華為AR-G3系列路由器SSL-VPN交付指南-V11-C

ARG3系列路由器SSLVPN交付指南V1.1_C企業(yè)網(wǎng)絡(luò)技術(shù)服務(wù)部V1.1Page2SSL

VPN前言Page3學(xué)習(xí)指南SSL

VPN技術(shù)原理SSL

VPN交付準(zhǔn)備SSL

VPN典型配置應(yīng)用SSL

VPN故障處理Page4學(xué)習(xí)完此課程，您將會(huì)：具有AR

G3路由器SSLVPN業(yè)務(wù)典型場(chǎng)景交付能力具有AR

G3路由器SSLVPN業(yè)務(wù)典型問(wèn)題故障處理能力目標(biāo)Page5內(nèi)容介紹第1章SSL

VPN技術(shù)原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基礎(chǔ)配置第4章AR中SSL

VPN配置-三種業(yè)務(wù)應(yīng)用場(chǎng)景第5章AR中SSL

VPN典型問(wèn)題故障處理Page6第1章SSL

VPN技術(shù)原理SSLVPN（SecureSocketsLayerVPN）是以HTTPS為基礎(chǔ)的安全接入的VPN技術(shù)，它利用SSL協(xié)議提供的數(shù)據(jù)加密、身份驗(yàn)證和消息完整性驗(yàn)證機(jī)制，為用戶遠(yuǎn)程訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)提供安全保障。SSLPKIHTTPS業(yè)務(wù)模塊構(gòu)成資源訪問(wèn)流程Page7SSL

VPN遠(yuǎn)程維護(hù)合作伙伴移動(dòng)辦公分支機(jī)構(gòu)WEB服務(wù)器數(shù)據(jù)庫(kù)Email企業(yè)總部加密的內(nèi)外連接標(biāo)準(zhǔn)的內(nèi)部連接NFSERP客戶VPN網(wǎng)關(guān)遠(yuǎn)程維護(hù)：HTTPS遠(yuǎn)程維護(hù)，對(duì)維護(hù)操作的數(shù)據(jù)加密傳送功能應(yīng)用：WEB代理、遠(yuǎn)程桌面/telnet等TCP應(yīng)用、基于IP的應(yīng)用認(rèn)證方式：用戶接入企業(yè)內(nèi)部網(wǎng)絡(luò)前先要進(jìn)行認(rèn)證，支持Local、RADIUS、TACACS等多種認(rèn)證方式加密方式：用戶訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)需要經(jīng)過(guò)加密處理，支持DES、RC4、AES、RSA、MD5、SHA-1等密碼算法Page8SSL協(xié)議概述安全套接層SSL（SecureSocketsLayer）協(xié)議是在Internet基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。它能使客戶端與服務(wù)器之間的通信不被攻擊者竊聽(tīng)，并且始終對(duì)服務(wù)器進(jìn)行認(rèn)證，還可選擇對(duì)客戶端進(jìn)行認(rèn)證。SSL協(xié)議與應(yīng)用層協(xié)議相互獨(dú)立，應(yīng)用層協(xié)議（例如：HTTP，F(xiàn)TP）能透明的建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密，從而保證通信的私密性。SSL協(xié)議結(jié)構(gòu)和位置如右圖:SSL協(xié)議安全機(jī)制連接的私密性：SSL利用對(duì)稱加密算法對(duì)傳輸數(shù)據(jù)進(jìn)行加密，并利用密鑰交換算法—RSA（RivestShamirandAdleman，非對(duì)稱密鑰算法的一種）加密傳輸對(duì)稱密鑰算法中使用的密鑰。身份驗(yàn)證機(jī)制：基于證書利用數(shù)字簽名方法對(duì)服務(wù)器和客戶端進(jìn)行身份驗(yàn)證，其中客戶端的身份驗(yàn)證是可選的。SSL服務(wù)器和客戶端通過(guò)公鑰基礎(chǔ)設(shè)施PKI（PublicKeyInfrastructure）提供的機(jī)制從認(rèn)證機(jī)構(gòu)CA（CertificateAuthority，）獲取證書。內(nèi)容的可靠性：消息傳輸過(guò)程中使用基于密鑰的消息驗(yàn)證碼MAC（MessageAuthenticationCode）來(lái)檢驗(yàn)消息的完整性。Page9PKI公鑰基礎(chǔ)設(shè)施PKI（PublicKeyInfrastructure），是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系應(yīng)用場(chǎng)景: VPN/安全電子郵件/Web安全Web安全：為了透明地解決Web的安全問(wèn)題，在兩個(gè)實(shí)體進(jìn)行通信之前，先要建立SSL連接，以此實(shí)現(xiàn)對(duì)應(yīng)用層透明的安全通信。利用PKI技術(shù)，SSL協(xié)議允許在瀏覽器和服務(wù)器之間進(jìn)行加密通信。此外，服務(wù)器端和瀏覽器端通信時(shí)

雙方可以通過(guò)數(shù)字證書確認(rèn)對(duì)方的

身份。Page10PKI工作機(jī)制配置PKI的目的就是為指定的實(shí)體向CA申請(qǐng)一個(gè)本地證書，并由設(shè)備對(duì)證書的有效性進(jìn)行驗(yàn)證數(shù)字證書CA:數(shù)字證書是一個(gè)經(jīng)認(rèn)證機(jī)構(gòu)CA（CertificateAuthority）簽名的，包含實(shí)體公開密鑰及相關(guān)身份信息的文件，它建立了實(shí)體身份信息與其公鑰的關(guān)聯(lián)，是使用PKI系統(tǒng)的用戶建立安全通信的信任基礎(chǔ)。CA對(duì)數(shù)字證書的簽名保證了證書的合法性和權(quán)威性。PKI工作過(guò)程:實(shí)體向注冊(cè)機(jī)構(gòu)RA提出證書申請(qǐng)。RA審核實(shí)體身份，將實(shí)體身份信息和公開密鑰以數(shù)字簽名的方式發(fā)送給CA。CA驗(yàn)證數(shù)字簽名，同意實(shí)體的申請(qǐng)，頒發(fā)證書。RA接收CA返回的證書，通知實(shí)體證書發(fā)行成功。實(shí)體獲取證書，利用該證書可以與其它實(shí)體使用加密、數(shù)字簽名進(jìn)行安全通信。實(shí)體希望撤消自己的證書時(shí)，向CA提交申請(qǐng)。CA批準(zhǔn)實(shí)體撤消證書，并更新CRL。Page11HTTPSHTTPS將HTTP和SSL結(jié)合，通過(guò)SSL對(duì)客戶端和服務(wù)器進(jìn)行身份驗(yàn)證，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，保證通信的安全性。對(duì)于支持Web網(wǎng)管功能的設(shè)備，開啟HTTP服務(wù)后，設(shè)備可以作為Web服務(wù)器，允許用戶通過(guò)HTTP協(xié)議登錄，并利用Web頁(yè)面實(shí)現(xiàn)對(duì)設(shè)備的訪問(wèn)和控制。但是HTTP協(xié)議本身不能對(duì)Web服務(wù)器的身份進(jìn)行驗(yàn)證，也不能保證數(shù)據(jù)傳輸?shù)乃矫苄裕瑹o(wú)法提供安全性保證。為此，可在設(shè)備上部署HTTPS功能，通過(guò)SSL對(duì)客戶端和服務(wù)器進(jìn)行身份驗(yàn)證，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，從而實(shí)現(xiàn)了對(duì)設(shè)備的安全管理。在作為HTTP服務(wù)器的設(shè)備上部署SSL策略，并使能HTTPS服務(wù)器功能后，用戶可以在終端通過(guò)瀏覽器登錄HTTPS服務(wù)器，利用Web頁(yè)面安全管理設(shè)備或者訪問(wèn)設(shè)備所屬網(wǎng)絡(luò)的資源Page12業(yè)務(wù)模塊構(gòu)成Page13遠(yuǎn)程終端SSLVPN網(wǎng)關(guān)企業(yè)內(nèi)網(wǎng)服務(wù)器CA認(rèn)證服務(wù)器資源訪問(wèn)流程Page141.終端向AR提出身份審核申請(qǐng)2.

AR審核身份，將身份信息和公開密鑰以數(shù)字簽名的方式發(fā)送給CA。3.CA驗(yàn)證數(shù)字簽名，同意終端實(shí)體的申請(qǐng)，頒發(fā)證書。4.AR接收CA返回的證書，通知終端證書發(fā)行成功。5.終端獲取證書，利用該證書可以與其它終端使用加密、數(shù)字簽名進(jìn)行安全通信。6.終端希望撤消自己的證書時(shí)，向CA提交申請(qǐng)。CA批準(zhǔn)終端撤消證書，并更新CRL。Page15內(nèi)容介紹第1章SSL

VPN技術(shù)原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基礎(chǔ)配置第4章AR中SSL

VPN配置-三種業(yè)務(wù)應(yīng)用場(chǎng)景第5章AR中SSL

VPN典型問(wèn)題故障處理Page16第2章AR中SSLVPN的License管理AR的License結(jié)構(gòu)AR各型號(hào)支持的SSL

VPN

License特性License下載和激活A(yù)R的License結(jié)構(gòu)Page17License軟件體系按照業(yè)務(wù)類型可以分為數(shù)據(jù)、語(yǔ)音和安全特性，按照業(yè)務(wù)的層級(jí)可以分為基礎(chǔ)、增值和進(jìn)階特性，如下圖。SSLVPN屬于安全增值特性，購(gòu)買安全增值包后即具備SSL

VPN功能,此時(shí)默認(rèn)支持2個(gè)用戶同時(shí)在線,如需要更多用戶同時(shí)在線,需要購(gòu)買資源性SSL

VPN

License.虛擬網(wǎng)關(guān)允許接入的最大在線用戶數(shù)目通過(guò)客戶購(gòu)買License包實(shí)現(xiàn)功能型License資源型LicenseAR各型號(hào)支持的SSL

VPN

License特性Page18設(shè)備支持的最大在線用戶數(shù)（具體參考產(chǎn)品手冊(cè)） AR150/200系列：10 AR1200系列、AR2201、AR2202、AR2204：50 AR2220、AR2220L、AR2240：100 AR3200系列：200SSLVPN屬于資源型License，此License功能生效的前提是已購(gòu)買安全增值業(yè)務(wù)包，同一個(gè)資源型License支持多次選擇，用戶可以任意組合，最終獲得的資源數(shù)目為所有資源型License的資源之和，以下是AR全系列可購(gòu)買的License包 SSLVPNlicense-接入10用戶數(shù) SSLVPNlicense-接入25用戶數(shù) SSLVPNlicense-接入100用戶數(shù)License下載和激活Page19通過(guò)企業(yè)業(yè)務(wù)FNO系統(tǒng)提供自助服務(wù)端獲取License/flexnet/operationsportalLicense申請(qǐng)指導(dǎo)可參考附件：License下載和激活Page20選擇、購(gòu)買License。獲取License授權(quán)證書。提取設(shè)備的ESN。查看設(shè)備的ESN，用戶需要登錄設(shè)備后，執(zhí)行命令displayesn。使用License激活碼方式或用戶名&密碼方式登錄FNO，綁定ESN，生成唯一的License文件。下載License文件。用戶可以通過(guò)FTP或者移動(dòng)存儲(chǔ)等方式將獲取的License文件上傳至存儲(chǔ)器的默認(rèn)根目錄下。上傳License文件到設(shè)備，執(zhí)行命令dirdevice-name，查看是否有足夠存儲(chǔ)空間存放License文件，確保有足夠的存儲(chǔ)空間后，通過(guò)FTP或者TFTP方式，將License文件上傳至存儲(chǔ)器的默認(rèn)根目錄下，License文件后綴為*.dat文件。激活License文件，執(zhí)行命令licenseactivefile-name，獲取相應(yīng)授權(quán)檢查L(zhǎng)icense狀態(tài)，使用displaylicense命令查看當(dāng)前系統(tǒng)中License文件信息，使用displaylicensestate命令查看主控板License狀態(tài)Page21內(nèi)容介紹第1章SSL

VPN技術(shù)原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基礎(chǔ)配置第4章AR中SSL

VPN配置-三種業(yè)務(wù)應(yīng)用場(chǎng)景第5章AR中SSL

VPN典型問(wèn)題故障處理Page22第3章AR中SSL

VPN配置-基礎(chǔ)配置配置流程圖PKI配置HTTPS配置SSL

VPN配置準(zhǔn)備創(chuàng)建虛擬網(wǎng)關(guān)并綁定內(nèi)網(wǎng)接口和AAA域使能SSL

VPN基本功能配置用戶（本地/Radius）檢查配置結(jié)果Page23配置流程圖PKISSLHTTPSAAA域虛擬網(wǎng)關(guān)內(nèi)網(wǎng)接口SSL

VPNPKIAR自簽名證書通過(guò)CA服務(wù)器獲取證書帶外本地導(dǎo)入證書手動(dòng)在線注冊(cè)證書自動(dòng)注冊(cè)證書PKI配置-實(shí)體Page24PKI實(shí)體

一份證書是一個(gè)公開密鑰與一個(gè)身份的綁定，而身份必須與一個(gè)特定的PKI實(shí)體相關(guān)聯(lián)。PKI實(shí)體標(biāo)識(shí)了一個(gè)證書的申請(qǐng)者。PKI實(shí)體的通用名稱Common-name與合格域名FQDN,兩者唯一標(biāo)識(shí)了一個(gè)PKI實(shí)體，可任配其一，也可兩者都配。

執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。

執(zhí)行命令pkientity

entity-name，創(chuàng)建PKI實(shí)體并進(jìn)入PKI實(shí)體視圖。

執(zhí)行如下命令，配置PKI實(shí)體標(biāo)識(shí)。

執(zhí)行命令common-name

common-name，配置PKI實(shí)體通用名。

執(zhí)行命令fqdn

fqdn-name，配置PKI實(shí)體合格域名。例

<Huawei>pkientitysslvpn

創(chuàng)建PKI實(shí)體

<Huawei>countryCN

<Huawei>statebeijing

<Huawei>organizationhuawei

<Huawei>organization-unitinfo

<Huawei>common-namehello

設(shè)置通用名PKI配置-本地證書(通過(guò)帶外方式導(dǎo)入)Page25PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]caidca_root配置PKI域信任的CA[Huawei-pki-realm-sslvpn]entitysslvpn綁定PKI實(shí)體[Huawei-pki-realm-sslvpn]certificate-checknone配置驗(yàn)證證書狀態(tài)的檢查方式{crl|none|ocsp}通過(guò)PKCS10生成證書申請(qǐng)文本(或申請(qǐng)文件) [Huawei]pkienroll-certificatesslvpnpkcs10pkcs10為申請(qǐng)文本,pkcs10

filename

xxx為申請(qǐng)文件.

此時(shí)需要輸入兩個(gè)密碼:1.出現(xiàn)”Pleaseenterthefilenameofprivatekey<length1-127>”提示時(shí)輸入的密碼為證書注銷密碼;2.出現(xiàn)”The

currentpasswordofprivatekeyisrequired,pleaseenteryourpassword<length1-31>”提示時(shí)輸入的密碼為后續(xù)倒入證書時(shí)的密碼,需記住.在CA服務(wù)器上生成證書文件,例如server.pem.將CA證書上傳到AR的FLASH中,導(dǎo)入證書文件(本地導(dǎo)入)[Huawei]pkiimport-certificatelocal

sslvpn

pem本地導(dǎo)入證書文件,格式為PEMPleaseenterthenameofcertificatefile<length1-127>:server.pem

Youareimportingalocalcertificate,thecurrentprivatekeyisrequired.Pleaseenterthenameofprivatekeyfile<length1-127>:prikey.pem

Pleaseenterthetypeofprivatekeyfile(pem,p12):pem

Thecurrentpasswordisrequired,pleaseenteryourpassword<length1-31>:***（密碼為privatekey生成時(shí)的密鑰)

PKI配置-手動(dòng)在線注冊(cè)Page26PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]caidca_root配置PKI域信任的CA[Huawei-pki-realm-sslvpn]entitysslvpn綁定PKI實(shí)體

[Huawei-pki-realm-sslvpn]enrollment-url58:8080/certsrv/mscep/mscep.dllra--證書服務(wù)器URL[Huawei-pki-realm-sslvpn]certificate-checknone配置驗(yàn)證證書狀態(tài)的檢查方式{crl|none|ocsp}手工注冊(cè)證書

[Huawei]pkienroll-certificatesslvpn手工注冊(cè)證書AR在線從CA服務(wù)器上下載證書,不需要本地導(dǎo)入

PKI配置-自動(dòng)注冊(cè)Page27PKI域

[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]caidca_root配置PKI域信任的CA[Huawei-pki-realm-sslvpn]entitysslvpn綁定PKI實(shí)體[Huawei-pki-realm-sslvpn]auto-enroll使能實(shí)體證書自動(dòng)注冊(cè)和更新功能

[Huawei-pki-realm-sslvpn]enrollment-url58:8080/certsrv/mscep/mscep.dllra--證書服務(wù)器URL[Huawei-pki-realm-sslvpn]fingerprintsha17A34D94624B1C1BCBF6D763C4A67035D5B578EAF--配置驗(yàn)證CA證書時(shí)使用的指紋,自動(dòng)注冊(cè)必配,手動(dòng)注冊(cè)選配{md5|sha1}[Huawei-pki-realm-sslvpn]certificate-checknone配置驗(yàn)證證書狀態(tài)的檢查方式{crl|none|ocsp}配置證書自動(dòng)注冊(cè)和更新功能后，則不需要手工下載證書。當(dāng)有外部應(yīng)用需要CA證書或者設(shè)備證書時(shí)，將自動(dòng)觸發(fā)下載CA證書和本地證書

PKI配置-自簽名證書Page28用戶通過(guò)PKI設(shè)備生成自簽名證書或設(shè)備本地證書，實(shí)現(xiàn)簡(jiǎn)單的證書頒發(fā)功能,此時(shí)不需要CA證書服務(wù)器.執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令pkicreate-certificate[self-signed]{filename

file-name}，配置自簽名證書或設(shè)備本地證書

HTTPS配置Page29創(chuàng)建SSL

POLICY并引用PKI域

作為SSL服務(wù)器的Router基于PKI域從認(rèn)證機(jī)構(gòu)CA獲取數(shù)字證書，以便SSL客戶端可以根據(jù)數(shù)字證書對(duì)Router進(jìn)行身份驗(yàn)證. [HUAWEI]sslpolicyuserstypeserver

創(chuàng)建SSL

POLICY,類型為服務(wù)器 [HUAWEI-ssl-policy-users]pki-realmsslvpn綁定PKI域關(guān)聯(lián)SSL

POLICY并使能HTTPS功能

利用SSL協(xié)議的數(shù)據(jù)加密、身份驗(yàn)證和消息完整性驗(yàn)證機(jī)制，保證用戶和設(shè)備之間數(shù)據(jù)傳輸?shù)陌踩?，這樣用戶可以利用Web頁(yè)面安全訪問(wèn)遠(yuǎn)程的設(shè)備 [HUAWEI]httpsecure-serverssl-policyusersHTTPS服務(wù)器類型為SSL [HUAWEI]httpsecure-serverenable使能HTTPS功能

SSL

VPN配置準(zhǔn)備Page30組網(wǎng)拓?fù)?/p>

允許SSL

VPN用戶使用的企業(yè)內(nèi)網(wǎng)服務(wù)器IP地址和端口需要實(shí)現(xiàn)桌面共享或遠(yuǎn)程登陸的主機(jī)IP地址段（可選）網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)使用的IP地址段（可選）配置內(nèi)外網(wǎng)接口IP地址配置AAA域（本地/Radius/hwtacas）Page31通過(guò)虛擬網(wǎng)關(guān)提供SSLVPN服務(wù)，一臺(tái)AR設(shè)備可以配置成多個(gè)虛擬網(wǎng)關(guān)；每個(gè)虛擬網(wǎng)關(guān)都是獨(dú)立可管理的，可以配置各自的資源、用戶、認(rèn)證方式等；當(dāng)企業(yè)有多個(gè)部門時(shí)，可以為每個(gè)部門或者用戶群體分配不同的虛擬網(wǎng)關(guān)，從而形成完全隔離的訪問(wèn)體系。SSL

VPN虛擬網(wǎng)關(guān)創(chuàng)建虛擬網(wǎng)關(guān)并綁定接口和AAA域Page32創(chuàng)建虛擬網(wǎng)關(guān)

[HUAWEI]sslvpngatewaymarket創(chuàng)建虛擬網(wǎng)關(guān)

[HUAWEI-sslvpn-market]intranetinterfaceGigabitEthernet0/0/1綁定內(nèi)網(wǎng)接口 [HUAWEI-sslvpn-market]binddomaindefault綁定AAA域修改監(jiān)聽(tīng)端口號(hào)

出于安全考慮，一般需要修改監(jiān)聽(tīng)端口號(hào)。修改前需要確保設(shè)備上所有的SSLVPN虛擬網(wǎng)關(guān)都處于去使能狀態(tài)。當(dāng)管理員修改SSLVPN業(yè)務(wù)的端口號(hào)后，后續(xù)用戶登錄SSLVPN網(wǎng)關(guān)時(shí)，輸入的URL地址攜帶的端口號(hào)必須為修改后的端口號(hào)。 [HUAWEI]sslvpnserver

port

1025默認(rèn)為443使能SSL

VPN功能

[HUAWEI-sslvpn-market]enable使能SSL

VPN業(yè)務(wù)配置SSL

VPN用戶-本地認(rèn)證授權(quán)Page33本地認(rèn)證用戶執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令aaa，進(jìn)入AAA視圖。執(zhí)行命令local-user

user-name

service-type

sslvpn，配置用戶類型為SSLVPN虛擬網(wǎng)關(guān)用戶。執(zhí)行命令local-user

user-name

password

cipher

password，配置SSLVPN虛擬網(wǎng)關(guān)用戶的密碼。（可選）執(zhí)行命令local-user

user-name

privilege

level

level，配置本地用戶的優(yōu)先級(jí)執(zhí)行命令authentication-scheme

authentication-scheme-name，創(chuàng)建一個(gè)認(rèn)證方案，并進(jìn)入認(rèn)證方案視圖或直接進(jìn)入一個(gè)已存在的認(rèn)證方案視圖。執(zhí)行命令authentication-mode

local，配置認(rèn)證模式為本地認(rèn)證。執(zhí)行命令quit，返回AAA視圖。執(zhí)行命令authorization-scheme

authorization-scheme-name，創(chuàng)建授權(quán)方案，并進(jìn)入授權(quán)方案視圖或直接進(jìn)入一個(gè)已存在的授權(quán)方案視圖。執(zhí)行命令authorization-mode

local[none]配置授權(quán)模式。執(zhí)行命令quit，返回AAA視圖。執(zhí)行命令domain

domain-name，創(chuàng)建域并進(jìn)入域視圖或進(jìn)入一個(gè)已存在的域視圖。執(zhí)行命令authentication-scheme

authentication-scheme-name，配置域的認(rèn)證方案。執(zhí)行命令authorization-scheme

authorization-scheme-name，配置域的授權(quán)方案。配置SSL

VPN用戶-Radius認(rèn)證授權(quán)Page34Radius認(rèn)證用戶執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令radius-servertemplatetemplate-name，進(jìn)入RADIUS服務(wù)器模板視圖。執(zhí)行命令radius-serverauthenticationip-addressport[vpn-instancevpn-instance-name][source{loopbackinterface-number|ip-addressip-address}]，配置RADIUS主用認(rèn)證服務(wù)器。（可選）執(zhí)行命令radius-servershared-key[cipher|simple]key-string，配置RADIUS共享密鑰。執(zhí)行命令quit，返回系統(tǒng)視圖。執(zhí)行命令aaa，進(jìn)入AAA視圖。執(zhí)行命令authentication-schemeauthentication-scheme-name，創(chuàng)建一個(gè)認(rèn)證方案，并進(jìn)入認(rèn)證方案視圖或直接進(jìn)入一個(gè)已存在的認(rèn)證方案視圖。執(zhí)行命令authentication-moderadius[none]，配置認(rèn)證模式為RADIUS認(rèn)證。執(zhí)行命令quit，返回AAA視圖。執(zhí)行命令domaindomain-name，創(chuàng)建域并進(jìn)入域視圖或進(jìn)入一個(gè)已存在的域視圖。執(zhí)行命令authentication-schemeauthentication-scheme-name，配置域的認(rèn)證方案。執(zhí)行命令radius-servertemplate-name，配置域的RADIUS服務(wù)器模板。Page35配置檢查查看虛擬網(wǎng)關(guān)users的配置信息<Huawei>displaysslvpngatewayusersGatewayname:usersStatus:enableIntranetinterface:Ethernet1/0/0IntranetIP:Domain:defaultMax-user:200Max-onlinetime(minute):120Web-proxyresources:2Port-forwardingresources:1Ip-forwardingresources:1Totalonlineusers:15查看SSLVPN業(yè)務(wù)的監(jiān)聽(tīng)端口號(hào)<Huawei>displaysslvpnserverportsslvpnserverport:443(default:443)Page36內(nèi)容介紹第1章SSL

VPN技術(shù)原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基礎(chǔ)配置第4章AR中SSL

VPN配置-三種業(yè)務(wù)應(yīng)用場(chǎng)景第5章AR中SSL

VPN典型問(wèn)題故障處理Page37第4章AR中SSL

VPN配置-三種業(yè)務(wù)應(yīng)用場(chǎng)景配置WEB代理業(yè)務(wù)配置端口轉(zhuǎn)發(fā)業(yè)務(wù)配置網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)檢查配置結(jié)果Page38管理員先在VPN網(wǎng)關(guān)上設(shè)置好用戶允許訪問(wèn)的WEB站點(diǎn)，用戶訪問(wèn)時(shí)先登陸VPN網(wǎng)關(guān)，認(rèn)證通過(guò)后網(wǎng)關(guān)將把允許用戶訪問(wèn)的站點(diǎn)資源列表顯示給用戶。用戶點(diǎn)擊內(nèi)網(wǎng)服務(wù)器鏈接（https），VPN網(wǎng)關(guān)將該頁(yè)面請(qǐng)求轉(zhuǎn)發(fā)給內(nèi)部web服務(wù)器（http），然后將服務(wù)器的響應(yīng)回傳給終端用戶。Web代理有兩種實(shí)現(xiàn)方式：Web-tunnel和URL改寫。Web-tunnel利用端口轉(zhuǎn)發(fā)原理實(shí)現(xiàn)，用戶登錄VPN網(wǎng)關(guān)后，客戶端自動(dòng)安裝JAVA插件，顯示給用戶的內(nèi)部網(wǎng)站資源的URL鏈接是內(nèi)網(wǎng)真實(shí)的URL，例如00。用戶點(diǎn)擊該網(wǎng)站連接后，JAVA插件會(huì)自動(dòng)為該報(bào)文增加一個(gè)目的地址是VPN網(wǎng)關(guān)的外層隧道，并通過(guò)HTTPS協(xié)議發(fā)送給網(wǎng)關(guān)，網(wǎng)關(guān)還原成原始的HTTP請(qǐng)求發(fā)送給內(nèi)部WEB服務(wù)器。URL改寫方式用戶不需要JAVA插件，VPN網(wǎng)關(guān)顯示給用戶的內(nèi)部網(wǎng)站資源鏈接是經(jīng)過(guò)改寫后的URL，例如上述服務(wù)器的URL可能會(huì)被改寫成0/sslvpn/dynamic/4/2/0/9/http/00。VPN服務(wù)器需要對(duì)內(nèi)部服務(wù)器響應(yīng)遠(yuǎn)端用戶的每個(gè)頁(yè)面中的URL進(jìn)行改寫，其它內(nèi)容不變。VPN網(wǎng)關(guān)WEB服務(wù)器遠(yuǎn)程用戶000WEB代理業(yè)務(wù)流程配置WEB代理業(yè)務(wù)Page39組網(wǎng)拓?fù)?/p>

用戶使用瀏覽器以HTTPS方式，通過(guò)SSLVPN網(wǎng)關(guān)對(duì)內(nèi)網(wǎng)Web服務(wù)器提供的資源進(jìn)行訪問(wèn)。在這個(gè)過(guò)程中，SSLVPN網(wǎng)關(guān)利用Web代理業(yè)務(wù)，代理用戶對(duì)內(nèi)網(wǎng)Web服務(wù)器的訪問(wèn)，為用戶訪問(wèn)內(nèi)網(wǎng)Web服務(wù)器提供了安全的連接配置

[HUAWEI]sslvpngatewaymarket

[HUAWEI-sslvpn-market]service-typeweb-proxyresourcemarket_web-proxy創(chuàng)建Web代理業(yè)務(wù) [HUAWEI-sslvpn-market-wp-res-market_web-proxy]link:80-web服務(wù)器Page40VPN網(wǎng)關(guān)TCP3389TCP25TCP21TCP23應(yīng)用請(qǐng)求應(yīng)用代理CLIENTSERVERSSLInternet提供對(duì)內(nèi)網(wǎng)TCP應(yīng)用的安全接入！管理員先設(shè)置好允許用戶使用的端口轉(zhuǎn)發(fā)應(yīng)用對(duì)應(yīng)的服務(wù)器IP地址、端口號(hào)；用戶端自動(dòng)安裝運(yùn)行JAVA插件，獲取到端口轉(zhuǎn)發(fā)資源列表（目的服務(wù)器IP、端口）；用戶在本地計(jì)算機(jī)上打開對(duì)應(yīng)的應(yīng)用程序，插件將客戶端發(fā)起的TCP報(bào)文與資源列表進(jìn)行比對(duì)，當(dāng)發(fā)現(xiàn)報(bào)文的目的IP/Port與資源列表中的表項(xiàng)匹配，則截獲報(bào)文。對(duì)該報(bào)文加密封裝，添加隧道報(bào)文頭，將目的地址設(shè)為VPN網(wǎng)關(guān)的IP地址，發(fā)往VPN網(wǎng)關(guān)。VPN網(wǎng)關(guān)收到報(bào)文進(jìn)行解密，發(fā)往真實(shí)的目的服務(wù)器端口。VPN網(wǎng)關(guān)收到服務(wù)器的響應(yīng)后，再加密封裝回傳給用戶終端的偵聽(tīng)端口。端口轉(zhuǎn)發(fā)業(yè)務(wù)流程配置端口轉(zhuǎn)發(fā)業(yè)務(wù)Page41組網(wǎng)拓?fù)?/p>

通過(guò)端口轉(zhuǎn)發(fā)業(yè)務(wù)，用戶可以訪問(wèn)內(nèi)網(wǎng)中基于TCP的服務(wù)，包括遠(yuǎn)程訪問(wèn)服務(wù)（如Telnet）、桌面共享服務(wù)、郵件服務(wù)等配置

[HUAWEI]sslvpngatewaymarket

[HUAWEI-sslvpn-market]service-typeport-forwardingresourcemarket_port-forwarding創(chuàng)建端口轉(zhuǎn)發(fā)業(yè)務(wù) [HUAWEI-sslvpn-market-pf-res-market_port-forwarding]serverip-address1port3389

可以與企業(yè)內(nèi)部主機(jī)（IP地址：1）實(shí)現(xiàn)桌面共享,或訪問(wèn)某應(yīng)用服務(wù)器網(wǎng)絡(luò)拓展業(yè)務(wù)流程Page42用戶登錄網(wǎng)關(guān)后，在客戶端自動(dòng)運(yùn)行JAVA插件，安裝虛擬網(wǎng)卡，VPN網(wǎng)關(guān)給虛擬網(wǎng)卡分配一個(gè)可被內(nèi)網(wǎng)識(shí)別的IP地址；客戶端發(fā)起基于IP的內(nèi)網(wǎng)應(yīng)用（JAVA插件安裝后會(huì)生成一條內(nèi)網(wǎng)的路由，指向虛擬網(wǎng)卡），虛擬網(wǎng)關(guān)截獲報(bào)文后增加IP隧道封裝，進(jìn)行SSL加密后發(fā)往VPN網(wǎng)關(guān)；VPN網(wǎng)關(guān)對(duì)報(bào)文解密剝掉IP隧道頭后發(fā)往內(nèi)網(wǎng)服務(wù)器；內(nèi)網(wǎng)服務(wù)器的響應(yīng)報(bào)文發(fā)到VPN網(wǎng)關(guān)，由VPN網(wǎng)關(guān)進(jìn)行封裝加密，發(fā)往客戶端。^源IP目的IP原始報(bào)文54源IP目的IP虛擬網(wǎng)卡封裝后0054Client:0虛擬網(wǎng)卡:540Server:配置網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)Page43組網(wǎng)拓?fù)?/p>

網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)，可以使遠(yuǎn)程終端與內(nèi)網(wǎng)服務(wù)器在網(wǎng)絡(luò)層實(shí)現(xiàn)安全通信，比如：在遠(yuǎn)處終端與內(nèi)網(wǎng)服務(wù)器之間實(shí)現(xiàn)文件共享,配置

[HUAWEI]ippoolmarket_pool創(chuàng)建網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)使用的IP地址池 [HUAWEI-ip-pool-market_pool]networkmask24 [HUAWEI-ip-pool-market_pool]gateway-list [HUAWEI]sslvpngatewaymarket

[HUAWEI-sslvpn-market]service-typeip-forwardingresourcemarket_ip-forwarding創(chuàng)建ip轉(zhuǎn)發(fā)業(yè)務(wù) [HUAWEI-sslvpn-market-if-res-market_ip-forwarding]bindip-poolmarket_pool綁定網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)使用的IP地址池 [HUAWEI-sslvpn-market-if-res-market_ip-forwarding]route-modesplit配置網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)使用的路由模式為隧道分離模式 [HUAWEI-sslvpn-market-if-res-market_ip-forwarding]route-splitipaddress4mask27配置隧道分離模式下的用戶路由,即用戶可以Ping通企業(yè)內(nèi)網(wǎng)部分主機(jī)（網(wǎng)段：4～5）配置檢查Page44業(yè)務(wù)資源檢查

執(zhí)行命令displaysslvpngateway

gateway-name

resource

class{web-proxy|port-forwarding|ip-forwarding}，查看虛擬網(wǎng)關(guān)的資源信息。WEB代理資源檢查

<Huawei>displaysslvpngatewayusersresourceclassweb-proxy

Thetotalnumberofresourcesis:2

ResourcenameUrlType

liyue5/web-proxy test5/web-proxy

Page45端口轉(zhuǎn)發(fā)資源檢查

<Huawei>displaysslvpngatewayusersresourceclassport-forwarding

Thetotalnumberofresourcesis:1

ResourcenameServerPortType

liyue53389port-forwarding

網(wǎng)絡(luò)擴(kuò)展資源檢查

<Huawei>displaysslvpngatewayusersresourceclassip-forwarding

Resourcename:liyue Poolname:liyue Route-mode:full Acl:3001 Type:ip-forwarding

用戶登錄Page46用戶登錄

終端（比如PC）打開IE瀏覽器，輸入網(wǎng)址“:1025/market”，即AR外部接口.進(jìn)入SSLVPN登錄頁(yè)面。輸入用戶名和密碼認(rèn)證成功后，用戶在Web訪問(wèn)頁(yè)面上查看可以訪問(wèn)的資源列表，包括Web服務(wù)器資源、郵箱服務(wù)器資源和共享桌面主機(jī)資源，并且可以Ping通企業(yè)內(nèi)網(wǎng)部分主機(jī)登等。登陸頁(yè)面

Page47內(nèi)容介紹第1章SSL

VPN技術(shù)原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基礎(chǔ)配置第4章AR中SSL

VPN配置-三種業(yè)務(wù)應(yīng)用場(chǎng)景第5章AR中SSL

VPN典型問(wèn)題故障處理Page48第4章AR中SSL

VPN典型問(wèn)題故障處理用戶無(wú)法登陸SSLVPN網(wǎng)關(guān)設(shè)備SSLVPN客戶端軟件無(wú)法使用Page49用戶無(wú)法登陸SSLVPN網(wǎng)關(guān)設(shè)備常見(jiàn)原因AR上的虛擬網(wǎng)關(guān)的配置不完整。用戶與AR之間路由有故障，無(wú)法互相ping通。遠(yuǎn)程終端的瀏覽器不是IE或Firefox、瀏覽器的版本低、瀏覽器不支持Javascript或者瀏覽器沒(méi)有啟用cookie功能。AR沒(méi)有加載包含SSLVPN網(wǎng)頁(yè)的zip壓縮包。AR上的HTTPS的配置不完整。用戶輸入的用戶名、密碼不正確。

Page50用戶無(wú)法登陸SSLVPN網(wǎng)關(guān)設(shè)備故障處理步驟:1.檢查虛擬網(wǎng)關(guān)的配置是否完整如果顯示W(wǎng)eb登錄頁(yè)面，但用戶沒(méi)有可選擇的虛擬網(wǎng)關(guān)，請(qǐng)執(zhí)行displaysslvpngateway

[gateway-name

]檢查虛擬網(wǎng)關(guān)是否使能