华为设备配置SSL VPN

小乔

组网需求如图1所示，某企业通过Router与Internet相连接。Router作为SSL VPN网关，处于外网的企业市场人员、VIP客户和合作伙伴通过Router可以安全访问企业内网资源。
已知不同类型用户有不同的访问需求：
市场人员需要访问企业内网的Web服务器和邮箱服务器，需要与企业内部主机（IP地址：10.138.10.21）实现桌面共享，还需要Ping通企业内网部分主机（网段：10.138.10.64～10.138.10.95）。
VIP客户需要访问企业内网的邮箱服务器，还需要通过Telnet方式远程访问内网应用服务器。
合作伙伴需要访问企业内网的Web服务器。
要求管理员在Router上进行配置，满足不同类型用户的不同访问需求。
图1 配置SSL VPN网关组网图

操作步骤
1 配置Router
#
sysname Router
#
pki entity a  //配置PKI实体
country CN
common-name hello
#
pki realm admin //配置PKI域
ca id ca_a
enrollment-url htt p ://10.2.1.9:8080/certsrv/mscep/mscep.dll ra
entity a
fingerprint sha256 e71add0744360e91186b828412d279e06dcc15a4ab4bb3d13842820396b526a0   //配置对CA证书进行验证时使用的CA证书数字指纹
rsa local-key-pair rsa_scep   
//配置使用SCEP方式申请证书时使用的RSA密钥对，该密钥对由pki rsa local-key-pair create命令提前创建。
password cipher %$%$\1HN-bn(k;^|O85OAtYF3(M4%$%$   
//配置SCEP证书申请时使用的挑战密码为6AE73F21E6D3571D
auto-enroll 60 regenerate  //开启证书自动注册和更新功能
#
ssl policy adminserver type server  
//配置服务器型SSL策略，并将该SSL策略与HTTPS服务器相关联
pki-realm admin
#
ip pool market_pool  //配置IP地址池
network 10.139.30.0 mask 255.255.255.0
#
aaa    //创建远程用户的用户信息
authentication-scheme auth
  authentication-mode local
domain domain1
  authentication-scheme auth
local-user rose@domain1 password cipher %^%#~            
//密码rose123456
local-user wangjun@domain1 password cipher %^%#   
//密码wangjun654321
local-user zhanghong@domain1 password cipher %^
//密码zhanghong123456
local-user huwei@domain1 password cipher %^%#tz]d@Q
//密码huwei654321
local-user jack@domain1 password cipher %^%#D3q-7\3NwG+
//密码jack123456
local-user john@domain1 password cipher %^%#8N3T8`vr!%~f
//密码john654321
#
interface Ethernet 2/0/0
ip address 1.1.1.1 255.255.255.0
#
interface Ethernet 1/0/0
ip address 10.138.10.254 255.255.255.0
#
telnet server enable
#
sslvpn gateway market  //创建虚拟网关market
intranet interface Ethernet 1/0/0
bind domain default  //AAA域和用户信息
enable
service-type web-proxy resource market_web-proxy  
//配置Web代理业务，实现市场人员访问Web服务器
  link ht tp ://10.138.10.1:80/
service-type port-forwarding resource market_port-forwarding1  //配置端口转发业务
  server ip-address 10.138.10.3 port 995
  description market-email
service-type port-forwarding resource market_port-forwarding1  //配置端口转发业务
  server ip-address 10.138.10.21 port 3389
  description market-deskshare
service-type ip-forwarding resource market_ip-forwarding  //配置网络扩展业务
  bind ip-pool market_pool
  route-mode split
  route-split ip address 10.138.10.64 mask 27
#  //创建虚拟网关customer，配置基本功能，包括内外网接口、AAA域和用户信息
sslvpn gateway customer    intranet interface Ethernet 1/0/0
bind domain default
enable
service-type port-forwarding resource customer_port-forwarding  //配置端口转发业务
  server ip-address 10.138.10.3 port 995
  description custom-email
service-type port-forwarding resource customer_port-forwarding  //配置端口转发业务
  server ip-address 10.138.10.2 port 23
  description custom-telnet
#  //配置虚拟网关company，并配置基本功能，包括内外网接口、AAA域和用户信息
sslvpn gateway company
intranet interface Ethernet 1/0/0
bind domain default
enable
service-type web-proxy resource company_web-proxy  //配置Web代理业务
  link ht t p://10.138.10.1:80/
#                                                                              
return
2 检查配置结果
市场人员在终端（比如PC）打开IE浏览器，输入网址“ht tp s://1.1.1.1/market”，进入Web登录页面，并输入用户名和密码。认证成功后，市场人员在Web访问页面上查看可以访问的资源列表，包括Web服务器资源、邮箱服务器资源和共享桌面主机资源，并且可以Ping通企业内网部分主机（网段：10.138.10.64～10.138.10.95）。

配置注意事项
在配置SSL VPN网关之前，需要把Router配置为HTTPS服务器。

hmxaur

好东西谢谢楼主分享

simon7812

好东西

lhc123

好东西，谢谢分享