- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
31-SSL VPN IP接入方式典型配置举例
本章节下载: 31-SSL VPN IP接入方式典型配置举例 (5.80 MB)
本章包含如下内容:
· 简介
· 配置前提
本文档介绍SSL VPN IP接入方式的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解SSL VPN特性。
如图-1所示,SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用IP接入方式能够安全地访问私有网络内的Server。具体需求如下:
· SSL VPN网关设备通过RADIUS Server对用户进行远程认证和授权。
· 为了增强安全性,需要验证客户端证书。
· 为了增强安全性,服务器端证书不使用缺省证书,需向CA申请。
图-1 IP接入方式配置组网图(RADIUS认证)
本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
· 为客户端地址池配置的网段需要满足以下要求:
○ 不能和客户端物理网卡的IP地址在同一个网段。
○ 不能包含SSL VPN网关所在设备的接口地址,否则会导致地址冲突。
○ 不能和欲访问的内网地址在同一个网段。
· SSL VPN AC接口需要加入安全域,且保证该接口所在安全域与到达内部服务器所在接口的安全域域间流量互通。
· 需要保证内网Server到达SSL VPN客户端地址池所在网段10.1.1.0/24路由可达。
1. 配置接口IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,参数配置如下:
· 安全域:Untrust
· 选择“IPV4地址”页签,配置IP地址/掩码:1.1.1.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/2右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:2.2.2.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/3右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:3.3.3.1/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/4右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:192.168.100.3/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
· 目的IP地址:40.1.1.1
· 掩码长度:24
· 下一跳IP地址:1.1.1.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
# 按照同样的步骤新建IPv4静态路由,并进行如下配置:
· 目的IP地址:20.2.2.2
· 掩码长度:24
· 下一跳IP地址:2.2.2.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
3. 配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
· 名称:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 类型:IPv4
· 动作:允许
· 源IPv4地址:40.1.1.1
· 目的IPv4地址:1.1.1.2
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:10.1.1.0/24
· 目的IPv4地址:20.2.2.0/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
4. 申请服务器端证书
# 选择“对象 > PKI > 证书主题”,进入证书主题界面,单击<新建>按钮,参数配置如下图所示。
图-2 证书主题配置
# 单击<确定>按钮。
# 选择“对象 > PKI > 证书”,进入证书页面,单击<新建PKI域>按钮,参数配置如下图所示。
图-3 PKI域配置
# 单击<确定>按钮。
# 单击<提交申请>按钮,申请服务器端证书,参数配置如下图所示。
图-4 申请服务器端证书
# 单击<确定>按钮,页面会显示证书申请信息,如下图所示。
图-5 证书申请信息
# 将证书申请信息复制,向CA申请服务器端证书(本例CA服务器为Windows Server 2008 R2)。单击<确定>按钮。
# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-6 证书申请页面
# 单击<申请证书>按钮,跳转页面如下图所示。
图-7 证书申请页面
# 单击<高级证书申请>按钮,将复制的证书申请信息粘贴至“Base-64编码的证书申请”输入框,
如下图所示。
图-8 证书申请页面
# 单击<提交>按钮,完成证书申请。
# 待CA管理员同意颁发证书后,在浏览器栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-9 证书申请页面
# 单击<查看挂起的证书申请的状态>按钮,跳转页面如下图所示。
图-10 查看挂起的证书申请的状态
# 单击<保存的证书申请>按钮,跳转页面如下图所示。
图-11 下载申请的证书
# 单击<下载证书>按钮,下载申请的服务器端证书,并保存好。
5. 下载CA证书
# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-12 证书申请页面
# 单击<下载CA证书、证书链或CRL>按钮,跳转页面如下图所示。
图-13 下载CA证书
# 单击<下载CA证书>按钮,下载CA证书,并保存好。至此,证书申请工作已全部完成。
6. 导入证书
# 选择“对象 > PKI > 证书”,进入证书页面,单击<导入证书>按钮,选择之前保存好的CA证书,
配置如下图所示。
图-14 导入CA证书
# 单击<确定>按钮,完成CA证书的导入。
# 选择“对象 > PKI > 证书”,进入证书页面,单击<导入证书>按钮,选择之前保存好的服务器端证书,配置如下图所示。
图-15 导入本地证书
# 单击<确定>按钮,完成本地证书的导入。
7. 配置SSL的服务器端策略
# 选择“对象 > SSL > 服务器端策略”,进入SSL服务器端策略页面,单击<新建>按钮,创建客户端策略,参数配置如下图所示。
图-16 配置服务器端策略
# 单击<确定>按钮,完成配置。
8. 配置RADIUS方案
# 选择“对象 > 用户 > 认证管理 > RADIUS”,进入RADIUS页面,点击<新建>按钮,认证服务器参数配置如下图所示(认证密钥为123456):
图-17 RADIUS配置
# 高级设置参数配置如下图所示,未显示部分请采用默认配置。
图-18 RADIUS高级配置
# 单击<确定>按钮,完成配置。
9. 配置ISP域
# 选择“对象 > 用户 > 认证管理 > ISP域”,进入ISP域页面,点击<新建>按钮,创建ISP域sslvpn,并指定SSL VPN用户使用的认证、授权方法为RADIUS方案radius、不进行计费,参数配置如下图所示:
图-19 ISP域配置
图-20 ISP域配置
10. 配置用户组
# 选择“对象 > 用户> 用户管理 > 本地用户 > 用户组”,进入用户组页面,点击<新建>按钮,参数配置如下图所示。
图-19 配置用户组
# 单击<确定>按钮,完成配置。
11. 配置SSL VPN网关
# 选择“网络 > SSL VPN > 网关”,进入SSL VPN网关页面,单击<新建>按钮,创建SSL VPN网关,参数配置如下图所示。
图-20 配置SSL VPN网关
# 单击<确定>按钮,完成配置。
12. 创建SSL VPN AC接口
# 选择“网络 > SSL VPN > IP接入接口”,进入SSL VPN接入接口页面。单击<新建>按钮,创建SSL VPN接入接口,接口编号输入1,单击<确定>,然后继续配置接口参数,如下图所示。
图-21 创建IP接入接口(1)
图-22 创建IP接入接口(2)
# 单击<确定>按钮。
13. 创建SSL VPN客户端地址池
# 选择“网络 > SSL VPN > 客户端地址池”,进入SSL VPN客户端地址池页面。单击<新建>按钮,创建SSL VPN客户端地址池,参数配置如下图所示。
图-23 创建客户端地址池
# 单击<确定>按钮。
14. 配置SSL VPN访问实例
# 选择“网络 > SSL VPN > 访问实例”,进入SSL VPN访问实例页面,单击<新建>按钮,创建SSL VPN访问实例,参数配置如下图所示,未显示的部分,采用默认配置即可。
图-24 新建访问实例
# 单击<下一步>,配置认证配置,参数配置如下图所示。
# 单击<下一步>,不配置URI ACL,继续单击<下一步>,在跳转的页面选择“IP业务”,单击<下一步>。配置IP业务,参数配置如下图所示。
图-25 配置IP业务(1)
图-26 配置IP业务(2)
# 单击<下一步>,不配置快捷方式,继续单击<下一步>,在跳转的页面单击<新建>按钮,配置资源组,参数配置如下图所示(本例的IPv4 ACL 3999规则为允许通过所有流量)。
图-27 配置资源组
# 单击<确定>按钮,资源组如下图所示。
图-28 资源组
# 单击<完成>按钮,完成配置。
# 在<使能>按钮的选择框上挑勾,使能配置的访问实例,如下图所示。
图-29 使能访问实例
本例使用的iMC版本号为iMC PLAT 7.3(E0504)。
1. 配置接入策略
# 登录iMC,选择“用户 > 接入策略管理 > 接入策略管理”,进入接入策略管理页面,单击<增加>按钮,新建策略,参数配置如下图所示。
图-30 新建接入策略
# 单击<确定>按钮。
# 选择“用户 > 接入策略管理 > 接入服务管理”,进入接入服务管理页面,单击<增加>按钮,新建接入服务,参数配置如下图所示。
图-31 新建接入服务
# 单击<确定>按钮。
# 选择“用户 > 接入策略管理 > 接入设备管理 > 接入设备配置”,进入接入设备配置页面,单击<增加>按钮,新建接入设备配置,参数配置如下图所示(共享密钥为123456)。
图-32 配置接入设备
# 单击<确定>按钮。
2. 配置用户
# 选择“用户 > 增加用户”,进入增加用户配置页面,参数配置如下图所示。
图-33 增加用户
# 单击<确定>按钮。
# 选择“用户 > 接入用户管理 > 接入用户”,进入接入用户页面,单击<增加>按钮,新建策略,参数配置如下图所示。
图-34 配置接入用户
# 单击<确定>按钮。
1. 配置IP地址、网关,保证到SSL VPN网关、CA服务器的路由可达。
2. 申请客户端证书
# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-35 证书申请页面
# 单击<申请证书>按钮,跳转页面如下图所示。
图-36 证书申请页面
# 单击<高级证书申请>按钮,在跳转的页面选择<创建并向此CA提交一个申请>,申请客户端证
书,参数配置如下图所示。
图-37 申请客户端证书
# 其余选用默认配置,单击页面最下方的<提交>按钮,提交客户端证书申请。
# 待CA管理员同意颁发证书后,在浏览器栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-38 证书申请页面
# 单击<查看挂起的证书申请的状态>按钮,跳转页面如下图所示。
图-39 查看挂起的证书申请的状态
# 单击<客户端身份验证证书>,跳转页面如下图所示
图-40 安装客户端证书
# 单击<安装此证书>,如果之前没有安装CA证书,那么会出现如下图所示的页面(如果之前已安装过CA证书,则不会出现该提示)。
图-41 提示安装CA证书
# 单击<请安装该CA证书>,安装CA证书,CA证书安装成功后,再单击<安装此证书>,显示如下图所示的页面代表客户端证书安装成功。
图-42 证书安装成功
# 在浏览器地址栏输入https://1.1.1.2,回车确认之后会弹出证书选择界面,如下图所示。
图-43 证书选择界面
# 选择证书,单击<确定>按钮,跳转到域列表选择页面,如下图所示。
域列表界面
# 单击“domainip”,跳转到SSL VPN登录界面,输入用户名密码(用户名user1,密码123456),如下图所示。
图-44 SSL VPN登录界面
# 单击<登录>按钮,可以成功登录。
# 单击<启动>按钮,启动IP客户端,系统会自动下载iNode客户端(如果Host之前没有安装过iNode客户端),下载完成后会自动启动iNode客户端,并登录SSL VPN网关(首次登录时,需要手动设置属性,选择认证方式和客户端证书),成功登录后如下图所示。
图-45 iNode客户端
如图-1所示,SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用IP接入方式能够安全地访问私有网络内的Server。具体需求如下:
· SSL VPN网关设备通过LDAP Server对用户进行远程认证和授权。
· 为了增强安全性,需要验证客户端证书。
· 为了增强安全性,服务器端证书不使用缺省证书,需向CA申请。
图-1 配置IP接入方式组网图(LDAP认证)
本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
· 为客户端地址池配置的网段需要满足以下要求:
○ 不能和客户端物理网卡的IP地址在同一个网段。
○ 不能包含SSL VPN网关所在设备的接口地址,否则会导致地址冲突。
○ 不能和欲访问的内网地址在同一个网段。
· SSL VPN AC接口需要加入安全域,且保证该接口所在安全域与到达内部服务器所在接口的安全域域间流量互通。
· 需要保证内网Server到达SSL VPN客户端地址池所在网段10.1.1.0/24路由可达。
1. 配置接口IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,参数配置如下:
· 安全域:Untrust
· 选择“IPV4地址”页签,配置IP地址/掩码:1.1.1.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/2右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:2.2.2.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/3右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:3.3.3.1/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/4右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:192.168.100.3/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
· 目的IP地址:40.1.1.1
· 掩码长度:24
· 下一跳IP地址:1.1.1.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
# 按照同样的步骤新建IPv4静态路由,并进行如下配置:
· 目的IP地址:20.2.2.2
· 掩码长度:24
· 下一跳IP地址:2.2.2.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
3. 配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
· 名称:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 类型:IPv4
· 动作:允许
· 源IPv4地址:40.1.1.1
· 目的IPv4地址:1.1.1.2
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:10.1.1.0/24
· 目的IPv4地址:20.2.2.0/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
4. 申请服务器端证书
# 选择“对象 > PKI > 证书主题”,进入证书主题界面,单击<新建>按钮,参数配置如下图所示。
图-46 证书主题配置
# 单击<确定>按钮。
# 选择“对象 > PKI > 证书”,进入证书页面,单击<新建PKI域>按钮,参数配置如下图所示。
图-47 PKI域配置
# 单击<确定>按钮。
# 单击<提交申请>按钮,申请服务器端证书,参数配置如下图所示。
图-48 申请服务器端证书
# 单击<确定>按钮,页面会显示证书申请信息,如下图所示。
图-49 证书申请信息
# 将证书申请信息复制,向CA申请服务器端证书(本例CA服务器为Windows Server 2008 R2)。单击<确定>按钮。
# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-50 证书申请页面
# 单击<申请证书>按钮,跳转页面如下图所示。
图-51 证书申请页面
# 单击<高级证书申请>按钮,将复制的证书申请信息粘贴至“Base-64编码的证书申请”输入框,
如下图所示。
图-52 证书申请页面
# 单击<提交>按钮,完成证书申请。
# 待CA管理员同意颁发证书后,在浏览器栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-53 证书申请页面
# 单击<查看挂起的证书申请的状态>按钮,跳转页面如下图所示。
图-54 查看挂起的证书申请的状态
# 单击<保存的证书申请>按钮,跳转页面如下图所示。
图-55 下载申请的证书
# 单击<下载证书>按钮,下载申请的服务器端证书,并保存好。
5. 下载CA证书
# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-56 证书申请页面
# 单击<下载CA证书、证书链或CRL>按钮,跳转页面如下图所示。
图-57 下载CA证书
# 单击<下载CA证书>按钮,下载CA证书,并保存好。至此,证书申请工作已全部完成。
6. 导入证书
# 选择“对象 > PKI > 证书”,进入证书页面,单击<导入证书>按钮,选择之前保存好的CA证书,
配置如下图所示。
图-58 导入CA证书
# 单击<确定>按钮,完成CA证书的导入。
# 选择“对象 > PKI > 证书”,进入证书页面,单击<导入证书>按钮,选择之前保存好的服务器端证书,配置如下图所示。
图-59 导入本地证书
# 单击<确定>按钮,完成本地证书的导入。
7. 配置SSL的服务器端策略
# 选择“对象 > SSL > 服务器端策略”,进入SSL服务器端策略页面,单击<新建>按钮,创建客户端策略,参数配置如下图所示。
图-60 配置服务器端策略
# 单击<确定>按钮,完成配置。
8. 配置LDAP服务器、LDAP方案、LDAP属性映射表和ISP域
# 配置LDAP服务器ldap1。
<Device> system-view
[Device] ldap server ldap1
[Device-ldap-server-ldap1] login-dn cn=administrator,cn=users,dc=ldap,dc=com
[Device-ldap-server-ldap1] search-base-dn ou=sslvpn_usergroup,dc=ldap,dc=com
[Device-ldap-server-ldap1] ip 3.3.3.3
[Device-ldap-server-ldap1] login-password simple 123456
[Device-ldap-server-ldap1] quit
# 配置LDAP属性映射表test。
[Device] ldap attribute-map test
[Device-ldap-attr-map-test] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
[Device-ldap-attr-map-test] quit
# 配置LDAP方案shm1。
[Device] ldap scheme shm1
[Device-ldap-shm1] authentication-server ldap1
[Device-ldap-shm1] authorization-server ldap1
[Device-ldap-shm1] attribute-map test
[Device-ldap-shm1] quit
# 配置ISP域sslvpn。
[Device] domain sslvpn
[Device-isp-sslvpn] state active
[Device-isp-sslvpn] authentication sslvpn ldap-scheme shm1
[Device-isp-sslvpn] authorization sslvpn ldap-scheme shm1
[Device-isp-sslvpn] accounting sslvpn none
[Device-isp-sslvpn] quit
9. 配置用户组
# 选择“对象 > 用户> 用户管理 > 本地用户 > 用户组”,进入用户组页面,参数配置如下图所示。
图-61 配置用户组
# 单击<确定>按钮,完成配置。
10. 配置SSL VPN网关
# 选择“网络 > SSL VPN > 网关”,进入SSL VPN网关页面,单击<新建>按钮,创建SSL VPN网关,参数配置如下图所示。
图-62 配置SSL VPN网关
# 单击<确定>按钮,完成配置。
11. 创建SSL VPN AC接口
# 选择“网络 > SSL VPN > IP接入接口”,进入SSL VPN接入接口页面。单击<新建>按钮,创建SSL VPN接入接口,接口编号输入1,单击<确定>,然后继续配置接口参数,如下图所示。
图-63 创建IP接入接口(1)
图-64 创建IP接入接口(2)
# 单击<确定>按钮。
12. 创建SSL VPN客户端地址池
# 选择“网络 > SSL VPN > 客户端地址池”,进入SSL VPN客户端地址池页面。单击<新建>按钮,创建SSL VPN客户端地址池,参数配置如下图所示。
图-65 创建客户端地址池
# 单击<确定>按钮。
13. 配置SSL VPN访问实例
# 选择“网络 > SSL VPN > 访问实例”,进入SSL VPN访问实例页面,单击<新建>按钮,创建SSL VPN访问实例,参数配置如下图所示,未显示的部分,采用默认配置即可。
图-66 新建访问实例
# 单击<下一步>,配置认证配置,参数配置如下图所示。
# 单击<下一步>,不配置URI ACL,继续单击<下一步>,在跳转的页面选择“IP业务”,单击<下一步>。配置IP业务,参数配置如下图所示。
图-67 配置IP业务(1)
图-1 配置IP业务(2)
# 单击<下一步>,不配置快捷方式,继续单击<下一步>,在跳转的页面单击<新建>按钮,配置资源组,参数配置如下图所示(本例的IPv4 ACL 3999规则为允许通过所有流量)。
图-68 配置资源组
# 单击<确定>按钮,资源组如下图所示。
图-69 资源组
# 单击<完成>按钮,完成配置。
# 在<使能>按钮的选择框上挑勾,使能配置的访问实例,如下图所示。
图-70 使能访问实例
本例使用的Windows Server 2008 R2作为LDAP Server。
1. 创建用户组
在LDAP服务器上,选择[开始/管理工具]中的[Active Directory用户和计算机],打开Active Directory用户管理界面,在Active Directory用户管理界面的左侧导航树中,单击“ldap.com”,右键单击“Users”,新建组“sslvpn_usergroup”,如下图所示。
图-71 创建用户组
# 单击<确定>按钮,完成配置。
2. 创建用户
在LDAP服务器上,选择[开始/管理工具]中的[Active Directory用户和计算机],打开Active Directory用户管理界面,在Active Directory用户管理界面的左侧导航树中,右键单击“ldap.com”,新建组织单位“sslvpn_usergroup”,如下图所示。
图-72 新建组织单位
# 右键单击“sslvpn_usergroup”,新建用户,参数配置如下图所示。
图-73 创建用户
# 单击<下一步>,设置密码(密码为123456)。
图-74 设置密码
# 单击<下一步>,完成用户的创建。
# 右键单击创建的用户“user1”,选择属性,设置该用户隶属于用户组“sslvpn_usergroup”,如下图所示。
图-75 设置用户所示用户组
# 单击<确定>,完成配置。
1. 配置IP地址、网关,保证到SSL VPN网关、CA服务器的路由可达。
2. 申请客户端证书
# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-76 证书申请页面
# 单击<申请证书>按钮,跳转页面如下图所示。
图-77 证书申请页面
# 单击<高级证书申请>按钮,在跳转的页面选择<创建并向此CA提交一个申请>,申请客户端证
书,参数配置如下图所示。
图-78 申请客户端证书
# 其余选用默认配置,单击页面最下方的<提交>按钮,提交客户端证书申请。
# 待CA管理员同意颁发证书后,在浏览器栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-79 证书申请页面
# 单击<查看挂起的证书申请的状态>按钮,跳转页面如下图所示。
图-80 查看挂起的证书申请的状态
# 单击<客户端身份验证证书>,跳转页面如下图所示
图-81 安装客户端证书
# 单击<安装此证书>,如果之前没有安装CA证书,那么会出现如下图所示的页面(如果之前已安装过CA证书,则不会出现该提示)。
图-82 提示安装CA证书
# 单击<请安装该CA证书>,安装CA证书,CA证书安装成功后,再单击<安装此证书>,显示如下图所示的页面代表客户端证书安装成功。
图-83 证书安装成功
# 在浏览器地址栏输入https://1.1.1.2,回车确认之后会弹出证书选择界面,如下图所示。
图-84 证书选择界面
# 选择证书,单击<确定>按钮,跳转到域列表选择页面,如下图所示。
图-85 域列表界面
# 单击“domainip”,跳转到SSL VPN登录界面,输入用户名密码(用户名user1,密码123456),如下图所示。
图-86 SSL VPN登录界面
# 单击<登录>按钮,可以成功登录。
# 单击<启动>按钮,启动IP客户端,系统会自动下载iNode客户端(如果Host之前没有安装过iNode客户端),下载完成后会自动启动iNode客户端,并登录SSL VPN网关(首次登录时,需要手动设置属性,选择认证方式和客户端证书),成功登录后如下图所示。
图-87 iNode客户端
如图-88所示,SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用IP接入方式能够安全地访问私有网络内的Server。具体需求如下:
SSL VPN网关设备通过对用户进行本地认证和授权。
图-88 IP接入方式配置组网图(本地认证)
本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
· 为客户端地址池配置的网段需要满足以下要求:
○ 不能和客户端物理网卡的IP地址在同一个网段。
○ 不能包含SSL VPN网关所在设备的接口地址,否则会导致地址冲突。
○ 不能和欲访问的内网地址在同一个网段。
· SSL VPN AC接口需要加入安全域,且保证该接口所在安全域与到达内部服务器所在接口的安全域域间流量互通。
· 需要保证内网Server到达SSL VPN客户端地址池所在网段10.1.1.0/24路由可达。
1. 配置接口IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,参数配置如下:
· 安全域:Untrust
· 选择“IPV4地址”页签,配置IP地址/掩码:1.1.1.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/2右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:2.2.2.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/3右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:3.3.3.1/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
· 目的IP地址:40.1.1.1
· 掩码长度:24
· 下一跳IP地址:1.1.1.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
# 按照同样的步骤新建IPv4静态路由,并进行如下配置:
· 目的IP地址:20.2.2.2
· 掩码长度:24
· 下一跳IP地址:2.2.2.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
3. 配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
· 名称:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 类型:IPv4
· 动作:允许
· 源IPv4地址:40.1.1.1
· 目的IPv4地址:1.1.1.2
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:10.1.1.0/24
· 目的IPv4地址:20.2.2.0/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
4. 配置SSL VPN网关
# 选择“网络 > SSL VPN > 网关”,进入SSL VPN网关页面,单击<新建>按钮,创建SSL VPN网关,参数配置如下图所示。
图-89 配置SSL VPN网关
# 单击<确定>按钮,完成配置。
5. 创建SSL VPN AC接口
# 选择“网络 > SSL VPN > IP接入接口”,进入SSL VPN接入接口页面。单击<新建>按钮,创建SSL VPN接入接口,接口编号输入1,单击<确定>,然后继续配置接口参数,如下图所示。
图-90 创建IP接入接口(1)
图-91 创建IP接入接口(2)
# 单击<确定>按钮。
6. 创建SSL VPN客户端地址池
# 选择“网络 > SSL VPN > 客户端地址池”,进入SSL VPN客户端地址池页面。单击<新建>按钮,创建SSL VPN客户端地址池,参数配置如下图所示。
图-92 创建客户端地址池
# 单击<确定>按钮。
7. 配置SSL VPN访问实例
# 选择“网络 > SSL VPN > 访问实例”,进入SSL VPN访问实例页面,单击<新建>按钮,创建SSL VPN访问实例,参数配置如下图所示,未显示的部分,采用默认配置即可。
图-93 新建访问实例
# 单击<下一步>,配置认证配置,参数配置如下图所示。
# 单击<下一步>,不配置URI ACL,继续单击<下一步>,在跳转的页面选择“IP业务”,单击<下一步>。配置IP业务,参数配置如下图所示。
图-94 配置IP业务(1)
图-95 配置IP业务(2)
# 单击<下一步>,不配置快捷方式,继续单击<下一步>,在跳转的页面单击<新建>按钮,配置资源组,参数配置如下图所示(本例的IPv4 ACL 3999规则为允许通过所有流量)。
图-96 配置资源组
# 单击<确定>按钮,资源组如下图所示。
图-97 资源组
# 单击<完成>按钮,完成配置。
# 在<使能>按钮的选择框上挑勾,使能配置的访问实例,如下图所示。
图-98 使能访问实例
8. 创建SSL VPN用户
# 选择“对象 > 用户 > 用户管理 > 本地用户”,进入用户界面,点击<新建>按钮,创建SSL VPN用户,参数配置如下图所示。
图-99 创建SSL VPN用户
# 为该用户授权SSL VPN策略组,参数配置如下图所示。
图-100 授权属性
# 单击<确定>按钮,完成配置。
# 配置IP地址、网关,保证到SSL VPN网关的路由可达。
# 在浏览器地址栏输入https://1.1.1.2,回车确认之后跳转到域列表选择页面,如下图所示。
图-101 域列表界面
# 单击“domainip”,跳转到SSL VPN登录界面,输入用户名密码(用户名user1,密码123456),如下图所示。
图-102 SSL VPN登录界面
# 单击<登录>按钮,可以成功登录。
# 单击<启动>按钮,启动IP客户端,系统会自动下载iNode客户端(如果Host之前没有安装过iNode客户端),下载完成后会自动启动iNode客户端,并登录SSL VPN网关,成功登录后如下图所示。
图-103 iNode客户端
如图-1所示,SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用IP接入方式能够安全地访问私有网络内的Server。具体需求如下:
· SSL VPN网关设备通过RADIUS Server对用户进行远程认证和授权。
· 为了增强安全性,需要验证客户端证书,客户端证书由USB Key提供。
· 为了增强安全性,服务器端证书不使用缺省证书,需向CA申请。
图-1 IP接入方式配置组网图(USB Key认证)
本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
· 为客户端地址池配置的网段需要满足以下要求:
○ 不能和客户端物理网卡的IP地址在同一个网段。
○ 不能包含SSL VPN网关所在设备的接口地址,否则会导致地址冲突。
○ 不能和想要访问的内网目的地址在同一个网段。
· SSL VPNAC接口需要加入安全域,且保证该接口所在安全域与到达内部服务器所在接口的安全域域间流量互通。
· 需要保证内网Server到达SSL VPN客户端地址池所在网段10.1.1.0/24路由可达。
· 某些品牌的USB Key可能需要安装驱动才能使用,请做好准备。
· USB Key客户端证书中的指定字段(默认为CN字段)必须和该SSL VPN用户的用户名一致,如下图所示。
1. 配置接口IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,参数配置如下:
· 安全域:Untrust
· 选择“IPV4地址”页签,配置IP地址/掩码:1.1.1.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/2右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:2.2.2.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/3右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:3.3.3.1/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/4右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:192.168.100.3/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
· 目的IP地址:40.1.1.1
· 掩码长度:24
· 下一跳IP地址:1.1.1.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
# 按照同样的步骤新建IPv4静态路由,并进行如下配置:
· 目的IP地址:20.2.2.2
· 掩码长度:24
· 下一跳IP地址:2.2.2.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
3. 配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
· 名称:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 类型:IPv4
· 动作:允许
· 源IPv4地址:40.1.1.1
· 目的IPv4地址:1.1.1.2
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
· 名称:untrust-trust
· 源安全域:Untrust
· 目的安全域:Trust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:10.1.1.0/24
· 目的IPv4地址:20.2.2.0/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
4. 申请服务器端证书
# 选择“对象 > PKI > 证书主题”,进入证书主题界面,单击<新建>按钮,参数配置如下图所示。
图-2 证书主题配置
# 单击<确定>按钮。
# 选择“对象 > PKI > 证书”,进入证书页面,单击<新建PKI域>按钮,参数配置如下图所示。
图-3 PKI域配置
# 单击<确定>按钮。
# 单击<提交申请>按钮,申请服务器端证书,参数配置如下图所示。
图-4 申请服务器端证书
# 单击<确定>按钮,页面会显示证书申请信息,如下图所示。
图-5 证书申请信息
# 复制上图所示的全部证书申请信息,并向CA申请服务器端证书(本例CA服务器为Windows Server 2008 R2)。单击<确定>按钮。
# 在浏览器地址栏输入http://192.168.100.247/certsrv,访问CA服务器并进入证书申请页面,如下图所示。
图-6 证书申请页面
# 单击<申请证书>按钮,跳转页面如下图所示。
图-7 证书申请页面
# 单击<高级证书申请>按钮,将复制的证书申请信息粘贴至“Base-64编码的证书申请”输入框,
如下图所示。
图-8 证书申请页面
# 单击<提交>按钮,完成证书申请。
# 待CA管理员同意颁发证书后,在浏览器栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-9 证书申请页面
# 单击<查看挂起的证书申请的状态>按钮,跳转页面如下图所示。
图-10 查看挂起的证书申请的状态
# 单击<保存的证书申请>按钮,跳转页面如下图所示。
图-11 下载申请的证书
# 单击<下载证书>按钮,下载申请的服务器端证书,并保存好。
5. 在CA服务器上下载CA证书
# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-12 证书申请页面
# 单击<下载CA证书、证书链或CRL>按钮,跳转页面如下图所示。
图-13 下载CA证书
# 单击<下载CA证书>按钮,下载CA证书,并保存好。至此,证书申请工作已全部完成。
6. 导入证书
# 选择“对象 > PKI > 证书”,进入证书页面,单击<导入证书>按钮,选择之前保存好的CA证书,
配置如下图所示。
图-14 导入CA证书
# 单击<确定>按钮,完成CA证书的导入。
# 选择“对象 > PKI > 证书”,进入证书页面,单击<导入证书>按钮,选择之前保存好的服务器端证书,配置如下图所示。
图-15 导入本地证书
# 单击<确定>按钮,完成本地证书的导入。
7. 配置SSL的服务器端策略
# 选择“对象 > SSL > 服务器端策略”,进入SSL服务器端策略页面,单击<新建>按钮,创建服务端策略,参数配置如下图所示。需要开启验证客户端功能。
图-16 配置服务器端策略
# 单击<确定>按钮,完成配置。
8. 配置RADIUS方案
# 选择“对象 > 用户 > 认证管理 > RADIUS”,进入RADIUS页面,点击<新建>按钮,认证服务器参数配置如下图所示(认证密钥为123456):
图-17 RADIUS配置
# 高级设置参数配置如下图所示,未显示部分请采用默认配置。
图-18 RADIUS高级配置
# 单击<确定>按钮,完成配置。
9. 配置ISP域
# 选择“对象 > 用户 > 认证管理 > ISP域”,进入ISP域页面,点击<新建>按钮,创建ISP域sslvpn,并指定SSL VPN用户使用的认证、授权方法为RADIUS方案radius、不进行计费,参数配置如下图所示:
图-19 ISP域配置
图-20 ISP域配置
10. 配置用户组
# 选择“对象 > 用户> 用户管理 > 本地用户 > 用户组”,进入用户组页面,点击<新建>按钮,参数配置如下图所示。
图-21 配置用户组
# 单击<确定>按钮,完成配置。
11. 配置SSL VPN网关
# 选择“网络 > SSL VPN > 网关”,进入SSL VPN网关页面,单击<新建>按钮,创建SSL VPN网关,参数配置如下图所示。
图-22 配置SSL VPN网关
# 单击<确定>按钮,完成配置。
12. 创建SSL VPN AC接口
# 选择“网络 > SSL VPN > IP接入接口”,进入SSL VPN接入接口页面。单击<新建>按钮,创建SSL VPN接入接口,接口编号输入1,单击<确定>,然后继续配置接口参数,如下图所示。
图-23 创建IP接入接口(1)
图-24 创建IP接入接口(2)
# 单击<确定>按钮。
13. 创建SSL VPN客户端地址池
# 选择“网络 > SSL VPN > 客户端地址池”,进入SSL VPN客户端地址池页面。单击<新建>按钮,创建SSL VPN客户端地址池,参数配置如下图所示。
图-25 创建客户端地址池
# 单击<确定>按钮。
14. 配置SSL VPN访问实例
# 选择“网络 > SSL VPN > 访问实例”,进入SSL VPN访问实例页面,单击<新建>按钮,创建SSL VPN访问实例,参数配置如下图所示,未显示的部分,采用默认配置即可。
图-26 新建访问实例
# 单击<下一步>,配置认证配置,参数配置如下图所示。
# 单击<下一步>,不配置URI ACL,继续单击<下一步>,在跳转的页面选择“IP业务”,单击<下一步>。配置IP业务,参数配置如下图所示。
图-27 配置IP业务(1)
图-28 配置IP业务(2)
# 单击<下一步>,不配置快捷方式,继续单击<下一步>,在跳转的页面单击<新建>按钮,配置资源组,参数配置如下图所示(本例的IPv4 ACL 3999规则为允许通过所有流量)。
图-29 配置资源组
# 单击<确定>按钮,资源组如下图所示。
图-30 资源组
# 单击<完成>按钮,完成配置。
# 在<使能>按钮的选择框上挑勾,使能配置的访问实例,如下图所示。
图-31 使能访问实例
本例使用的iMC版本号为iMC PLAT 7.3(E0504)。
1. 配置接入策略
# 登录iMC,选择“用户 > 接入策略管理 > 接入策略管理”,进入接入策略管理页面,单击<增加>按钮,新建策略,参数配置如下图所示。
图-32 新建接入策略
# 单击<确定>按钮。
# 选择“用户 > 接入策略管理 > 接入服务管理”,进入接入服务管理页面,单击<增加>按钮,新建接入服务,参数配置如下图所示。
图-33 新建接入服务
# 单击<确定>按钮。
# 选择“用户 > 接入策略管理 > 接入设备管理 > 接入设备配置”,进入接入设备配置页面,单击<增加>按钮,新建接入设备配置,参数配置如下图所示(共享密钥为123456)。
图-34 配置接入设备
# 单击<确定>按钮。
2. 配置用户
# 选择“用户 > 增加用户”,进入增加用户配置页面,参数配置如下图所示。
图-35 增加用户
# 单击<确定>按钮。
# 选择“用户 > 接入用户管理 > 接入用户”,进入接入用户页面,单击<增加>按钮,新建策略,参数配置如下图所示。
图-36 配置接入用户
# 单击<确定>按钮。
Server上需要配置到达网段10.1.1.0/24的路由。
1. 在Host上安装USB Key
从管理员处获取制作好的USB Key安装到Host,USB Key的制作方法请参见本文附录。
2. 在Host上登录SSL VPN网关
# 在Host的浏览器地址栏输入https://1.1.1.2:4430/,回车确认之后会弹出证书选择界面,如下图所示。
图-37 证书选择界面
# 选择证书,单击<确定>按钮,跳转到登录页面,输入用户sslvpnuser和密码123456TESTplat&!,如下图所示。
图-38 登录页面
# 单击<登录>按钮,可以成功登录SSL VPN网关。在网页的应用程序栏中选择“启动IP客户端应用程序”。
# 单击<启动>按钮,下载IP接入客户端软件Svpnclient并安装,安装完成后,启动iNode客户端,输入如下图所示的参数。
图-39 iNode客户端
# 单击密码输入框右侧的<选择客户端证书>按钮,选择USBKey中的客户端证书,单击<确定>按钮,如下图所示。
图-40 选择证书
# 单击图-39的<连接>按钮,成功登录SSL VPN客户端,如下图所示。
图-41 成功登录SSL VPN网关
# SSL VPN用户sslvpnuser登录成功后,SSL VPN用户可以在Host上Ping通服务器地址20.2.2.2。
C:\>ping 20.2.2.2
Pinging 20.2.2.2 with 32 bytes of data:
Reply from 20.2.2.2: bytes=32 time=31ms TTL=254
Reply from 20.2.2.2: bytes=32 time=18ms TTL=254
Reply from 20.2.2.2: bytes=32 time=15ms TTL=254
Reply from 20.2.2.2: bytes=32 time=16ms TTL=254
Ping statistics for 20.2.2.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 15ms, Maximum = 31ms, Average = 20ms
在管理员PC上制作USB Key的流程如下:
1. 配置PC的IP地址、网关,保证PC到达CA服务器的路由可达。本文以Windows 2008 server作为CA服务器举例,如下图所示。
图-42 制作USB Key组网图
2. 申请USBKey客户端证书。
# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-43 证书申请页面
# 单击<申请证书>按钮,跳转页面如下图所示。
图-44 证书申请页面
# 单击<高级证书申请>按钮,在跳转的页面选择<创建并向此CA提交一个申请>,申请客户端证书,参数配置如下图所示。
图-45 申请客户端证书
# 其余选用默认配置,单击页面最下方的<提交>按钮,提交客户端证书申请。
# 提交成功之后,页面会弹出输入框,请按提示输入USB Key的用户密码,并单击<登录>按钮,如下图所示。
图-46 安装客户端证书到USB Key
# 单击<安装此证书>,潜在的脚本冲突单击<是>,客户端证书会直接安装到USBKey中,如下图所示。
图-47 USB Key客户端证书
至此,USB Key制作完毕。
本举例详细介绍了iNode客户端在不同环境下的安装和使用方法,iNode客户端支持在如下环境中安装和使用:Windows系统、MacOS系统、Linux系统、Android手机和iOS手机。
Windows系统下可以使用SSL VPN网关自带的iNode客户端,或者使用H3C官网下载的iNode客户端。
1. 打开SSL VPN登录界面
# 在浏览器地址栏输入https://1.1.1.2,回车确认之后跳转到域列表选择页面,如下图所示。(本举例以SSL VPN网关地址1.1.1.2为例)
图-104 域列表界面
# 单击“domainip”,跳转到SSL VPN登录界面,输入用户名密码(用户名user1,密码123456),单击<登录>按钮,可以成功登录。
图-105 SSL VPN登录界面
2. 启动IP客户端应用程序
# 成功登录后在浏览器页面找到如下图所示的区域。
图-106 启动IP客户端
# 单击<启动>按钮,启动IP客户端,系统会自动下载iNode客户端(如果Host之前没有安装过iNode客户端),下载完成后会自动启动iNode客户端,并登录SSL VPN网关,成功登录后如下图所示。
图-107 iNode客户端
1. 下载iNode管理中心
# 在浏览器地址栏中输入H3C的官网地址www.h3c.com,进入H3C官网,选择“支持 > 文档与软件 > 软件下载”。
图-108 进入H3C官网
# 选择“管理软件 > iNode PC(PC客户端)”。
图-109 选择管理软件
图-110 选择iNode PC(PC客户端)
# 选择最新版本iNode PC软件包。
图-111 最新版本iNode PC软件包
# 在登录页面输入用户名:yx800,密码:01230123,单击<登录>按钮,进入下载页面。本文的用户名和密码仅为举例,请使用自己的用户名和密码登录。
图-112 登录页面
# 进入下载页面,下载安装包。此版本安装包仅为举例,请以实际下载的安装包为准。
图-113 下载安装包
# 根据实际使用的操作系统选择适合的安装包。
图-114 选择安装包
# 双击进入“Windows”文件夹,安装“iNode Management Center for Windows 7.3 (E0583).exe”软件。
图-115 安装软件
2. 安装iNode管理中心
# 双击应用程序“iNode Management Center for Windows 7.3 (E0583).exe”,进入安装界面。
图-116 iNode管理中心安装界面
# 单击<下一步>按钮,进入如下界面。
图-117 iNode管理中心安装界面
# 选择“我接受许可证协议中的条款”,单击<下一步>按钮,进入如下界面。
图-118 iNode管理中心安装界面
# 单击<下一步>按钮,进入如下界面。
图-119 iNode管理中心安装界面
# 单击<安装>按钮,进入如下界面。
图-120 iNode管理中心安装界面
# 单击<完成>按钮,在桌面出现iNode管理中心图标。
图-121 安装完成
3. 定制iNode客户端
# 双击打开iNode管理中心软件,在左侧导航栏中选择“客户端定制”选项,在网络接入组件选择“SSL VPN”。
图-122 iNode管理中心
# 单击<完成>按钮,进入如下界面,场景选择默认场景,选择“生成定制的客户端升级包”。
图-123 iNode管理中心
# 安装包生成后,单击<查找目标>按钮。
图-124 客户端定制结果
# 在目标文件夹中找到生成的客户端程序,并安装生成的客户端程序。
图-125 客户端程序
4. 登录iNode客户端
# iNode客户端安装完成后,启动iNode客户端。需要注意的是如果SSL VPN端口不为443,则需要在IP地址后加端口才能登录。
图-126 登录iNode客户端
# 单击<连接>按钮,成功登录iNode客户端,如下图所示。
图-127 登录成功
1. 下载iNode管理中心,请参考上文中的下载iNode管理中心。
2. 安装iNode管理中心
# 双击进入“MacOS”文件夹,双击压缩包进行解压。
图-128 解压安装包
# 双击进入iNodeManager文件夹。
图-129 iNodeManager文件夹
# 进入文件夹后单击上方<设置>按钮,选择“将iNodeManager拷贝为路径名称”。
图-130 iNodeManager界面
# 进入终端应用,输入“open”,然后空格右键粘贴刚才拷贝的路径,继续在后方输入“/iNodeManager.App/Contents/MacOS”,如下图所示。
图-131 修改路径
3. 定制iNode客户端
# 双击弹出页面中的“iNodeManager”,如下图所示:
图-132 iNodeManager
# 在新窗口中根据需要选择VPN类型,高级定制中可以预先配置VPN的网关地址及端口。
图-133 高级定制
# 添加完成后单击<完成>按钮,选择“生成定制的客户端安装程序”,然后单击<确定>按钮。
图-134 iNode管理中心
# 定制成功后可以看到如下界面,在文件中按如下顺序展开即可看到iNode安装包。
图-135 客户端定制结果
# 双击上图中的压缩包,解压后单击iNodeClient。
图-136 iNode客户端安装
# 进行系统偏好设置,如下图所示。
图-137 系统偏好设置
# 重启后即可看到iNode客户端的快捷方式,如下图所示。
图-138 iNode客户端
4. 登录iNode客户端
# 使用iNode客户端登录,单击<加号>按钮,添加登录信息,完成登录,如下图所示。
图-139 iNode客户端添加拨号信息
# 选择“SSL VPN协议”,单击<下一步>按钮。
图-140 iNode客户端添加拨号信息
# 选择连接名、网关,输入用户名和密码后。单击<完成>按钮,完成连接的创建。
图-141 iNode客户端添加拨号信息
# 通过上面添加的拨号信息,打开后输入用户名和密码,单击<连接>按钮进行SSL VPN登录。
图-142 iNode客户端登录
1. 下载iNode管理中心,请参考上文中的下载iNode管理中心。
2. 安装iNode管理中心
# 使用root用户登录Centos7,将iNode管理中心安装包复制到/home/iNodeManager文件夹中。如果目录“/home/iNodeManager/”不存在,需事先创建。Centos7仅为举例,请以实际使用情况为准。
图-143 Linux系统
图-144 Linux系统
# 解压安装包,使用tar –xvf iNodeManager_H3C.tar.gz进行解压。
图-145 解压安装包
# 进入解压后的iNodeManager目录。
图-146 iNodeManager目录
# 执行安装命令sh ./install.sh,安装iNodeManager。
图-147 安装iNodeManager
3. 定制iNode客户端
# 安装完成后,无需重启Linux操作系统,也不需要启动任何服务即可运行Linux iNode 管理中心。
打开Linux iNode配置界面,再进入Linux iNode 管理中心安装目录,本例中为“/home/iNodeManager/iNodeManager/”,双击iNodeManager打开管理中心。
图-148 iNodeManager
# 定制SSL VPN功能并设置网关地址及端口,勾选SSL VPN功能后,单击<高级定制>按钮。
图-149 iNode管理中心
# 按照下图步骤,在SSL VPN配置项中添加网关地址,添加完成后单击<确定>按钮完成网关添加。
图-150 高级定制
# 设置好网关地址后单击<完成>按钮,进行后续定制操作。
图-151 完成定制
# 勾选“生成定制的客户端安装程序”选择,单击<查找目标>按钮,找到定制后的INode客户端软件,然后进行后续的客户端安装操作。
图-152 完成定制
4. 安装iNode客户端
# 根据主机操作系统环境,选择使用以上步骤生成的客户端软件进行安装。
图-153 iNode客户端安装
# 使用命令cp iNodeClient_Linux.tar.gz /home/iNode/将Linux iNode 安装文件复制到目录“/home/iNode/”下。如果目录“/home/iNode/”不存在,需事先创建。
图-154 复制安装包
# 执行tar – xvf iNodeClient_Linux64_7.3\\(E0548\).tar.gz命令解压安装包。
图-155 解压安装包
# 执行ll命令进入inodeclient目录。
图-156 进入inodeclient目录
# 执行安装命令 . install_64.sh。
图-157 执行安装命令
5. 登录iNode客户端
# 安装完成后,双击打开客户端运行程序。
图-158 iNode客户端
# 单击<加号>按钮添加VPN连接,选择“SSL VPN协议”后单击<下一步>按钮。
图-159 iNode客户端
# 输入用户名和密码进行认证,单击<完成>按钮后,完成SSL VPN连接。
图-160 SSL VPN连接
1. 下载iNode客户端。
# 在浏览器地址栏中输入H3C的官网地址www.h3c.com,进入H3C官网,选择“支持 > 文档与软件 > 软件下载”。
图-161 进入H3C官网
# 选择“管理软件 > iNode MC(手机客户端)”。
图-162 选择管理软件
图-163 选择iNode MC(手机客户端)
# 选择最新版本iNode MC软件包。
图-164 最新版本iNode MC软件包
# 在登录页面输入用户名:yx800,密码:01230123,单击<登录>按钮,进入下载页面。本文的用户名和密码仅为举例,请使用自己的用户名和密码登录。
图-165 登录页面
# 进入下载页面,下载安装包。
图-166 下载安装包
# 找到下载目录,将压缩包进行解压。
图-167 解压压缩包
# 打开VPN压缩包进行解压。
图-168 解压压缩包
2. 登录iNode客户端
# 通过QQ文件传输助手或其他任意方法将iNode.apk安装包上传至Android手机。
图-169 上传安装包
# 手机收到安装包后单击<安装>按钮。
# 安装完成后打开iNode客户端,单击右上角的<设置>按钮,设置SSL VPN网关地址及端口。
图-170 iNode客户端
# 在下图SSL VPN服务器地址栏中输入SSL VPN网关地址,地址格式为:X.X.X.X:X,例如:10.10.10.10:8443,其中8443为SSL VPN服务端口。单击<确定>按钮完成设置,再单击左上角<返回>按钮,输入账号和密码进行登录认证。
图-171 iNode客户端
建议通过苹果手机的APP Store搜索iNode进行下载最新版本使用,本文以版本7.3.33举例。
1. 下载iNode客户端
# 打开APP Store,搜索iNode。iNode portal适用于Portal认证的场景。iNode connect适用于SSL VPN认证的场景,单击下载iNode connect并安装。
图-172 搜索iNode
2. 登录iNode客户端
# 安装完成后,可以看到iNode connect图标。
图-173 打开iNode客户端
# 打开iNode connect单击右上角<设置>按钮,弹出SSL VPN服务器地址设置项。
图-174 iNode客户端
# 在下图SSL VPN服务器地址栏中输入SSL VPN网关地址,地址格式为:X.X.X.X:X,例如:10.10.10.10:8443,其中8443为SSL VPN服务端口。单击<确定>按钮完成设置,再单击左上角<返回>按钮,输入账号和密码进行登录认证。
图-175 iNode客户端
# 登录提示出现后单击<同意>按钮,否则将导致VPN客户端无法使用。
图-176 完成登录
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
