交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、网络需求
外网用户通过SSL vpn 访问公司内网的服务资源,登录的方式是 ”USB Key“方式
(本案例涉及到RG-CMS证书管理系统,相关的安装使用请参照本案例集中 “RG-CMS证书管理系统的安装 ”说明)
二、网络拓扑
外网接口ETH0 :172.18.10.98/24
内网接口ETH1:192.168.1.1/24
internet------V1600S-----接入层交换机----内部局域网
三、配置要点
1.配置基本的上网功能,保证内网用户能访问互联网
1)配置内网接口IP:
2)配置外网接口IP:
3)配置对象定义:定义内网网段
4)定义内网访问外网的地址转换规则
5)配置完新增的地址转换规则,并把该条规则调所有规则的最前面
(注:初始化的V1600S默认产生以下两条访问规则规则,序号为1的安全规则是对任何数据都是放通,不进行任何的修改,
序号为2的安全规则是对任何数据都进行阻断;访问规则的处理顺序是由上往下,从第一访问规则开始匹配,如果新增加了访问规则,记得根据
实际的网络需求调整好规则之间的顺序)
2.配置SSL VPN
1)资源管理配置------添加资源
2)用户组管理--------添加用户组(用户和资源是绑定在一起的)
3)远程用户组管理---本地用户数据库
4)参数设置-----------虚拟地址池(1.安全规则选择“直接放行”。2.配置时切忌不要配置内网同段的 IP 地址,否则会照成资源无法访问的情况)
5)用户认证------证书认证(此处的“证书参数>证书认证”里面必须勾选)
6)生成证书------PME/P12(此处添加的证书用户名称必须与 “远程用户组管理---本地用户数据库”的用户名称一致)“
四、配置步骤
1.配置基本的上网功能,保证内网用户能访问互联网
------------------------------以下配置基本的上网功能--------------------------------------
1)配置内网接口IP
2)配置外网接口IP:外网接口要设置出口的网关地址,无需再设置默认路由
3)定义内网用户网段
4)配置内网用户访问互联网的地址转换规则
5)配置完以后,把该条规则调到最前面,如下图
2.配置SSL VPN
-------------------------------以下是V1600S的SSL VPN 配置---------------------------
1.资源管理配置------添加资源
指定外网用户可以访问的内网资源,资源名称可以自定义
2)用户组管理---本地用户数据库
用户组名称可以自定义
3)用户组管理--------添加用户组
点击 “本地用户数据库” 添加新用户
本案例添加的用户名为test123,密码123456;
回到 用户组管理 页面,给改账户分配之前我们设定的内网服务资源
4)参数设置-----------虚拟地址池
参数中主要配置虚地址池,虚地址池的作用是:用户建立隧道时,VPN网关设备从该地址池从分配其中的某个IP地址给外网VPN用户使用;
配置时有以下注意点:
1.切忌不要配置内网同段的 IP 地址,否则会造成资源无法访问的情况;
2.SSL 隧道设置“区域的”SSL隧道端口复用“按钮如果有端口冲突时请勾选,否则无需勾选
如果不勾选以上的“使用组虚拟地址池”,那么就可以直接设置子网地址和掩码,就此所有配置就结束了。
(“使用组虚拟地址池”该功能的使用场景请参照“SSL vpn配置》路由模式》用户名+密码方式登录”中的“使用组虚拟地址池”里的介绍)
5)用户认证------证书认证
-------------------------------以下是证书认证的相关设置------------------------------------------
将用户通过 RG-CMS 下发的密钥在 VPN 设备上可以合法使用,该处勾选时用户方可通过证书认证,否则
证书认证无法使用。
6)生成证书-----PME/P12
此处涉及到RG-CMS证书管理系统,相关的安装使用请参照本案例集中 “设备管理》其它配套组建的安装》RG-CMS证书管理系统的安装 ”说明
此处的用户名为:test123 用户类型:客户端用户
注意1:电子邮件输入如果内网有邮箱可以输入正确格式的邮箱类型,下发证书时通过邮箱可以给用户下发证书。
注意2:输入用户名如果在本地数据库中存在则按照本地制定的用户组设置进行访问,如果本地数
据库没有该用户则创建的用户默认被添加到 default组。
有两种导出类型,这里先使用第一种类型:PEM
接下来导出证书也有以下注意点
K 注意:“CSP方式写入 USB Key”的方式是通过其他厂商提供的USB Key进行认证的,锐捷提供的 USBKey只支持“私有方式写入 USB Key”。
五、配置验证
1.用户在测试机的浏览器中输入 https://172.18.10.98
2.提示是否安装此软件,选择“安装”
3.安装完后,选择"USB key“方式登录
4.选择”ePass 1000 Private“的USBkey类型
注意:目前锐捷的产品支持三种USBKey类型,“epass1000 private”“JIT E-KEY CSP”“epass1000 CSP”其中常用的类型为第一种并且提供第一种的USB Key,剩下两种目前锐捷没有相应的 USB Key如果有特许需求的用户可以订购。
5.提示输入PIN码,PIN 码默认为ruijie。
6. 提示建立隧道成功,并且显示可以访问的内网服务器。