【VPN】VPN如何证书认证方式登录(旁路模式)

发布时间: 2013-09-08 点击量:7457 打印 字体:

一、网络需求:

外网有 单独的出口路由器,V1600S以旁路模式放在网络中,外网用户以”证书认证方式“拨SSL VPN到内网,访问内网的资源

(本案例涉及到RG-CMS证书管理系统,相关的安装使用请参照本案例集中“RG-CMS证书管理系统的安装 ”说明)

二、网络拓扑

如下图所示:

 本案例中内网共有 3个vlan:

vlan 10 为内网普通用户网段:192.168.10.0/24            网关:192.168.10.1/24

vlan 20 为内网服务器网段   :   192.168.20.0/24            网关:192.168.10.1/24

vlan 30 单独划分给V1600S:  192.168.30.0/24            网关:192.168.10.1/24

 核心交换机和路由器之间的互联网段是192.168.1.0/24,路由器内网口:192.168.1.1  交换机上联口:192.168.1.2;

此案例中,分配给外网用户的虚地址段:192.168.30.0/24(SSL VPN的时候分配的虚拟子网不能任何eth口上的主网段相同,否则会有冲突);下图中红色的线代表外网用户访问内网服务器的来回数据走向。

三、配置要点

1.配置出口NBR路由器

1).基本的上网配置

2).端口映射,与SSL VPN相关的端口  TCP:443  TCP/UDP:888,V1600S的管理端口:UDP 49  、TCP 666

           3).配置去往内网网段的静态路由,目的网段192.168.0.0 掩码 255.255.0.0 下一跳192.168.1.2

2.核心交换机上需要做的关键配置:

1).划分vlan10、20、30,配置vlan对应的网关地址,上连口地址,配置默认路由,下一跳指向出口路由器的内网接口

2)把Gi0/3接口划分到vlan30,与V1600S互连

3)配置去往外网的默认路由

3.配置V1600S的基本配置

1.配置ETH1接口IP :192.168.30.2/24,外网网关:192.168.30.1/24

2.定义内网用户的网段和外网VPN用户的网段,提供给接下来的访问规则调用

3.配置访问规则,外网用户访问内网资源的数据,源地址转换为eth0接口的IP

原理说明:外网用户访问内网的数据,经路由器转发给V1600S,然后V1600S对数据进行NAT转换,把外网用户访问内网资源的数据,源地址转换为eth0接口的IP,目的地址不变,再转发给核心交换机,核心交换机转发给内网服务器。服务器接收到该访问数据,回应的时候,目的地址是V1600S的接口IP,转发给核心交换机,核心交换机再转发V1600S。

(注:初始化的V1600S默认产生以下两条访问规则,序号为1的安全规则是对任何数据都是纯放通,不进行任何的修改,序号为2的安全规则是对任何数据都进行阻断;访问规则的处理顺序是由上往下,从第一访问规则开始匹配,如果新增加了访问规则,记得根据实际的网络需求调整好规则之间的顺序)

4.SSL VPN 的相关配置

1)资源管理配置------添加资源

2)用户组管理--------添加用户组(用户和资源是绑定在一起的)

3)远程用户组管理---本地用户数据库

4)参数设置-----------虚拟地址池(1.安全规则选择“直接放行”。2.配置时切忌不要配置内网同段的 IP 地址,否则会照成资源无法访问的情况)

5)用户认证------证书认证(此处证“证书参数>证书认证”里面必须勾选)

6)生成证书------PME/P12(此处添加的证书用户名称必须与 “远程用户组管理---本地用户数据库”的用户名称一致)

四、配置步骤

1.配置出口NBR路由器

-------------以下是NBR路由器配置内网的用户能够正常访问internet------------------

以下是命令配置

interface GigabitEthernet 0/0        //内网口

 ip nat inside

 ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet 0/1      //外网接口

 ip nat outside

 ip address 172.18.10.114 255.255.255.0

   

ip access-list extended 110       //与NAT相关的ACL

 10   permit ip any any

ip nat inside source list 110 pool nat_pool overload

ip nat pool nat_pool prefix-length 24

 address 172.18.10.114 172.18.10.114 match interface GigabitEthernet 0/1

 

ip route 0.0.0.0 0.0.0.0 172.18.10.1      //配置访问互联网的默认路由,外网网关地址为172.18.10.1

ip route 192.168.0.0 255.255.0.0 192.168.1.2   //配置访问内网的静态路由   ,下一跳地址为 192.168.1.2

 

ip nat inside source static tcp 192.168.30.2 443  172.18.10.114 443 permit-inside

ip nat inside source static tcp 192.168.30.2 888  172.18.10.114 888 permit-inside

ip nat inside source static udp 192.168.30.2 888  172.18.10.114 888 permit-inside

ip nat inside source static udp 192.168.30.2 49  172.18.10.114 49 permit-inside

ip nat inside source static tcp 192.168.30.2 666 172.18.10.114 666 permit-inside

 

2.核心交换机上的配置

-------------------以下配置核心5750----------------------------------

vlan  10

vlan  20

vlan 30

int vlan 10

ip address 192.168.10.1 255.255.255.0

int vlan 20

ip address 192.168.20.1 255.255.255.0

int vlan 30

ip address 192.168.30.1 255.255.255.0

int gi0/0

no swithchport

ip address 192.168.1.2 255.255.255.0

 

int gi0/1

switchport access vlan 10

int gi0/2

switchport access vlan 20

int  gi0/3

switchport access vlan 30

 

ip route 0.0.0.0 0.0.0.0 192.168.1.1   //配置默认路由,下一跳地址为路由器内网口的IP

 

3.配置V1600S的基本配置

---------------------------以下配置V1600S---------------------------------

1).配置Eth1接口IP :192.168.30.2/24,与核心交接机gi0/3的接口互连

 

 

2).定义内网用户的网段和外网VPN用户的网段,提供给接下来的访问规则调用

先访问控制----->对象管理----IP地址对象中定义好以下地址对象

添加名称为”SSL_VPN用户组“的IP地址对象:192.168.2.0/24

 

添加名称为”内网服务器网段“的IP地址对象:192.168.20.0/24

 

 

3).配置访问规则,外网用户访问内网资源的数据,源地址转换为eth1接口的IP

在访问规则里,源对象为:SSL-VPN用户   目的对象:内网服务器网段    按对象转换

 

配置好以上规则后,通过“规则上移”的按钮把该条规则调到最前面,如下图所示:

 

 

4.SSL VPN 的相关配置

-------------------------------以下是V1600S的SSL VPN相关配置-------------------------

1).资源管理配置------添加资源

指定外网用户可以访问的内网资源

 

2)用户组管理---本地用户数据库

给外网用户添加一个名称为'SSL-VPN用户组”的用户组

 

3)远程用户管理--------添加用户组

添加VPN用户,并把该用户加入到之前配置的用户组里面

点击  “本地用户数据库”  添加新用户

回到 用户组管理 页面,给该账户分配之前我们设定的内网服务资源

4)参数设置-----------虚拟地址池

参数中主要配置虚地址池,虚地址池的作用是:用户建立隧道时,VPN网关设备从该地址池从分配其中的某个IP地址给外网VPN用户使用;

配置时有以下注意点:

1.切忌不要配置内网同段的 IP 地址,否则会造成资源无法访问的情况;

2.SSL 隧道设置“区域的”SSL隧道端口复用“按钮如果有端口冲突时请勾选,否则无需勾选;

 

如果不勾选以上的“使用组虚拟地址池”,那么就可以直接设置子网地址和掩码,就此所有配置就结束了。

(“使用组虚拟地址池”该功能的使用场景请参照“SSL vpn配置》旁路模式》用户名+密码方式登录”中的“使用组虚拟地址池”里的介绍)

5)用户认证------证书认证

-------------------------------以下是证书认证的相关设置------------------------------------------

用户认证------证书认证:远程用户管理---->认证参数---->证书认证

将用户通过 RG-CMS 下发的密钥在 VPN 设备上可以合法使用,该处勾选时用户方可通过证书认证,否则

证书认证无法使用。

 

生成证书-----PME/P12

添加一个新用户,用户信息中填写的用户名称一定要和本地用户数据库对应

此处的用户名为:test        用户类型:客户端用户

以下为    生成证书

以下为   导出证书和私钥

接下来的步骤参见第五步

五、配置验证

有两种导出类型,这里先使用第一种类型:PEM

--------------以下是客户端使用PEM证书方式拨VPN的过程----------------

1.在客户端电脑输入外网接口的IP地址:

https://172.18.10.114,弹出以下页面

出现安装客户端的界面

使用PEM方式登录

选择 生成的 pem  和 key 文件

点击 登录后 

 

 

登录成功后,显示当前可访问的VPN资源

 

 

2.使用PKCS#12证书方式

--------------以下是客户端使用PKCS#12证书方式拨VPN的过程---------------

 

 

 

提示输入私钥密码,默认为空

 

提示隧道建立成功

 

隧道建立成功后就可以访问内网的服务资源了

 

 

00 分享 纠错
相关条目