编辑: LinDa_学友 | 2018-07-15 |
2 配置前提 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品 手册,或以设备实际情况为准. 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺 省配置.如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置 不冲突. 本文档假设您已了解 SSL VPN、MPLS VPN 和Context 相关特性.
3 SecBlade Ⅳ NGFW配置举例 3.1 组网需求 (1) SSL VPN VPE 方案一组网需求
2 ? SSL VPN 通过域名如 vpn.a.com,vpn.b.com 来区分不同 SSL VPN Context,共用一个公网 接入 IP. ? 不同的 SSL VPN Context 内配置不同的 AC 接口及地址池. ? 不同的 SSL VPN Context 内配置不同的 AAA 认证策略. ? 不同的 SSL VPN Context 内绑定不同的 VPN 实例,对应的 AC 及内网口绑定相应的 VPN 实例. 该方案多租户之间管理配置上是软隔离,未从物理上严格隔离,理论上只要设备资源足够,总容纳 的租户数量将不受限制. 图1 SSL VPN VPE 方案一配置组网图 如图2所示,根据组网需求实验室实际部署的网络TOPO,SSL VPN网关设备连接公网,公网连接 到企业内不同的私有网络. 该场景可以通过DNS解析, 访问不同的SSL VPN Context实例, SSL VPN 网关设备再对相应的SSL VPN Context实例下的用户进行相应的AAA认证,认证授权后,用户接入 到网关设备,再通过MPLS VPN网络能够安全地访问位于企业私有网络.
3 图2 SSL VPN VPE 方案一 TOPO 配置组网图 设备 接口 IP 地址 设备 接口 IP 地址 PC 200.0.0.123/24 DNS_Server_IP 172.31.9.19/16 PE1_S125X toPE2:XGE2/0/1 1.2.0.1/24 AAA_Server_IP 172.31.2.1/16 toPC:XGE2/0/2 200.0.0.100/24 toDNS:M-GE0/0/0 172.31.60.1/16 toAAA:M-GE0/0/0 172.31.60.1/16 toFW:FGE3/0/4 34.1.1.1/24 toFW:FGE3/0/5 100.1.1.1/24 PE2_S125X toPE1:XGE2/0/1 1.2.0.2/24 toCE0:XGE2/0/3.100 2.3.0.2/24 toCE1:XGE2/0/3.101 2.3.1.2/24 CE2_S5820 toPE2:XGE1/0/3.100 2.3.0.3/24 toPE2:XGE1/0/3.101 2.3.1.3/24 (2) SSL VPN VPE 方案二组网需求
4 图3 SSL VPN VPE 方案二配置组网图 ? SSL VPN 设备划分多个 Context,不同 Context 对应不同租户 VPN,不同 Context 间天然隔 离. ? context 内可以继续创建 SSL VPN Context. ? 不同 Context 间共享 Internet 接入口,但是配置不同的公网接入地址,通过不同的域名接入. 方案二中通过对物理设备进行虚拟化处理后可以做到严格的配置、管理、认证、审计隔离,但设备 虚拟化 Context 数量有限,组户数量也会因此受到限制. 本文档只对方案一做详细配置介绍,方案二在划分 Context 后详细配置可参考方案一. 3.2 配置思路 ? 在防火墙上配置接口地址并加入安全域,并配置域间策略,添加路由保证网络可达;
? 客户端配置与 DNS 服务器互通,实现将域名解析为 IP 地址;
? 在SSL VPN 设备导入 CA 证书和服务器证书;
? 在防火墙上配置 SSL VPN gateway;
? 在防火墙上配置 SSL VPN Context、URL 资源(Web 接入方式) 、IP 资源(IP 接入方式)策 略组;
? 在防火墙配置 SSL VPN 用户组和本地用户;
? 配置与 AAA 服务器互通,实现使用 AAA 服务器对 SSL VPN 用户进行 Radius 认证、授权及 计费;
? 配置 MPLS 网络 PE 间配置 IGP 协议实现 PE 内部的互通;
? 配置MPLS网络中各个节点之间MPLS协议 (可以根据实际需要部署MPLS LDP隧道或MPLS TE 隧道) ,创建 PE 之间 MPLS LSP 隧道;
? 在PE 上配置 VRF 信息,不同的 VRF 之间用户不能访问;