交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、网络需求:
外网用户通过SSL vpn 访问公司内网的服务资源,登录的方式是 ”证书方式登录“
(本案例涉及到RG-CMS证书管理系统,相关的安装使用请参照本案例集中 “RG-CMS证书管理系统的安装 ”说明)
二、网络拓扑
外网接口ETH0 :172.18.10.98/24
内网接口ETH1:192.168.1.1/24
internet------V1600S-----接入层交换机----局域网
三、配置要点
1.配置基本的上网功能,保证内网用户能访问互联网
1)配置内网接口IP:
2)配置外网接口IP:
3)配置对象定义:定义内网网段
4)定义内网访问外网的地址转换规则
5)配置完新增的地址转换规则,并把该条规则调所有规则的最前面
(注:初始化的V1600S默认产生以下两条访问规则,序号为1的安全规则是对任何数据都是放通,不进行任何的修改,序号为2的安全规则是对任何数据都进行阻断;访问规则的处理顺序是由上往下,从第一访问规则开始匹配,如果新增加了访问规则,记得根据实际的网络需求调整好规则之间的顺序)
2.配置SSL VPN
1)资源管理配置------添加资源
2)用户组管理--------添加用户组(用户和资源是绑定在一起的)
3)远程用户组管理---本地用户数据库
4)参数设置-----------虚拟地址池(1.安全规则选择“直接放行”。2.配置时切忌不要配置内网同段的 IP 地址,否则会照成资源无法访问的情况)
5)用户认证------证书认证(此处证“证书参数>证书认证”里面必须勾选)
6)生成证书------PME/P12(此处添加的证书用户名称必须与 “远程用户组管理---本地用户数据库”的用户名称一致)
四、配置步骤
1.配置基本的上网功能,保证内网用户能访问互联网
------------------------------以下配置基本的上网功能--------------------------------------
1)配置内网接口IP
2)配置外网接口IP:外网接口要设置出口的网关地址,无需再设置默认路由
3)定义内网用户网段
4)配置内网用户访问互联网的地址转换规则
5)配置好以上规则后,通过”规则上移“的按钮把该条规则调到最前面,如下图所示:
2.配置SSL VPN
-------------------------------以下是V1600S的SSL VPN 配置---------------------------
1)资源管理配置------添加资源
指定外网用户可以访问的内网资源,资源名称可以自定义
2)用户组管理---本地用户数据库
用户组名可以自定义
3)用户组管理--------添加用户组
点击 “本地用户数据库” 添加新用户
本案例中添加的用户名为test123,密码123456;
回到 用户组管理 页面,给该账户分配之前我们设定的内网服务资源
4)参数设置-----------虚拟地址池
参数中主要配置虚地址池,虚地址池的作用是:用户建立隧道时,VPN网关设备从该地址池从分配其中的某个IP地址给外网VPN用户使用;
配置时有以下注意点:
1.切忌不要配置内网同段的 IP 地址,否则会造成资源无法访问的情况;
2.SSL 隧道设置“区域的”SSL隧道端口复用“按钮如果有端口冲突时请勾选,否则无需勾选;
如果不勾选以上的“使用组虚拟地址池”,那么就可以直接设置子网地址和掩码,就此所有配置就结束了。
(“使用组虚拟地址池”该功能的使用场景请参照“SSL vpn配置》路由模式》用户名+密码方式登录”中的“使用组虚拟地址池”里的介绍)
-------------------------------以下是证书认证的相关设置------------------------------------------
5)用户认证------证书认证
用户认证------证书认证 :远程用户管理---->认证参数---->证书认证;
将用户通过 RG-CMS 下发的密钥在 VPN 设备上可以合法使用,该处勾选时用户方可通过证书认证,否则证书认证无法使用;
6)生成证书-----PME/P12
此处涉及到RG-CMS证书管理系统,相关的安装使用请参照本案例集中 “VPN》其它配套组建的安装》RG-CMS证书管理系统的安装 ”说明
此处的用户名为:test123 用户类型:客户端用户
接下来的操作步骤参见第五步
五、配置验证
有两种导出类型,这里先使用第一种类型:PEM
--------------以下是客户端使用PEM证书方式拨VPN的过程----------------
1.使用PEM方式登录
在客户端电脑输入外网接口的IP地址:https://172.18.10.98 弹出以下页面
出现安装客户端的界面
选择“证书认证”方式
浏览方式导入之前生成的证书文件
选择 生成的 pem 和 key 文件
点击 登录后
隧道建立成功后,就可以开始访问内网的服务资源了
2.使用PKCS#12方式
--------------以下是客户端使用PKCS#12证书方式拨VPN的过程---------------
提示输入私钥密码,默认为空
接下来开始建立隧道
隧道建立成功后就可以访问内网的服务资源了