- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
37-SSL VPN典型配置举例
本章节下载 (403.72 KB)
许多大中型企业在全国各地都建有分支机构或者办事处,一般在企业总部会部署如OA系统、ERP系统等应用软件,将企业分布在各地的分支机构和办事处与企业总部互联,达到安全地共享数据和软件资源的目的,我们使用SSLVPN功能提供远程安全接入,解决其所面临的远程接入、传输保密、用户认证、网络安全防护、访问控制等问题。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解SSL VPN特性。
· 第三方用户必须同步到本地,不支持第三方非同步用户登录。
· 不支持苹果mac和ios系统。
如图1所示,使用设备的ge0和ge1接口以路由方式部署在网络中。用户希望设备提供SSL VPN服务,以供互联网用户通过SSL VPN访问内网的Web和FTP服务器。
图1 SSL VPN功能配置组网图
(1) 按照组网图组网。
(2) 配置接口。
(3) 配置静态路由。
(4) 配置用户。
(5) 配置SSL VPN全局配置。
(6) 配置SSL VPN资源。
(7) 配置SSL VPN策略
本举例是在E6472版本上进行配置和验证的。
如图2所示,进入“网络配置>接口配置>物理接口”页面,点击“编辑”按钮为ge0接口配置ip地址,并点击<提交>。
如图3所示,进入“网络配置>路由管理>静态路由”页面,点击<新建>按钮,配置一条静态路由:目的网段为服务器的网段:172.16.1.1/24,下一跳为ge1对端互联接口地址。
如图44所示,进入“用户管理> 用户组织结构>用户”页面,点击<新建>按钮,新建用户“sslvpntest”,并点击<提交>。
图4 配置用户
如图55所示,进入“网络配置>VPN>SSL VPN>全局配置”页面,进行SSL VPN全局配置,并点击<提交>。
如图66和图77所示,进入“网络配置>VPN>SSL VPN>资源”页面,点击“新建”按钮,进行SSL VPN的web和ftp资源配置,并点击<提交>。
图6 配置HTTP资源
图7 配置ftp资源
如图88所示,进入“网络配置>VPN>SSL VPN>策略”页面,点击<新建>按钮,进行sslvpn的策略配置,并点击<提交>。
如果选择为SSL VPN分配静态IP,如图9所示,进入“网络管理>VPN>SSL VPN>全局配置”页面,点击<全局配置>按钮,取消勾选<登录设定>中“允许多处登录”。
图9 用户IP绑定全局设置图
如图10所示,进入“网络管理>VPN>SSL VPN>IP用户绑定”页面,点击<新建>按钮,勾选<启用>,选择绑定用户,输入SSL VPN分配地址池中的IP地址,设置完毕后,客户端登录SSL VPN后,分配IP地址为绑定地址。
图10 IP用户绑定图
(1) 查看SSL VPN在线用户
如图1111所示,SSL VPN连接成功后,进入“数据中心>系统监控>SSL VPN在线用户”页面,查看在线用户。
图11 SSL VPN在线用户
(2) 查看客户端路由表
如图122所示,SSL VPN连接成功后,查看客户端的路由表,下发了两条路由。
(3) 访问SSL VPN资源
SSL VPN连接成功后,访问内网的FTP和HTTP资源,能够访问成功,如图133和图144所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
