编辑: LinDa_学友 | 2018-07-15 |
? 配置 PE 之间 MP-IBGP 协议,并创建 VRF 实例,用以交换 VPN 路由信息;
5 ? 配置 PE 及CE 之间路由协议或静态路由, 将CE 侧路由通告到 PE, 以便 PE 将路由通告到相 应的 VRF 中;
? 在防火墙上 SSL VPN Context 内绑定 VPN 实例, 对应的 AC 及内网口绑定相同的 VPN 实例;
3.3 使用版本 本举例是在 S12516X-AF 的Version 7.1.045,Feature 1138P05 版本以及 SecBlade IV NGFW 的Ess
8303 版本上进行配置和验证的. 3.4 配置步骤 3.4.1 配置SSL VPN访问实例ctx0 (1) 配置证书以及 SSL 策略 ? 配置接口 IP 地址以及加入安全域,配置域间策略,并配置域间策略添加路由保证网络可达;
? SSL VPN 设备已获取到 CA 证书 ca.cer 和服务器证书 server.pfx;
? 客户端与 DNS Server 之间以及网关设备与 AAA Server 之间均路由可达. # 配置 PKI 域SSL VPN, 为方便验证此方案, 使用了临时证书, 此处关闭了 CA 证书废除列表功能. system-view [FW_125x_Blade4_1] pki domain sslvpn [FW_125x_Blade4_1-pki-domain-sslvpn] public-key rsa general name sslvpn [FW_125x_Blade4_1-pki-domain-sslvpn] undo crl check enable //请根据实际需要开启或关闭此功能 [FW_125x_Blade4_1-pki-domain-sslvpn] quit # 导入 CA 证书 ca.cer 和服务器证书 server.pfx,输入服务器证书密码. [FW_125x_Blade4_1] pki import domain sslvpn der ca filename ca.cer [FW_125x_Blade4_1] pki import domain sslvpn p12 local filename server.pfx # 配置 SSL 服务器端策略 ssl. [FW_125x_Blade4_1] ssl server-policy ssl [FW_125x_Blade4_1-ssl-server-policy-ssl] pki-domain sslvpn [FW_125x_Blade4_1-ssl-server-policy-ssl] quit (2) 配置 SSL VPN 网关 # 配置 SSL VPN 网关 gw0 的IP 地址为 34.1.1.2,端口号为默认端口 443,并引用 SSL 服务器端策 略ssl. [FW_125x_Blade4_1] sslvpn gateway gw0 [FW_125x_Blade4_1-sslvpn-gateway-gw0] ip address 34.1.1.2 [FW_125x_Blade4_1-sslvpn-gateway-gw0] ssl server-policy ssl # 开启 SSL VPN 网关 gw0. [FW_125x_Blade4_1-sslvpn-gateway-gw0] service enable [FW_125x_Blade4_1-sslvpn-gateway-gw0] quit
6 # 配置 SSL VPN 访问实例 ctx0, 并配置 SSL VPN 访问实例关联的 VPN 实例为 fw0, 引用 SSL VPN 网关 gw0. ? 同一个 SSL VPN 访问实例只能与一个 SSL VPN 网关关联, 但是同一个 SSL VPN 网关可以与多 个SSL VPN 访问实例关联;
? 多个 SSL VPN 访问实例引用同一个 SSL VPN 网关时,可以通过以下方法判断远端接入用户所 属的 SSL VPN 访问实例: ? 为不同的 SSL VPN 访问实例指定不同的域名.远端用户登录 SSL VPN 网关时,指定自己所在 的域,SSL VPN 网关根据用户指定的域判断该用户所属的 SSL VPN 访问实例;
? 为不同的 SSL VPN 访问实例、指定不同的虚拟主机名称.远端用户访问 SSL VPN 网关时,输 入虚拟主机名称,SSL VPN 网关根据虚拟主机名称判断该用户所属的 SSL VPN 访问实例;
? 如果 SSL VPN 访问实例引用 SSL VPN 网关时没有指定域名和虚拟主机名称,那么其他的 SSL VPN 访问实例就不能再引用该 SSL VPN 网关;
? 本场景根据需要使用的为指定虚主机(以sslvpnvpe.com 为例)情况. [FW_125x_Blade4_1] sslvpn context ctx0 [FW_125x_Blade4_1-sslvpn-context-ctx0] vpn-instance fw0 //关联 vpn 实例 [FW_125x_Blade4_1-sslvpn-context-ctx0] gateway gw0 virtual-host sslvpnvpe.com //指定虚主机 (3) 配置 SSL VPN 接入方式 对同一个 SSL VPN 访问实例可以同时创建三种访问方式,这里我们为了便于验证 SSL VPN VPE 方案,同时配置 Web 和IP 两种接入方式,实际情况可以根据需要选择适当的一种过多种接入方式 配置. ? 配置 Web 接入方式 # 创建 URL 列表 urllist........