华为设备配置SSL VPN
本帖最后由 小乔 于 2018-10-25 21:38 编辑组网需求如图1所示,某企业通过Router与Internet相连接。Router作为SSL VPN网关,处于外网的企业市场人员、VIP客户和合作伙伴通过Router可以安全访问企业内网资源。
已知不同类型用户有不同的访问需求:
市场人员需要访问企业内网的Web服务器和邮箱服务器,需要与企业内部主机(IP地址:10.138.10.21)实现桌面共享,还需要Ping通企业内网部分主机(网段:10.138.10.64~10.138.10.95)。
VIP客户需要访问企业内网的邮箱服务器,还需要通过Telnet方式远程访问内网应用服务器。
合作伙伴需要访问企业内网的Web服务器。
要求管理员在Router上进行配置,满足不同类型用户的不同访问需求。
图1 配置SSL VPN网关组网图
操作步骤
1 配置Router
#
sysname Router
#
pki entity a//配置PKI实体
country CN
common-name hello
#
pki realm admin //配置PKI域
ca id ca_a
enrollment-url htt p ://10.2.1.9:8080/certsrv/mscep/mscep.dll ra
entity a
fingerprint sha256 e71add0744360e91186b828412d279e06dcc15a4ab4bb3d13842820396b526a0 //配置对CA证书进行验证时使用的CA证书数字指纹
rsa local-key-pair rsa_scep
//配置使用SCEP方式申请证书时使用的RSA密钥对,该密钥对由pki rsa local-key-pair create命令提前创建。
password cipher %$%$\1HN-bn(k;^|O85OAtYF3(M4%$%$
//配置SCEP证书申请时使用的挑战密码为6AE73F21E6D3571D
auto-enroll 60 regenerate//开启证书自动注册和更新功能
#
ssl policy adminserver type server
//配置服务器型SSL策略,并将该SSL策略与HTTPS服务器相关联
pki-realm admin
#
ip pool market_pool//配置IP地址池
network 10.139.30.0 mask 255.255.255.0
#
aaa //创建远程用户的用户信息
authentication-scheme auth
authentication-mode local
domain domain1
authentication-scheme auth
local-user rose@domain1 password cipher %^%#~
//密码rose123456
local-user wangjun@domain1 password cipher %^%#
//密码wangjun654321
local-user zhanghong@domain1 password cipher %^
//密码zhanghong123456
local-user huwei@domain1 password cipher %^%#tz]d@Q
//密码huwei654321
local-user jack@domain1 password cipher %^%#D3q-7\3NwG+
//密码jack123456
local-user john@domain1 password cipher %^%#8N3T8`vr!%~f
//密码john654321
#
interface Ethernet 2/0/0
ip address 1.1.1.1 255.255.255.0
#
interface Ethernet 1/0/0
ip address 10.138.10.254 255.255.255.0
#
telnet server enable
#
sslvpn gateway market//创建虚拟网关market
intranet interface Ethernet 1/0/0
bind domain default//AAA域和用户信息
enable
service-type web-proxy resource market_web-proxy
//配置Web代理业务,实现市场人员访问Web服务器
link ht tp ://10.138.10.1:80/
service-type port-forwarding resource market_port-forwarding1//配置端口转发业务
server ip-address 10.138.10.3 port 995
description market-email
service-type port-forwarding resource market_port-forwarding1//配置端口转发业务
server ip-address 10.138.10.21 port 3389
description market-deskshare
service-type ip-forwarding resource market_ip-forwarding//配置网络扩展业务
bind ip-pool market_pool
route-mode split
route-split ip address 10.138.10.64 mask 27
#//创建虚拟网关customer,配置基本功能,包括内外网接口、AAA域和用户信息
sslvpn gateway customer intranet interface Ethernet 1/0/0
bind domain default
enable
service-type port-forwarding resource customer_port-forwarding//配置端口转发业务
server ip-address 10.138.10.3 port 995
description custom-email
service-type port-forwarding resource customer_port-forwarding//配置端口转发业务
server ip-address 10.138.10.2 port 23
description custom-telnet
#//配置虚拟网关company,并配置基本功能,包括内外网接口、AAA域和用户信息
sslvpn gateway company
intranet interface Ethernet 1/0/0
bind domain default
enable
service-type web-proxy resource company_web-proxy//配置Web代理业务
link ht t p://10.138.10.1:80/
#
return
2 检查配置结果
市场人员在终端(比如PC)打开IE浏览器,输入网址“ht tp s://1.1.1.1/market”,进入Web登录页面,并输入用户名和密码。认证成功后,市场人员在Web访问页面上查看可以访问的资源列表,包括Web服务器资源、邮箱服务器资源和共享桌面主机资源,并且可以Ping通企业内网部分主机(网段:10.138.10.64~10.138.10.95)。
配置注意事项
在配置SSL VPN网关之前,需要把Router配置为HTTPS服务器。
好东西谢谢楼主分享 好东西 好东西,谢谢分享
页:
[1]