28
2022
07
14:45:14

USG2000&5000 SSL VPN 网络扩展配置(SSL VPN 通过对端内网上网)

https://forum.huawei.com/enterprise/zh/thread-262703-1-1.html


通过SSL VPN进行网络扩展(web配置方式)

在用户启用网络扩展功能后,网络扩展客户端会自动从网关上获得IP地址并激活虚拟网卡进行SSL通信,使用户如同工作在企业内网一样,快速、安全地访问企业内网的资源。配置手动模式的网络扩展功能后,除了增加对远程企业内网的访问权限外,不影响客户端原先可访问的网络资源,除非网络资源与远程企业内网冲突。

前提条件

已加载License文件,且USG可以正常访问内网资源。

http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-note.gif 说明:

本举例中USG内网接口IP地址、地址池地址和内网服务器的IP地址在同一网段。

如果USG地址池地址和内网服务的IP地址不在同一个网段,需要保证USG地址池地址与内网服务器地址路由可达,确保业务的连通性。此时,可以将与内网接口相连的地址设置为下一跳。例如,地址池地址网段为10.1.1.0/24,内网服务器地址为10.1.2.10/24,内网接口为192.168.1.1,内网中与内网接口相连的地址为192.168.1.2,则需要配置10.1.1.0/24网段和10.1.2.0/24网段的路由,下一跳为192.168.1.2。这里要求内网接口与内网服务器、内网接口与地址池地址路由可达。

组网需求

图1所示,USG作为企业网络的出口网关连接Internet

具体需求如下:

·         外网用户会获取到192.168.1.50/24192.168.1.150/24范围内的IP地址,且能够像工作在内网一样,快速、安全地访问内网的192.168.1.0/24网段的资源。

·         本地PC中已有有效的CA证书ca.crt。采用用户提供证书和VPNDB结合的认证授权方式。

·         由于经常受到来自7.1.1.0/24网段的网络攻击,禁止员工在7.1.1.0/24网段的客户端***问虚拟网关。

网络扩展组网图 
http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_usg_cn/sec_vsp_exam_vpn_0029_fig01.png

项目

数据

说明

1

接口号:GigabitEthernet 0/0/1

IP地址:192.168.1.1/24

安全区域:Trust

-

2

接口号:GigabitEthernet 0/0/2

IP地址:202.10.10.1/24

安全区域:Untrust

虚拟网关的IP地址与GigabitEthernet 0/0/2接口的IP地址相同。

DNS服务器

IP地址:192.168.1.2/24

域名:internal.com

-

认证方式

证书挑战

辅助认证方式:VPNDB

-

配置思路

1.  USG创建一个名为test的虚拟网关,外网用户可通过此虚拟网关访问企业内网的资源。虚拟网关的IP地址为202.10.10.1/24

2.  配置内网的DNS服务器地址和域名,使用户可通过域名访问虚拟网关的业务。

3.  配置网络扩展功能,为外网用户分配IP地址和添加外网用户可访问的内网资源。

4.  从本地PC上将有效CA证书导入设备中,并进行激活。

5.  配置认证方式为证书挑战(辅助认证方式:VPNDB),授权方式配置为VPNDB

6.  添加VPNDB用户。VPNDB的用户名即是客户端证书的名称,VPNDB的密码即是外网用户登录虚拟网关时需要输入的密码。

7.  配置虚拟网关源IP策略,禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。

8.  在需要访问虚拟网关的PC端安装CA证书对应的客户端证书。

操作步骤

1.  配置接口基本参数。

a.  选择“网络 > 接口 > 接口”

b.  选择“接口”页签。

c.  “接口列表”中,单击GE0/0/1对应的http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/change1.gif

d.  “修改GigabitEthernet界面中,配置如下:

·         安全区域:trust

·         IP地址:192.168.1.1

·         子网掩码:255.255.255.0

其他配置项采用缺省值。

e.  单击“应用”

f.  “接口列表”中,单击GE0/0/2对应的http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/change1.gif

g.  “修改GigabitEthernet界面中,配置如下:

·         安全区域:untrust

·         IP地址:202.10.10.1

·         子网掩码:255.255.255.0

其他配置项采用缺省值。

h.  单击“应用”

2.  对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USG BSR/HSR系列,不需要执行此步骤。

a.  配置Local安全区域和Untrust安全区域之间的安全策略。

i.      选择“防火墙 > 安全策略 > 本地策略”

ii.      “对设备访问控制列表”中,单击Untrust下的“默认”所在行的http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/change1.gif

iii.      “修改对设备访问控制”界面中,选择“动作”permit

iv.      单击“应用”

b.  配置Trust安全区域和Untrust安全区域之间的安全策略。

 .      选择“防火墙 > 安全策略 > 转发策略”

i.      “转发策略列表”中,单击untrust->trust下的“默认”所在行的http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/change1.gif

ii.      “修改转发策略”界面中,选择“动作”permit

iii.      单击“应用”

iv.      “转发策略列表”中,单击trust->untrust下的“默认”所在行的http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/change1.gif

v.      “修改转发策略”界面中,选择“动作”permit

vi.      单击“应用”

3.  创建虚拟网关。

a.  选择VPN > SSL VPN > 虚拟网关管理”

b.  单击“新建”

c.  配置虚拟网关参数,如图2所示。

配置虚拟网关 
http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_vpn_0026_fig07.png

d.  单击“应用”

4.  配置DNS服务器。

a.  选择VPN > SSL VPN > 虚拟网关列表”

b.  “虚拟网关列表”导航树中选择“虚拟网关列表 > test > 网络配置”

c.  单击“首选DNS服务器 ”DNS domain对应的http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/modify2.png,配置DNS服务器地址和域名,参数如图3所示。

配置DNS服务器 
http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_vpn_0029_fig02.png

d.  单击“首选DNS服务器”DNS domain对应的http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/confirm1.png,完成配置。

5.  配置网络扩展。

a.  “虚拟网关列表”导航树中选择“虚拟网关列表 > test > 网络扩展”

b.  选中“启用网络扩展功能”前的复选框,启用网络扩展功能。

c.  选中“保持连接”“启用点对点通讯”前的复选框。

http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-note.gif 说明:

                                        ·            启用保持连接功能后,客户端会定时向网关发送报文,确保客户端和虚拟网关的网络扩展连接不会因为SSL会话超时而断开。

                                        ·            启用点对点通讯功能后,接入同一虚拟网关的用户可以互相通讯,如同在一个局域网内部。

d.  “客户端IP分配方式”区域框中,分配客户端使用的IP地址,具体参数如图4所示。

http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-notice.gif 注意:

在配置虚拟IP地址池时,虚拟IP地址池范围内的IP地址不能为虚拟网关或接口的IP地址,也不能为内网存在的IP地址。

配置虚拟IP地址池 
http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_vpn_0029_fig03.png

e.  “客户端路由方式”区域框中,选中“手动模式”前的单选按钮。

f.  单击“添加网段”,添加客户端可以通过虚拟网关访问的内网资源,具体参数如图5所示。

http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-note.gif 说明:

选择“手动模式”,外网用户可以访问远端企业内***定网段的资源,对Internet和本地局域网的访问不受影响。网段冲突时优先访问远端企业内网。

添加网段 
http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_vpn_0029_fig04.png

g.  “用户虚拟IP处理方式”区域框中,选中“清除不在新地址范围内的用户虚拟IP前的单选按钮,清除虚拟网关内不在新地址段内的用户虚拟IP

h.  单击“应用”

6.  导入CA证书。

a.  “虚拟网关列表”导航树中选择“虚拟网关列表 > test > SSL配置”

b.  CA证书信息”区域框中,单击“导入CA证书”文本框右侧的“浏览”,定位CA证书。

c.  单击“上传”

7.  配置证书挑战。

a.  “虚拟网关列表”导航树中选择“虚拟网关列表 > test > 认证授权配置”

b.  选择“认证授权方式”页签。

c.  选中“需要用户提供证书”前的复选框。

d.  单击优先级1对应的操作http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/modify2.png,选择认证授权方式为证书挑战,辅助认证方式为VPNDB。并设置为需要用户提供证书。具体参数如图6所示。

配置认证授权方式 
http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_vpn_0029_fig05.png

e.  单击http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/confirm1.png,完成认证授权方式配置。

f.  选择“证书认证配置”页签。

g.  “证书挑战”区域框中,单击“修改”,配置提取证书用户过滤字段为缺省值。具体参数如图7所示。

提取证书用户过滤字段 
http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_vpn_0029_fig06.png

h.  单击“确定”,完成证书挑战的配置。

8.  配置VPNDB用户。

a.  “虚拟网关列表”导航树中选择“虚拟网关列表 > test > VPNDB配置”

b.  选择“用户管理”页签,单击“新建”

c.  “添加用户”区域框中,配置VPNDB用户user,密码为User12345。配置参数如图8所示。

http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-note.gif 说明:

此处的用户名要和客户端证书的名称保持一致。

配置VPNDB用户user 
http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_vpn_0029_fig07.png

d.  单击“应用”

e.  重复上述配置步骤,将所有需要访问内网资源的用户添加到USG

http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-note.gif 说明:

如果用户较多,可以在“批量导入用户”区域框中,批量导入用户。具体请参见VPNDB配置

9.  配置虚拟网关源IP策略,禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。

a.  “虚拟网关列表”导航树中选择“虚拟网关列表 > test > 策略配置”

b.  选择“虚拟网关源IP策略”页签,单击“新建”

c.  配置源IP策略,具体参数如图9所示。

配置源IP策略 
http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_vpn_0029_fig08.png

d.  单击“应用”

10. 在需要访问虚拟网关的PC端安装客户端证书。

http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-notice.gif 注意:

PC端必须要安装与设备上导入的CA证书相对应的客户端证书,才能认证通过。

a.  PC上打开IE浏览器,在工具栏中依此选择“工具 > Internet选项”

b.  “内容”界面中选择“证书”

c.  单击“导入”,根据证书导入向导,从本地选择客户端证书user.p12,导入到PC中。

http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-note.gif 说明:

如果证书中设置了私钥密码,请在“密码”界面中输入相应的私钥密码。

证书导入成功后,会弹出“导入成功”的提示框。

d.  证书导入完毕后,关闭“证书”窗口,并单击“确定”,退出Internet选项”窗口。

结果验证

1.  企业员工在外部网络(非7.1.1.0/24网段)的IE浏览器中输入https://202.10.10.1,进入虚拟网关登录界面。

2.  输入在USG上配置的密码,并在下拉列表中选择有效证书为user,单击“登录”,通过客户端证书认证,登录虚拟网关。显示界面如图10所示。

10 虚拟网关客户端 
http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_vpn_0029_fig09.png

3.  “网络扩展”区域框中,单击“启动”,启用网络扩展功能后,客户端可以获取192.168.1.50/24192.168.1.150/24范围内的IP地址,访问企业内网资源,同时访问Internet不受限制。

http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-note.gif 说明:

·         客户端第一次启用网络扩展功能时,客户端可能会收到虚拟网关发送的Active控件,需要按提示安装后才能正常使用网络扩展功能。

·         不同版本的虚拟网关会要求客户端安装不同版本的Active控件。当客户端访问不同版本虚拟网关时,请在访问新的虚拟网关前先将旧的Active控件删除,再安装新的Active控件,以免由于Active控件版本不一致导致网络扩展功能不可用。

以客户端为一台PC为例,执行以下命令来删除控件:

PC> regsvr32 SVNIEAgt.ocx -u -s

PC> del %systemroot%\SVNIEAgt.ocx /q

PC> del %systemroot%\"Downloaded Program Files"\SVNIEAgt.inf /q

PC> cd  %appdata%

PC> rmdir svnclient /q /s

4.  7.1.1.0/24网段的客户端在IE浏览器中输入https://202.10.10.1后,页面提示访问受限,无法访问虚拟网关。

配置手动模式的网络扩展功能举例(命令行方式)

在用户启用网络扩展功能后,网络扩展客户端会自动从网关上获得IP地址并激活虚拟网卡进行SSL通信,使用户的机器如同工作在企业内网一样,快速、安全地访问企业内网的资源。配置手动模式的网络扩展功能后,除了增加对远程企业内网的访问权限外,不影响客户端原先可访问的网络资源,除非网络资源与远程企业内网冲突。

前提条件

已加载License文件,且USG可以正常访问内网资源。

http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-note.gif 说明:

本举例中USG内网接口IP地址、地址池地址和内网服务器的IP地址在同一网段。如果USG内网接口IP地址和内网服务器的IP地址不在同一网段,可以按照如下方法配置:

将地址池和USG内网接口配置在同一网段,并保证USG的内网接口与内网服务器路由可达,确保业务的连通性。

组网需求

图1所示,USG作为企业网络的出口网关连接Internet

具体需求如下:

·         外网用户会获取到192.168.1.50/24192.168.1.150/24范围内的IP地址,且能够像工作在内网一样,快速、安全地访问内网的192.168.1.0/24网段的资源。

·         采用VPNDB的认证授权方式。

·         由于经常受到来自7.1.1.0/24网段的网络攻击,禁止员工在7.1.1.0/24网段的客户端***问虚拟网关。

网络扩展组网图 
http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/cfg_vpn/images/sec_vsp_cfg_ssl_0128_fig01.png

项目

数据

说明

1

接口号:GigabitEthernet 0/0/1

IP地址:192.168.1.1/24

-

2

接口号:GigabitEthernet 0/0/2

IP地址:202.10.10.1/24

虚拟网关的IP地址与GigabitEthernet 0/0/2接口的IP地址相同。

DNS服务器IP地址和域名

IP地址:192.168.1.2/24

域名:internal.com

-

IP地址池的地址范围和子网掩码

IP地址范围:192.168.1.50/24192.168.1.150/24

子网掩码:255.255.255.0

用户登录虚拟网关时,从USG上配置的IP地址池中获取虚拟IP地址

手动模式的网段IP地址和子网掩码

IP地址:192.168.1.0

子网掩码:255.255.255.0

虚拟网关的路由模式采用手动模式

配置思路

1.  USG创建一个名为test的虚拟网关,外网用户可通过此虚拟网关访问企业内网的资源。虚拟网关的IP地址为202.10.10.1/24

2.  配置内网的DNS服务器地址和域名,使用户可通过域名访问虚拟网关的业务。

3.  配置网络扩展功能,为外网用户分配IP地址和添加外网用户可访问的内网资源。

4.  配置认证方式为VPNDB

5.  添加VPNDB用户。VPNDB的用户名即外网用户登录虚拟网关需要输入的名称,VPNDB的密码即是外网用户登录虚拟网关时需要输入的密码。

6.  配置虚拟网关源IP策略,禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。

操作步骤

1.  对于USG系列,将接口加入安全区域,并配置域间包过滤,以保证网络基本通信正常,具体步骤略。对于USG BSR/HSR系列,不需要将接口加入安全区域以及配置包过滤。

请务必打开接口GigabitEthernet 0/0/1所在安全区域和Local区域之间出方向的包过滤,GigabitEthernet 0/0/2所在安全区域和Local区域之间入方向的包过滤,以及接口GigabitEthernet 0/0/1所在安全区域和接口GigabitEthernet 0/0/2所在安全区域之间的包过滤。

2.  USG基本配置。

配置GigabitEthernet 0/0/2IP地址。

<USG> system-view

[USG] interface GigabitEthernet 0/0/2

[USG-GigabitEthernet0/0/2] ip address 202.10.10.1 24

[USG-GigabitEthernet0/0/2] quit

配置GigabitEthernet 0/0/1IP地址。

[USG] interface GigabitEthernet 0/0/1

[USG-GigabitEthernet0/0/1] ip address 192.168.1.1 24

[USG-GigabitEthernet0/0/1] quit

3.  添加名称为test的虚拟网关。

[USG] v-gateway test 202.10.10.1 private www.test.com

4.  配置DNS服务器。

5.  [USG-test] basic

6.  [USG-test-basic] dns-server 192.168.1.2

7.  [USG-test-basic] dns-domain internal.com

[USG-test-basic] quit

8.  配置网络扩展功能。

配置客户端通过IP地址池获取虚拟IP地址。

http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-notice.gif 注意:

在配置虚拟IP地址池时,虚拟IP地址池范围内的IP地址不能为虚拟网关或接口的IP地址,也不能为内网存在的IP地址。

[USG-test] service

[USG-test-service] network-extension netpool 192.168.1.50 192.168.1.150 255.255.255.0

配置路由模式为手动模式。

[USG-test-service] network-extension mode manual

[USG-test-service] network-extension manual-route 192.168.1.0 255.255.255.0

启用网络扩展功能。

[USG-test-service] network-extension enable

[USG-test-service] quit

[USG-test] quit

9.  配置VPNDB用户为user,密码为User1234

10. [USG-test] vpndb

[USG-test-vpndb] user user password User1234 User1234

11. 配置虚拟网关源IP策略,禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。

12. [USG-test-vpndb] user user policy deny src-ip 7.1.1.0 255.255.255.0

13. [USG-test-vpndb] quit

[USG-test] quit

结果验证

1.  企业员工在外部网络(非7.1.1.0/24网段)的IE浏览器中输入https://202.10.10.1,进入虚拟网关登录界面。

2.  输入在USG上配置的密码登录虚拟网关。显示界面如图2所示。

虚拟网关客户端 
http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/cfg_vpn/images_common/sec_vsp_cfg_ssl_0129_fig02.png

3.  “网络扩展”区域框中,单击“启动”,启用网络扩展功能后,客户端可以获取192.168.1.50/24192.168.1.150/24范围内的IP地址,访问企业内网资源,同时访问Internet不受限制。

http://localhost:7890/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-note.gif 说明:

·         客户端第一次启用网络扩展功能时,客户端可能会收到虚拟网关发送的Active控件,需要按提示安装后才能正常使用网络扩展功能。

·         不同版本的虚拟网关会要求客户端安装不同版本的Active控件。当客户端访问不同版本虚拟网关时,请在访问新的虚拟网关前先将旧的Active控件删除,再安装新的Active控件,以免由于Active控件版本不一致导致网络扩展功能不可用。

以客户端为一台PC为例,执行以下命令来删除控件:

PC> regsvr32 SVNIEAgt.ocx -u -s

PC> del %systemroot%\SVNIEAgt.ocx /q

PC> del %systemroot%\"Downloaded Program Files"\SVNIEAgt.inf /q

PC> cd  %appdata%

PC> rmdir svnclient /q /s

 




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/2522.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: