交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、网络需求
外网用户通过SSL vpn 访问公司内网的服务资源,登录的方式是 "用户名+密码"
二、网络拓扑
外网接口Eth0 :172.18.10.98/24
内网接口Eth1:192.168.1.1/24
三、配置要点
1.配置基本的上网功能,保证内网用户能访问互联网
1)配置内网接口IP:
2)配置外网接口IP:
3)配置对象定义:定义内网网段
4)定义内网访问外网的地址转换规则
5)配置完新增的地址转换规则,并把该条规则调所有规则的最前面
(注:初始化的V1600S默认产生以下两条访问规则,序号为1的安全规则是对任何数据都是放通,不进行任何的修改,序号为2的安全规则是对任何数据都进行阻断;访问规则的处理顺序是由上往下,从第一访问规则开始匹配,如果新增加了访问规则,记得根据实际的网络需求调整好规则之间的顺序)
2.配置SSL VPN
1)资源管理配置------添加资源
2)用户组管理--------添加用户组(用户和资源是绑定在一起的)
3)远程用户组管理---本地用户数据库
4)参数设置-----------虚拟地址池(1.安全规则选择“直接放行”。2.配置时切忌不要配置内网同段的 IP 地址,否则会照成资源无法访问的情况)
四、配置步骤
1.配置基本的上网功能,保证内网用户能访问互联网
------------------------------以下配置基本的上网功能--------------------------------------
1)配置内网接口IP
2)配置外网接口IP:外网接口要设置出口的网关地址,无需再设置默认路由
3)定义内网用户网段
4)配置内网用户访问互联网的地址转换规则
5)配置好以上规则后,通过“规则上移”的按钮把该条规则调到最前面,如下图所示:
2.配置SSL VPN
-------------------------------以下是V1600S的SSL VPN 配置---------------------------
1)资源管理配置------添加资源
指定外网用户可以访问的内网资源,资源名称可以自定义
2)用户组管理---本地用户数据库
用户组名可以自定义
3)用户组管理--------添加用户组
点击 “本地用户数据库” 添加新用户,此处添加用户名为test123,密码123456的一个账户
回到 用户组管理 页面,给该账户分配之前我们设定的内网服务资源
4)参数设置-----------虚拟地址池
参数中主要配置虚地址池,虚地址池的作用是:用户建立隧道时,VPN网关设备从该地址池从分配其中的某个IP地址给外网VPN用户使用;
配置时有以下注意点:
1.切忌不要配置内网同段的 IP 地址,否则会造成资源无法访问的情况;
2.SSL 隧道设置“区域的”SSL隧道端口复用“按钮如果有端口冲突时请勾选,否则无需勾选
如果不勾选以上的“使用组虚拟地址池”,那么就可以直接设置子网地址和掩码,就此所有配置就结束了。
(以下内容是对“使用组虚拟地址池”该功能的应用场景的描述,请根据实际需求选读)
如果想要针对不同的外网客户,控制他们访问不同的网络资源的权限,比如V1600S内网有财政部的服务器和人事部的服务器,我们就可以在”用户组管理“里新增“人事部用户”组和“财政部用户”组,为人事部的外网用户分配对应的网络资源,为财政部的外网用户分配对应的网络资源,,然后在上图中勾选:组虚拟IP地址池,为不同的外网用户指定特定的地址池,具体操作及配置图如下图所示:
比如我们新建一个“人事部用户”名称的用户组
再新建一个“renshibu”用户,把该用户加入到该用户组
最后我们为该用户组 分配允许访问的内网资源
五、配置验证
1.在客户端电脑输入外网接口的IP地址:https://172.18.10.98 弹出以下页面
2.出现安装客户端的界面
3.安装好后出现以下登录界面,输入用户名+密码
4.登录成功后,显示出可以访问的“资源”,此时就可以访问需要访问的内网服务了