VPN地址:VPN1接入互联网的IP。
· 本端内部子网:为空。
· 对端VPN地址:VPN2接入互联网的IP。
· 对端内部子网:为空。
切换至SA策略标签页,点击<新增>,输入以下配置,点击<确定>。
图167 新增SA策略
参数说明:
· SA策略名称:添加的策略名称。
· IKE算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
· ESP算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
· ISA存活时间:第一阶段协商产生的密钥的存活时间,单位可为秒,分和时,最大时间为8小时。每达到一个存活时间就会协商出新的密钥,可参考上述图片中的取值。
· SA存活时间:第二阶段协商产生的密钥的存活时间,单位可为秒,分和时,最大时间为2小时。每达到一个存活时间就会协商出新的密钥,可参考上述图片中的取值。
· SA更新误差:SA更新允许存在的误差时间,单位可为秒,分和时,SA更新时间=SA存活时间±SA误差时间,两端配置的SA更新误差最好不同以错开更新时间,可参考上述图片中的取值。
· SA更新抖动:SA更新误差的误差,单位为百分数,SA更新时间=SA存活时间±SA误差时间*(1±更新抖动),可参考上述图片中的取值。
· DPD周期:每隔多久检查一次隧道连接情况;过期:当前连接检测情况多久失效;行为:过期后的行为,若无特殊需求一般主动端选择为重协商,被动端选择清除SA,可参考上述图片中的取值。
· 重试次数:失败时的重试次数。
切换至IPSEC连接标签页,点击<新增>,连接类型选择被动,保护节点、SA策略签名证书选择已添加的节点策略和证书,下一跳地址无需要时为空,点击<确定>。
图168 新增IPSEC连接
参数说明:
· 连接名称:添加的IPSEC连接名称。
· 连接类型:可选主动或被动,隧道仅能由主动端发起并进行管理。
· 保护节点:选择已添加的保护节点。
· SA策略:选择已添加的SA策略。
· 签名证书:建立隧道使用的签名证书。
· 加密证书:建立隧道使用的加密证书。
· 下一跳地址:与对端VPN建立连接时若需配置下一跳地址时可填,其他情况下无需配置。
(2) VPN2配置
以系统管理员身份登录管理页面,选择IPSECVPN设置 > 连接管理,切换至保护节点标签页,点击<新增>,输入以下配置,点击<确定>。
图169 新增保护节点
参数说明:
· 节点名称:新增节点的名字。
· Road warrior:选择“否”。
· 子网网络类型:ipv4/ipv6协议。
· 本端VPN地址:VPN2接入互联网的IP。
· 本端内部子网:为空。
· 对端VPN地址:VPN1接入互联网的IP。
· 对端内部子网:为空。
切换至SA策略标签页,点击<新增>,输入以下配置,点击<确定>。
图170 新增SA策略
参数说明:
· SA策略名称:添加的策略名称。
· IKE算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
· ESP算法配置:可选sm1-sm3或sm4-sm3,两端算法类型需相同。
· ISA存活时间:第一阶段协商产生的密钥的存活时间,单位可为秒,分和时,最大时间为8小时。每达到一个存活时间就会协商出新的密钥,可参考上述图片中的取值。
· SA存活时间:第二阶段协商产生的密钥的存活时间,单位可为秒,分和时,最大时间为2小时。每达到一个存活时间就会协商出新的密钥,可参考上述图片中的取值。
· SA更新误差:SA更新允许存在的误差时间,单位可为秒,分和时,SA更新时间=SA存活时间±SA误差时间,两端配置的SA更新误差最好不同以错开更新时间,可参考上述图片中的取值。
· SA更新抖动:SA更新误差的误差,单位为百分数,SA更新时间=SA存活时间±SA误差时间*(1±更新抖动),可参考上述图片中的取值。
· DPD周期:每隔多久检查一次隧道连接情况;过期:当前连接检测情况多久失效;行为:过期后的行为,若无特殊需求一般主动端选择为重协商,被动端选择清除SA,可参考上述图片中的取值。
· 重试次数:失败时的重试次数。
切换至IPSEC连接标签页,点击<新增>,连接类型选择主动,保护节点、SA策略签名证书选择已添加的节点策略和证书,下一跳地址无需要时为空,点击<确定>。
图171 新增IPSEC连接
参数说明:
· 连接名称:添加的IPSEC连接名称。
· 连接类型:可选主动或被动,隧道仅能由主动端发起并进行管理。
· 保护节点:选择已添加的保护节点。
· SA策略:选择已添加的SA策略。
· 签名证书:建立隧道使用的签名证书。
· 加密证书:建立隧道使用的加密证书。
· 下一跳地址:与对端VPN建立连接时若需配置下一跳地址时可填,其他情况下无需配置。
分别进入VPN1和VPN2设备,在IPSEC连接页面,点击<开启GRE>。
图172 开启GRE
在弹出的页面填写本对端要生成的GRE虚卡地址。
图173 本对端GRE IP
参数说明:
· GRE本端IP:GRE在本端生成的虚卡地址。
· GRE对端IP:GRE在对端生成的虚卡地址。
这里可以随意填写不相干的IP地址即可,但是要求本端和对端同网段,填写完成后,点击<保存>。并在另一台VPN上,将上述本端,对端地址对调配置并保存。
两台设备分别点击<生效>按钮会生效所有的连接,弹出的确认对话框选择<确定>。
图174 生效配置
提示成功后,点击连接右边<查看>按钮可以查看隧道状态信息。
图175 隧道信息
此时在两台设备分别ping对方的GRE地址,可以ping通。
以系统管理员身份登录VPN1的管理页面,选择系统设置 > 网络配置>OSPF管理,进入OSPF配置页面,两个开关都选择<开启>。
图176 OSPF服务开启
选择本端VPN的一个真实网卡的IP地址作为在OSPF网络中的ID,用来指代这台设备,这里一般选择VPN建立IPSEC隧道所用的那个口。
图177 ROUTER-ID配置
添加网口AREA配置,点击<+>,配置网口和所在OSPF区域,可根据现场划分区域来填,默认单区域(都是0),将本端想广播的IPSEC子网所在的网口填入其中,并且加上刚才配置的虚卡(名字是IPSEC的连接名),如下图所示,test71就是本端在GRE加上的虚卡。
图178 网口AREA配置
添加Network宣告,点击<+>,填入IPSEC想要广播的本端子网网段。
图179 NETWORK宣告配置
配置完成后,点击页面左下角的<保存>。
图180 配置保存
参考IPSEC组网将上述OSPF配置操作在VPN2上配置一遍。
本端VPN会通过本来就互通的GRE虚卡来告诉对端VPN,自己有哪些子网,同时也会收到对端VPN的子网宣告,在页面右侧可查看邻居显示。
图181 OSPF邻居显示
可参考11.3验证配置,根据实际组网情况进行验证。
大型项目实施时,因分支机构数量众多或组网VPN数量达到一定量级,此时可以使用集中管理平台进行统一管理。
使用系统管理员的USB Key登录VPN管理界面,进入系统设置>系统配置>控制台配置>集中管理平台配置,点击<启用>后,点击<保存>,等待三分钟WEB重启。
图182 集管平台开关示例
重新使用系统管理员的USB Key登录VPN管理系统界面,进入高可用>双主复制页面,点击<开启服务>,将被管理VPN设备的 IP地址填入对端IP输入框,点击<开启服务>即可。如被管理VPN设备的IP地址已添加过,则可忽略该步。
图183 开启服务配置示例
使用被管VPN设备的系统管理员登录VPN管理系统界面,进入高可用>双主复制页面,点击<开启服务>,将集中管理平台设备的 IP地址填入对端IP输入框,点击<开启服务>即可。如集中管理平台设备的IP地址已添加过,则可忽略该步。
启动浏览器,在地址栏内输入“https://VPN地址:8166”即可进入集中管理平台页面。
初始化时默认使用内置证书,直接点击<下一步>即可。
图184 CA证书类型选择
集中管理平台页面访问默认通过用户名密码初始化,点击<下一步>。
图185 管理员初始化方式选择
系统默认有三大管理员:系统管理员,安全管理员,审计管理员。各管理员实现对系统的分权管理。
l 系统管理员负责对VPN设备日常运行的管理和维护。
l 安全管理员负责管理员账号管理。
l 审计管理员负责系统中的日志进行安全审计。
此处的初始化目的是创建集中管理平台所需的三种管理员账号。用户名密码初始化输入对应用户密码,分别点击‘初始化安全管理员’、‘初始化系统管理员’、‘初始化审计管理员’,完成三个管理员初始化后点击<下一步>,会提示‘是否使用当前配置完成初始化’,单击<确定>完成初始化。
图186 管理员初始化方式配置
账号密码方式登录,输入正确用户名称(系统管理员/安全管理员/审计管理员)及密码后,点击<立即登录>即可登录。
图187 首页登录
登录集中管理平台,点击新增按钮添加被管理的VPN设备,在打开的窗口处填写以下参数,点击确定即可。
图188 连接添加
参数说明:
· 地址(ip:端口号):被管VPN设备的访问地址及端口。
· 主机名称:给被管VPN设备设置主机名称。
· 设备类型:选择被管VPN的设备类型,包括单机、主机、备机、子节点。
· 集群组:若被管VPN设备归属于某个集群组,且在设备类型内选择了非‘单机’类型,需选择当前添加的VPN设备归属的集群组。
· 管理员名称:被管VPN设备登录需要的用户名,可以后续编辑时添加,不作为必要添加字段,若进行服务配置时该项要填写才能正常跳转,可选VPN系统所有管理员中任意一个。
· 管理员密码:被管VPN设备登录对应的用户名密码,可以后续编辑时添加,不作为必要添加字段,若进行服务配置时该项要填写才能正常跳转,对应VPN系统管理员密码。
使用系统管理员登录集中管理平台,选择需要下发配置的设备点击服务配置进入配置页面。
进入页面后选择证书管理>CA管理,选择待操作的设备,点击新增>导入第三方CA,点击下一步。
图189 第三方CA导入
选择需要上传的第三方CA证书,点击导入,完成第三方CA证书导入操作。
图190 导入示例
选择证书管理>(CA)设备证书,选择待操作的设备,点击新增>外置设备证书,点击下一步。
图191 外置证书申请
根据需求正确填写页面信息,点击确认,浏览器自动下载P10申请文件。
图192 生成P10详情
将P10文件上传至第三方CA认证中心生成签名加密证书及加密密钥,这里的P10申请类型为双证。
收到第三方CA认证中心签发回的签名加密证书及加密密钥后,点击导入证书,选择该文件,点击导入,即可完成第三方CA认证中心对接。
使用系统管理员登录集中管理平台,进入主页后,主页左上角显示设备在线数量及设备总数。
图193 首页设备数展示
进入主页后会自动检测所有连接并进行提示,在新增设备后,需手动点击检测所有连接按钮进行检测,提示无法连通设备信息。
图194 首页完整展示
点击加测所有连接,若全部设备都可连通则提示所有设备检测状态正常。
图195 连接检测
选择需要下发配置的设备,点击服务配置进入配置页面,显示设备系统状态及网口流量信息。
图196 设备运行状态展示
选择系统维护>授权码管理,即可查询以及更新当前VPN设备的授权信息。
图197 授权码信息管理
使用系统管理员登录集中管理平台,选择需要下发配置的设备点击服务配置进入配置页面,此处以下发新增资源配置为例。选择SSLVPN设置>资源管理,选择需要配置的VPN设备,选择待添加资源的资源组,点击新增>L3VPN。
图198 SSL用户配置
根据需要正确填写表格信息,点击保存,新增资源配置完成。
图199 SSL资源配置
集中管理平台使用系统管理员登录系统,选择待管理设备后,点击服务配置,接下来的所有操作均为集中管理平台对被管理的VPN设备进行配置下发操作,此处仅以新增SSL资源为例。
支持
