本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
如下图所示,SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用IP接入方式能够安全地访问私有网络内的Server。具体需求如下:
SSL VPN网关设备通过RADIUS Server对用户进行远程认证和授权。
为了增强安全性,需要验证客户端证书,客户端证书由USB Key提供。
为了增强安全性,服务器端证书不使用缺省证书,需向CA申请。
图-1 IP接入USB Key证书认证配置组网图
为客户端地址池配置的网段需要满足以下要求:
不能和客户端物理网卡的IP地址在同一个网段。
不能包含SSL VPN网关所在设备的接口地址,否则会导致地址冲突。
不能和想要访问的内网目的地址在同一个网段。
SSL VPNAC接口需要加入安全域,且保证该接口所在安全域与到达内部服务器所在接口的安全域域间流量互通。
需要保证内网Server到达SSL VPN客户端地址池所在网段10.1.1.0/24路由可达。
某些品牌的USB Key可能需要安装驱动才能使用,请做好准备。
USB Key客户端证书中的指定字段(默认为CN字段)必须和该SSL VPN用户的用户名一致,如下图所示。
配置接口IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,参数配置如下:
安全域:Untrust
选择“IPV4地址”页签,配置IP地址/掩码:1.1.1.2/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/2右侧的<编辑>按钮,参数配置如下:
安全域:Trust
选择“IPV4地址”页签,配置IP地址/掩码:2.2.2.2/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/3右侧的<编辑>按钮,参数配置如下:
安全域:Trust
选择“IPV4地址”页签,配置IP地址/掩码:3.3.3.1/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/4右侧的<编辑>按钮,参数配置如下:
安全域:Trust
选择“IPV4地址”页签,配置IP地址/掩码:192.168.100.3/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
目的IP地址:40.1.1.1
掩码长度:24
下一跳IP地址:1.1.1.3
其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
# 按照同样的步骤新建IPv4静态路由,并进行如下配置:
目的IP地址:20.2.2.2
掩码长度:24
下一跳IP地址:2.2.2.3
其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
名称:untrust-local
源安全域:Untrust
目的安全域:Local
类型:IPv4
动作:允许
源IPv4地址:40.1.1.1
目的IPv4地址:1.1.1.2
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 按照同样的步骤新建安全策略,配置如下。
名称:untrust-trust
源安全域:Untrust
目的安全域:Trust
类型:IPv4
动作:允许
源IPv4地址:10.1.1.0/24
目的IPv4地址:20.2.2.0/24
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
申请服务器端证书
# 选择“对象 > PKI > 证书主题”,进入证书主题界面,单击<新建>按钮,参数配置如下图所示。
图-2 证书主题配置
# 单击<确定>按钮。
# 选择“对象 > PKI > 证书”,进入证书页面,单击<新建PKI域>按钮,参数配置如下图所示。
图-3 PKI域配置
# 单击<确定>按钮。
# 单击<提交申请>按钮,申请服务器端证书,参数配置如下图所示。
图-4 申请服务器端证书
# 单击<确定>按钮,页面会显示证书申请信息,如下图所示。
图-5 证书申请信息
# 复制上图所示的全部证书申请信息,并向CA申请服务器端证书(本例CA服务器为Windows Server 2008 R2)。单击<确定>按钮。
# 在浏览器地址栏输入http://192.168.100.247/certsrv,访问CA服务器并进入证书申请页面,如下图所示。
图-6 证书申请页面
# 单击<申请证书>按钮,跳转页面如下图所示。
图-7 证书申请页面
# 单击<高级证书申请>按钮,将复制的证书申请信息粘贴至“Base-64编码的证书申请”输入框,
如下图所示。
图-8 证书申请页面
# 单击<提交>按钮,完成证书申请。
# 待CA管理员同意颁发证书后,在浏览器栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-9 证书申请页面
# 单击<查看挂起的证书申请的状态>按钮,跳转页面如下图所示。
图-10 查看挂起的证书申请的状态
# 单击<保存的证书申请>按钮,跳转页面如下图所示。
图-11 下载申请的证书
# 单击<下载证书>按钮,下载申请的服务器端证书,并保存好。
在CA服务器上下载CA证书
# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-12 证书申请页面
# 单击<下载CA证书、证书链或CRL>按钮,跳转页面如下图所示。
图-13 下载CA证书
# 单击<下载CA证书>按钮,下载CA证书,并保存好。至此,证书申请工作已全部完成。
导入证书
# 选择“对象 > PKI > 证书”,进入证书页面,单击<导入证书>按钮,选择之前保存好的CA证书,
配置如下图所示。
图-14 导入CA证书
# 单击<确定>按钮,完成CA证书的导入。
# 选择“对象 > PKI > 证书”,进入证书页面,单击<导入证书>按钮,选择之前保存好的服务器端证书,配置如下图所示。
图-15 导入本地证书
# 单击<确定>按钮,完成本地证书的导入。
配置SSL的服务器端策略
# 选择“对象 > SSL > 服务器端策略”,进入SSL服务器端策略页面,单击<新建>按钮,创建服务端策略,参数配置如下图所示。需要开启验证客户端功能。
图-16 配置服务器端策略
# 单击<确定>按钮,完成配置。
配置RADIUS方案
# 选择“对象 > 用户 > 认证管理 > RADIUS”,进入RADIUS页面,点击<新建>按钮,认证服务器参数配置如下图所示(认证密钥为123456):
图-17 RADIUS配置
# 高级设置参数配置如下图所示,未显示部分请采用默认配置。
图-18 RADIUS高级配置
# 单击<确定>按钮,完成配置。
配置ISP域
# 选择“对象 > 用户 > 认证管理 > ISP域”,进入ISP域页面,点击<新建>按钮,创建ISP域sslvpn,并指定SSL VPN用户使用的认证、授权方法为RADIUS方案radius、不进行计费,参数配置如下图所示:
图-19 ISP域配置
图-20 ISP域配置
配置用户组
# 选择“对象 > 用户> 用户管理 > 本地用户 > 用户组”,进入用户组页面,点击<新建>按钮,参数配置如下图所示。
图-21 配置用户组
# 单击<确定>按钮,完成配置。
配置SSL VPN网关
# 选择“网络 > SSL VPN > 网关”,进入SSL VPN网关页面,单击<新建>按钮,创建SSL VPN网关,参数配置如下图所示。
图-22 配置SSL VPN网关
# 单击<确定>按钮,完成配置。
创建SSL VPN AC接口
# 选择“网络 > SSL VPN > IP接入接口”,进入SSL VPN接入接口页面。单击<新建>按钮,创建SSL VPN接入接口,接口编号输入1,单击<确定>,然后继续配置接口参数,如下图所示。
图-23 创建IP接入接口(1)
图-24 创建IP接入接口(2)
# 单击<确定>按钮。
创建SSL VPN客户端地址池
# 选择“网络 > SSL VPN > 客户端地址池”,进入SSL VPN客户端地址池页面。单击<新建>按钮,创建SSL VPN客户端地址池,参数配置如下图所示。
图-25 创建客户端地址池
# 单击<确定>按钮。
配置SSL VPN访问实例
# 选择“网络 > SSL VPN > 访问实例”,进入SSL VPN访问实例页面,单击<新建>按钮,创建SSL VPN访问实例,参数配置如下图所示,未显示的部分,采用默认配置即可。
图-26 新建访问实例
# 单击<下一步>,配置认证配置,参数配置如下图所示。
# 单击<下一步>,不配置URI ACL,继续单击<下一步>,在跳转的页面选择“IP业务”,单击<下一步>。配置IP业务,参数配置如下图所示。
图-27 配置IP业务(1)
图-28 配置IP业务(2)
# 单击<下一步>,不配置快捷方式,继续单击<下一步>,在跳转的页面单击<新建>按钮,配置资源组,参数配置如下图所示(本例的IPv4 ACL 3999规则为允许通过所有流量)。
图-29 配置资源组
# 单击<确定>按钮,资源组如下图所示。
图-30 资源组
# 单击<完成>按钮,完成配置。
# 在<使能>按钮的选择框上挑勾,使能配置的访问实例,如下图所示。
图-31 使能访问实例
本例使用的iMC版本号为iMC PLAT 7.3(E0504)。
配置接入策略
# 登录iMC,选择“用户 > 接入策略管理 > 接入策略管理”,进入接入策略管理页面,单击<增加>按钮,新建策略,参数配置如下图所示。
图-32 新建接入策略
# 单击<确定>按钮。
# 选择“用户 > 接入策略管理 > 接入服务管理”,进入接入服务管理页面,单击<增加>按钮,新建接入服务,参数配置如下图所示。
图-33 新建接入服务
# 单击<确定>按钮。
# 选择“用户 > 接入策略管理 > 接入设备管理 > 接入设备配置”,进入接入设备配置页面,单击<增加>按钮,新建接入设备配置,参数配置如下图所示(共享密钥为123456)。
图-34 配置接入设备
# 单击<确定>按钮。
配置用户
# 选择“用户 > 增加用户”,进入增加用户配置页面,参数配置如下图所示。
图-35 增加用户
# 单击<确定>按钮。
# 选择“用户 > 接入用户管理 > 接入用户”,进入接入用户页面,单击<增加>按钮,新建策略,参数配置如下图所示。
图-36 配置接入用户
# 单击<确定>按钮。
Server上需要配置到达网段10.1.1.0/24的路由。
在Host上安装USB Key
从管理员处获取制作好的USB Key安装到Host,USB Key的制作方法请参见本文附录。
在Host上登录SSL VPN网关
# 在Host的浏览器地址栏输入https://1.1.1.2:4430/,回车确认之后会弹出证书选择界面,如下图所示。
图-37 证书选择界面
# 选择证书,单击<确定>按钮,跳转到登录页面,输入用户sslvpnuser和密码123456TESTplat&!,如下图所示。
图-38 登录页面
# 单击<登录>按钮,可以成功登录SSL VPN网关。在网页的应用程序栏中选择“启动IP客户端应用程序”。
# 单击<启动>按钮,下载IP接入客户端软件Svpnclient并安装,安装完成后,启动iNode客户端,输入如下图所示的参数。
图-39 iNode客户端
# 单击密码输入框右侧的<选择客户端证书>按钮,选择USBKey中的客户端证书,单击<确定>按钮,如下图所示。
图-40 选择证书
# 单击图-198的<连接>按钮,成功登录SSL VPN客户端,如下图所示。
图-41 成功登录SSL VPN网关
# SSL VPN用户sslvpnuser登录成功后,SSL VPN用户可以在Host上Ping通服务器地址20.2.2.2。
C:\>ping 20.2.2.2
Pinging 20.2.2.2 with 32 bytes of data:
Reply from 20.2.2.2: bytes=32 time=31ms TTL=254
Reply from 20.2.2.2: bytes=32 time=18ms TTL=254
Reply from 20.2.2.2: bytes=32 time=15ms TTL=254
Reply from 20.2.2.2: bytes=32 time=16ms TTL=254
Ping statistics for 20.2.2.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 15ms, Maximum = 31ms, Average = 20ms
在管理员PC上制作USB Key的流程如下:
配置PC的IP地址、网关,保证PC到达CA服务器的路由可达。本文以Windows 2008 server作为CA服务器举例,如下图所示。
图-42 制作USB Key组网图
申请USBKey客户端证书。
# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-43 证书申请页面
# 单击<申请证书>按钮,跳转页面如下图所示。
图-44 证书申请页面
# 单击<高级证书申请>按钮,在跳转的页面选择<创建并向此CA提交一个申请>,申请客户端证书,参数配置如下图所示。
图-45 申请客户端证书
# 其余选用默认配置,单击页面最下方的<提交>按钮,提交客户端证书申请。
# 提交成功之后,页面会弹出输入框,请按提示输入USB Key的用户密码,并单击<登录>按钮,如下图所示。
图-46 安装客户端证书到USB Key
# 单击<安装此证书>,潜在的脚本冲突单击<是>,客户端证书会直接安装到USBKey中,如下图所示。
图-47 USB Key客户端证书
