https://forum.huawei.com/enterprise/zh/thread-262703-1-1.html
通过SSL VPN进行网络扩展(web配置方式)
在用户启用网络扩展功能后,网络扩展客户端会自动从网关上获得IP地址并激活虚拟网卡进行SSL通信,使用户如同工作在企业内网一样,快速、安全地访问企业内网的资源。配置手动模式的网络扩展功能后,除了增加对远程企业内网的访问权限外,不影响客户端原先可访问的网络资源,除非网络资源与远程企业内网冲突。
前提条件
已加载License文件,且USG可以正常访问内网资源。
说明:
本举例中USG内网接口IP地址、地址池地址和内网服务器的IP地址在同一网段。
如果USG地址池地址和内网服务的IP地址不在同一个网段,需要保证USG地址池地址与内网服务器地址路由可达,确保业务的连通性。此时,可以将与内网接口相连的地址设置为下一跳。例如,地址池地址网段为10.1.1.0/24,内网服务器地址为10.1.2.10/24,内网接口为192.168.1.1,内网中与内网接口相连的地址为192.168.1.2,则需要配置10.1.1.0/24网段和10.1.2.0/24网段的路由,下一跳为192.168.1.2。这里要求内网接口与内网服务器、内网接口与地址池地址路由可达。
组网需求
如图1所示,USG作为企业网络的出口网关连接Internet。
具体需求如下:
· 外网用户会获取到192.168.1.50/24~192.168.1.150/24范围内的IP地址,且能够像工作在内网一样,快速、安全地访问内网的192.168.1.0/24网段的资源。
· 本地PC中已有有效的CA证书ca.crt。采用用户提供证书和VPNDB结合的认证授权方式。
· 由于经常受到来自7.1.1.0/24网段的网络攻击,禁止员工在7.1.1.0/24网段的客户端***问虚拟网关。
图1 网络扩展组网图
项目 | 数据 | 说明 |
(1) | 接口号:GigabitEthernet 0/0/1 IP地址:192.168.1.1/24 安全区域:Trust | - |
(2) | 接口号:GigabitEthernet 0/0/2 IP地址:202.10.10.1/24 安全区域:Untrust | 虚拟网关的IP地址与GigabitEthernet 0/0/2接口的IP地址相同。 |
DNS服务器 | IP地址:192.168.1.2/24 域名:internal.com | - |
认证方式 | 证书挑战 辅助认证方式:VPNDB | - |
配置思路
1. 在USG创建一个名为test的虚拟网关,外网用户可通过此虚拟网关访问企业内网的资源。虚拟网关的IP地址为202.10.10.1/24。
2. 配置内网的DNS服务器地址和域名,使用户可通过域名访问虚拟网关的业务。
3. 配置网络扩展功能,为外网用户分配IP地址和添加外网用户可访问的内网资源。
4. 从本地PC上将有效CA证书导入设备中,并进行激活。
5. 配置认证方式为证书挑战(辅助认证方式:VPNDB),授权方式配置为VPNDB。
6. 添加VPNDB用户。VPNDB的用户名即是客户端证书的名称,VPNDB的密码即是外网用户登录虚拟网关时需要输入的密码。
7. 配置虚拟网关源IP策略,禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。
8. 在需要访问虚拟网关的PC端安装CA证书对应的客户端证书。
操作步骤
1. 配置接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 选择“接口”页签。
c. 在“接口列表”中,单击GE0/0/1对应的。
d. 在“修改GigabitEthernet”界面中,配置如下:
· 安全区域:trust
· IP地址:192.168.1.1
· 子网掩码:255.255.255.0
其他配置项采用缺省值。
e. 单击“应用”。
f. 在“接口列表”中,单击GE0/0/2对应的。
g. 在“修改GigabitEthernet”界面中,配置如下:
· 安全区域:untrust
· IP地址:202.10.10.1
· 子网掩码:255.255.255.0
其他配置项采用缺省值。
h. 单击“应用”。
2. 对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USG BSR/HSR系列,不需要执行此步骤。
a. 配置Local安全区域和Untrust安全区域之间的安全策略。
i. 选择“防火墙 > 安全策略 > 本地策略”。
ii. 在“对设备访问控制列表”中,单击“Untrust”下的“默认”所在行的。
iii. 在“修改对设备访问控制”界面中,选择“动作”为“permit”。
iv. 单击“应用”。
b. 配置Trust安全区域和Untrust安全区域之间的安全策略。
. 选择“防火墙 > 安全策略 > 转发策略”。
i. 在“转发策略列表”中,单击“untrust->trust”下的“默认”所在行的。
ii. 在“修改转发策略”界面中,选择“动作”为“permit”。
iii. 单击“应用”。
iv. 在“转发策略列表”中,单击“trust->untrust”下的“默认”所在行的。
v. 在“修改转发策略”界面中,选择“动作”为“permit”。
vi. 单击“应用”。
3. 创建虚拟网关。
a. 选择“VPN > SSL VPN > 虚拟网关管理”。
b. 单击“新建”。
c. 配置虚拟网关参数,如图2所示。
图2 配置虚拟网关
d. 单击“应用”。
4. 配置DNS服务器。
a. 选择“VPN > SSL VPN > 虚拟网关列表”。
b. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 网络配置”。
c. 单击“首选DNS服务器 ”和“DNS domain”对应的,配置DNS服务器地址和域名,参数如图3所示。
图3 配置DNS服务器
d. 单击“首选DNS服务器”和“DNS domain”对应的,完成配置。
5. 配置网络扩展。
a. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 网络扩展”。
b. 选中“启用网络扩展功能”前的复选框,启用网络扩展功能。
c. 选中“保持连接”、“启用点对点通讯”前的复选框。
说明:
· 启用保持连接功能后,客户端会定时向网关发送报文,确保客户端和虚拟网关的网络扩展连接不会因为SSL会话超时而断开。
· 启用点对点通讯功能后,接入同一虚拟网关的用户可以互相通讯,如同在一个局域网内部。
d. 在“客户端IP分配方式”区域框中,分配客户端使用的IP地址,具体参数如图4所示。
注意:
在配置虚拟IP地址池时,虚拟IP地址池范围内的IP地址不能为虚拟网关或接口的IP地址,也不能为内网存在的IP地址。
图4 配置虚拟IP地址池
e. 在“客户端路由方式”区域框中,选中“手动模式”前的单选按钮。
f. 单击“添加网段”,添加客户端可以通过虚拟网关访问的内网资源,具体参数如图5所示。
说明:
选择“手动模式”,外网用户可以访问远端企业内***定网段的资源,对Internet和本地局域网的访问不受影响。网段冲突时优先访问远端企业内网。
图5 添加网段
g. 在“用户虚拟IP处理方式”区域框中,选中“清除不在新地址范围内的用户虚拟IP”前的单选按钮,清除虚拟网关内不在新地址段内的用户虚拟IP。
h. 单击“应用”。
6. 导入CA证书。
a. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > SSL配置”。
b. 在“CA证书信息”区域框中,单击“导入CA证书”文本框右侧的“浏览”,定位CA证书。
c. 单击“上传”。
7. 配置证书挑战。
a. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 认证授权配置”。
b. 选择“认证授权方式”页签。
c. 选中“需要用户提供证书”前的复选框。
d. 单击优先级“1”对应的操作,选择认证授权方式为证书挑战,辅助认证方式为VPNDB。并设置为需要用户提供证书。具体参数如图6所示。
图6 配置认证授权方式
e. 单击,完成认证授权方式配置。
f. 选择“证书认证配置”页签。
g. 在“证书挑战”区域框中,单击“修改”,配置提取证书用户过滤字段为缺省值。具体参数如图7所示。
图7 提取证书用户过滤字段
h. 单击“确定”,完成证书挑战的配置。
8. 配置VPNDB用户。
a. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > VPNDB配置”。
b. 选择“用户管理”页签,单击“新建”。
c. 在“添加用户”区域框中,配置VPNDB用户user,密码为User12345。配置参数如图8所示。
说明:
此处的用户名要和客户端证书的名称保持一致。
图8 配置VPNDB用户user
d. 单击“应用”。
e. 重复上述配置步骤,将所有需要访问内网资源的用户添加到USG。
说明:
如果用户较多,可以在“批量导入用户”区域框中,批量导入用户。具体请参见VPNDB配置。
9. 配置虚拟网关源IP策略,禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。
a. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 策略配置”。
b. 选择“虚拟网关源IP策略”页签,单击“新建”。
c. 配置源IP策略,具体参数如图9所示。
图9 配置源IP策略
d. 单击“应用”。
10. 在需要访问虚拟网关的PC端安装客户端证书。
注意:
PC端必须要安装与设备上导入的CA证书相对应的客户端证书,才能认证通过。
a. 在PC上打开IE浏览器,在工具栏中依此选择“工具 > Internet选项”。
b. 在“内容”界面中选择“证书”。
c. 单击“导入”,根据证书导入向导,从本地选择客户端证书user.p12,导入到PC中。
说明:
如果证书中设置了私钥密码,请在“密码”界面中输入相应的私钥密码。
证书导入成功后,会弹出“导入成功”的提示框。
d. 证书导入完毕后,关闭“证书”窗口,并单击“确定”,退出“Internet选项”窗口。
结果验证
1. 企业员工在外部网络(非7.1.1.0/24网段)的IE浏览器中输入https://202.10.10.1,进入虚拟网关登录界面。
2. 输入在USG上配置的密码,并在下拉列表中选择有效证书为“user”,单击“登录”,通过客户端证书认证,登录虚拟网关。显示界面如图10所示。
图10 虚拟网关客户端
3. 在“网络扩展”区域框中,单击“启动”,启用网络扩展功能后,客户端可以获取192.168.1.50/24~192.168.1.150/24范围内的IP地址,访问企业内网资源,同时访问Internet不受限制。
说明:
· 客户端第一次启用网络扩展功能时,客户端可能会收到虚拟网关发送的Active控件,需要按提示安装后才能正常使用网络扩展功能。
· 不同版本的虚拟网关会要求客户端安装不同版本的Active控件。当客户端访问不同版本虚拟网关时,请在访问新的虚拟网关前先将旧的Active控件删除,再安装新的Active控件,以免由于Active控件版本不一致导致网络扩展功能不可用。
以客户端为一台PC为例,执行以下命令来删除控件:
PC> regsvr32 SVNIEAgt.ocx -u -s
PC> del %systemroot%\SVNIEAgt.ocx /q
PC> del %systemroot%\"Downloaded Program Files"\SVNIEAgt.inf /q
PC> cd %appdata%
PC> rmdir svnclient /q /s
4. 7.1.1.0/24网段的客户端在IE浏览器中输入https://202.10.10.1后,页面提示访问受限,无法访问虚拟网关。
配置手动模式的网络扩展功能举例(命令行方式)
在用户启用网络扩展功能后,网络扩展客户端会自动从网关上获得IP地址并激活虚拟网卡进行SSL通信,使用户的机器如同工作在企业内网一样,快速、安全地访问企业内网的资源。配置手动模式的网络扩展功能后,除了增加对远程企业内网的访问权限外,不影响客户端原先可访问的网络资源,除非网络资源与远程企业内网冲突。
前提条件
已加载License文件,且USG可以正常访问内网资源。
说明:
本举例中USG内网接口IP地址、地址池地址和内网服务器的IP地址在同一网段。如果USG内网接口IP地址和内网服务器的IP地址不在同一网段,可以按照如下方法配置:
将地址池和USG内网接口配置在同一网段,并保证USG的内网接口与内网服务器路由可达,确保业务的连通性。
组网需求
如图1所示,USG作为企业网络的出口网关连接Internet。
具体需求如下:
· 外网用户会获取到192.168.1.50/24~192.168.1.150/24范围内的IP地址,且能够像工作在内网一样,快速、安全地访问内网的192.168.1.0/24网段的资源。
· 采用VPNDB的认证授权方式。
· 由于经常受到来自7.1.1.0/24网段的网络攻击,禁止员工在7.1.1.0/24网段的客户端***问虚拟网关。
图1 网络扩展组网图
项目 | 数据 | 说明 |
(1) | 接口号:GigabitEthernet 0/0/1 IP地址:192.168.1.1/24 | - |
(2) | 接口号:GigabitEthernet 0/0/2 IP地址:202.10.10.1/24 | 虚拟网关的IP地址与GigabitEthernet 0/0/2接口的IP地址相同。 |
DNS服务器IP地址和域名 | IP地址:192.168.1.2/24 域名:internal.com | - |
IP地址池的地址范围和子网掩码 | IP地址范围:192.168.1.50/24~192.168.1.150/24 子网掩码:255.255.255.0 | 用户登录虚拟网关时,从USG上配置的IP地址池中获取虚拟IP地址 |
手动模式的网段IP地址和子网掩码 | IP地址:192.168.1.0 子网掩码:255.255.255.0 | 虚拟网关的路由模式采用手动模式 |
配置思路
1. 在USG创建一个名为test的虚拟网关,外网用户可通过此虚拟网关访问企业内网的资源。虚拟网关的IP地址为202.10.10.1/24。
2. 配置内网的DNS服务器地址和域名,使用户可通过域名访问虚拟网关的业务。
3. 配置网络扩展功能,为外网用户分配IP地址和添加外网用户可访问的内网资源。
4. 配置认证方式为VPNDB。
5. 添加VPNDB用户。VPNDB的用户名即外网用户登录虚拟网关需要输入的名称,VPNDB的密码即是外网用户登录虚拟网关时需要输入的密码。
6. 配置虚拟网关源IP策略,禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。
操作步骤
1. 对于USG系列,将接口加入安全区域,并配置域间包过滤,以保证网络基本通信正常,具体步骤略。对于USG BSR/HSR系列,不需要将接口加入安全区域以及配置包过滤。
请务必打开接口GigabitEthernet 0/0/1所在安全区域和Local区域之间出方向的包过滤,GigabitEthernet 0/0/2所在安全区域和Local区域之间入方向的包过滤,以及接口GigabitEthernet 0/0/1所在安全区域和接口GigabitEthernet 0/0/2所在安全区域之间的包过滤。
2. USG基本配置。
# 配置GigabitEthernet 0/0/2的IP地址。
<USG> system-view
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 202.10.10.1 24
[USG-GigabitEthernet0/0/2] quit
# 配置GigabitEthernet 0/0/1的IP地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 192.168.1.1 24
[USG-GigabitEthernet0/0/1] quit
3. 添加名称为test的虚拟网关。
[USG] v-gateway test 202.10.10.1 private www.test.com
4. 配置DNS服务器。
5. [USG-test] basic
6. [USG-test-basic] dns-server 192.168.1.2
7. [USG-test-basic] dns-domain internal.com
[USG-test-basic] quit
8. 配置网络扩展功能。
# 配置客户端通过IP地址池获取虚拟IP地址。
注意:
在配置虚拟IP地址池时,虚拟IP地址池范围内的IP地址不能为虚拟网关或接口的IP地址,也不能为内网存在的IP地址。
[USG-test] service
[USG-test-service] network-extension netpool 192.168.1.50 192.168.1.150 255.255.255.0
# 配置路由模式为手动模式。
[USG-test-service] network-extension mode manual
[USG-test-service] network-extension manual-route 192.168.1.0 255.255.255.0
# 启用网络扩展功能。
[USG-test-service] network-extension enable
[USG-test-service] quit
[USG-test] quit
9. 配置VPNDB用户为user,密码为User1234。
10. [USG-test] vpndb
[USG-test-vpndb] user user password User1234 User1234
11. 配置虚拟网关源IP策略,禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。
12. [USG-test-vpndb] user user policy deny src-ip 7.1.1.0 255.255.255.0
13. [USG-test-vpndb] quit
[USG-test] quit
结果验证
1. 企业员工在外部网络(非7.1.1.0/24网段)的IE浏览器中输入https://202.10.10.1,进入虚拟网关登录界面。
2. 输入在USG上配置的密码登录虚拟网关。显示界面如图2所示。
图2 虚拟网关客户端
3. 在“网络扩展”区域框中,单击“启动”,启用网络扩展功能后,客户端可以获取192.168.1.50/24~192.168.1.150/24范围内的IP地址,访问企业内网资源,同时访问Internet不受限制。
说明:
· 客户端第一次启用网络扩展功能时,客户端可能会收到虚拟网关发送的Active控件,需要按提示安装后才能正常使用网络扩展功能。
· 不同版本的虚拟网关会要求客户端安装不同版本的Active控件。当客户端访问不同版本虚拟网关时,请在访问新的虚拟网关前先将旧的Active控件删除,再安装新的Active控件,以免由于Active控件版本不一致导致网络扩展功能不可用。
以客户端为一台PC为例,执行以下命令来删除控件:
PC> regsvr32 SVNIEAgt.ocx -u -s
PC> del %systemroot%\SVNIEAgt.ocx /q
PC> del %systemroot%\"Downloaded Program Files"\SVNIEAgt.inf /q
PC> cd %appdata%
PC> rmdir svnclient /q /s
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/2522.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~