通过SSL VPN进行网络扩展(web界面配置方式) 在用户启用网络扩展功能后,网络扩展客户端会自动从网关上获得IP地址并激活虚拟网卡进行SSL通信,使用户如同工作在企业内网一样,快速、安全地访问企业内网的资源。配置手动模式的网络扩展功能后,除了增加对远程企业内网的访问权限外,不影响客户端原先可访问的网络资源,除非网络资源与远程企业内网冲突。 前提条件 已加载License文件,且USG可以正常访问内网资源。
本举例中USG内网接口IP地址、地址池地址和内网服务器的IP地址在同一网段。 如果USG地址池地址和内网服务的IP地址不在同一个网段,需要保证USG地址池地址与内网服务器地址路由可达,确保业务的连通性。此时,可以将与内网接口相连的地址设置为下一跳。例如,地址池地址网段为10.1.1.0/24,内网服务器地址为10.1.2.10/24,内网接口为192.168.1.1,内网中与内网接口相连的地址为192.168.1.2,则需要配置10.1.1.0/24网段和10.1.2.0/24网段的路由,下一跳为192.168.1.2。这里要求内网接口与内网服务器、内网接口与地址池地址路由可达。 组网需求 如图1所示,USG作为企业网络的出口网关连接Internet。 具体需求如下: · 外网用户会获取到192.168.1.50/24~192.168.1.150/24范围内的IP地址,且能够像工作在内网一样,快速、安全地访问内网的192.168.1.0/24网段的资源。 · 本地PC中已有有效的CA证书ca.crt。采用用户提供证书和VPNDB结合的认证授权方式。 · 由于经常受到来自7.1.1.0/24网段的网络攻击,禁止员工在7.1.1.0/24网段的客户端***问虚拟网关。 图1 网络扩展组网图 配置思路 1. 在USG创建一个名为test的虚拟网关,外网用户可通过此虚拟网关访问企业内网的资源。虚拟网关的IP地址为202.10.10.1/24。 2. 配置内网的DNS服务器地址和域名,使用户可通过域名访问虚拟网关的业务。 3. 配置网络扩展功能,为外网用户分配IP地址和添加外网用户可访问的内网资源。 4. 从本地PC上将有效CA证书导入设备中,并进行激活。 5. 配置认证方式为证书挑战(辅助认证方式:VPNDB),授权方式配置为VPNDB。 6. 添加VPNDB用户。VPNDB的用户名即是客户端证书的名称,VPNDB的密码即是外网用户登录虚拟网关时需要输入的密码。 7. 配置虚拟网关源IP策略,禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。 8. 在需要访问虚拟网关的PC端安装CA证书对应的客户端证书。 操作步骤 1. 配置接口基本参数。 a. 选择“网络 > 接口 > 接口”。 b. 选择“接口”页签。 c. 在“接口列表”中,单击GE0/0/1对应的 d. 在“修改GigabitEthernet”界面中,配置如下: · 安全区域:trust · IP地址:192.168.1.1 · 子网掩码:255.255.255.0 其他配置项采用缺省值。 e. 单击“应用”。 f. 在“接口列表”中,单击GE0/0/2对应的 g. 在“修改GigabitEthernet”界面中,配置如下: · 安全区域:untrust · IP地址:202.10.10.1 · 子网掩码:255.255.255.0 其他配置项采用缺省值。 h. 单击“应用”。 2. 对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USG BSR/HSR系列,不需要执行此步骤。 a. 配置Local安全区域和Untrust安全区域之间的安全策略。 i. 选择“防火墙 > 安全策略 > 本地策略”。 ii. 在“对设备访问控制列表”中,单击“Untrust”下的“默认”所在行的 iii. 在“修改对设备访问控制”界面中,选择“动作”为“permit”。 iv. 单击“应用”。 b. 配置Trust安全区域和Untrust安全区域之间的安全策略。 . 选择“防火墙 > 安全策略 > 转发策略”。 i. 在“转发策略列表”中,单击“untrust->trust”下的“默认”所在行的 ii. 在“修改转发策略”界面中,选择“动作”为“permit”。 iii. 单击“应用”。 iv. 在“转发策略列表”中,单击“trust->untrust”下的“默认”所在行的 v. 在“修改转发策略”界面中,选择“动作”为“permit”。 vi. 单击“应用”。 3. 创建虚拟网关。 a. 选择“VPN > SSL VPN > 虚拟网关管理”。 b. 单击“新建”。 c. 配置虚拟网关参数,如图2所示。 图2 配置虚拟网关 d. 单击“应用”。 4. 配置DNS服务器。 a. 选择“VPN > SSL VPN > 虚拟网关列表”。 b. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 网络配置”。 c. 单击“首选DNS服务器 ”和“DNS domain”对应的 图3 配置DNS服务器 d. 单击“首选DNS服务器”和“DNS domain”对应的 5. 配置网络扩展。 a. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 网络扩展”。 b. 选中“启用网络扩展功能”前的复选框,启用网络扩展功能。 c. 选中“保持连接”、“启用点对点通讯”前的复选框。
· 启用保持连接功能后,客户端会定时向网关发送报文,确保客户端和虚拟网关的网络扩展连接不会因为SSL会话超时而断开。 · 启用点对点通讯功能后,接入同一虚拟网关的用户可以互相通讯,如同在一个局域网内部。 d. 在“客户端IP分配方式”区域框中,分配客户端使用的IP地址,具体参数如图4所示。
在配置虚拟IP地址池时,虚拟IP地址池范围内的IP地址不能为虚拟网关或接口的IP地址,也不能为内网存在的IP地址。 图4 配置虚拟IP地址池 e. 在“客户端路由方式”区域框中,选中“手动模式”前的单选按钮。 f. 单击“添加网段”,添加客户端可以通过虚拟网关访问的内网资源,具体参数如图5所示。
选择“手动模式”,外网用户可以访问远端企业内***定网段的资源,对Internet和本地局域网的访问不受影响。网段冲突时优先访问远端企业内网。 图5 添加网段 g. 在“用户虚拟IP处理方式”区域框中,选中“清除不在新地址范围内的用户虚拟IP”前的单选按钮,清除虚拟网关内不在新地址段内的用户虚拟IP。 h. 单击“应用”。 6. 导入CA证书。 a. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > SSL配置”。 b. 在“CA证书信息”区域框中,单击“导入CA证书”文本框右侧的“浏览”,定位CA证书。 c. 单击“上传”。 7. 配置证书挑战。 a. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 认证授权配置”。 b. 选择“认证授权方式”页签。 c. 选中“需要用户提供证书”前的复选框。 d. 单击优先级“1”对应的操作 图6 配置认证授权方式 e. 单击 f. 选择“证书认证配置”页签。 g. 在“证书挑战”区域框中,单击“修改”,配置提取证书用户过滤字段为缺省值。具体参数如图7所示。 图7 提取证书用户过滤字段 h. 单击“确定”,完成证书挑战的配置。 8. 配置VPNDB用户。 a. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > VPNDB配置”。 b. 选择“用户管理”页签,单击“新建”。 c. 在“添加用户”区域框中,配置VPNDB用户user,密码为User12345。配置参数如图8所示。
此处的用户名要和客户端证书的名称保持一致。 图8 配置VPNDB用户user d. 单击“应用”。 e. 重复上述配置步骤,将所有需要访问内网资源的用户添加到USG。
如果用户较多,可以在“批量导入用户”区域框中,批量导入用户。具体请参见VPNDB配置。 9. 配置虚拟网关源IP策略,禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。 a. 在“虚拟网关列表”导航树中选择“虚拟网关列表 > test > 策略配置”。 b. 选择“虚拟网关源IP策略”页签,单击“新建”。 c. 配置源IP策略,具体参数如图9所示。 图9 配置源IP策略 d. 单击“应用”。 10. 在需要访问虚拟网关的PC端安装客户端证书。
PC端必须要安装与设备上导入的CA证书相对应的客户端证书,才能认证通过。 a. 在PC上打开IE浏览器,在工具栏中依此选择“工具 > Internet选项”。 b. 在“内容”界面中选择“证书”。 c. 单击“导入”,根据证书导入向导,从本地选择客户端证书user.p12,导入到PC中。
如果证书中设置了私钥密码,请在“密码”界面中输入相应的私钥密码。 证书导入成功后,会弹出“导入成功”的提示框。 d. 证书导入完毕后,关闭“证书”窗口,并单击“确定”,退出“Internet选项”窗口。 结果验证 1. 企业员工在外部网络(非7.1.1.0/24网段)的IE浏览器中输入https://202.10.10.1,进入虚拟网关登录界面。 2. 输入在USG上配置的密码,并在下拉列表中选择有效证书为“user”,单击“登录”,通过客户端证书认证,登录虚拟网关。显示界面如图10所示。 图10 虚拟网关客户端 3. 在“网络扩展”区域框中,单击“启动”,启用网络扩展功能后,客户端可以获取192.168.1.50/24~192.168.1.150/24范围内的IP地址,访问企业内网资源,同时访问Internet不受限制。
· 客户端第一次启用网络扩展功能时,客户端可能会收到虚拟网关发送的Active控件,需要按提示安装后才能正常使用网络扩展功能。 · 不同版本的虚拟网关会要求客户端安装不同版本的Active控件。当客户端访问不同版本虚拟网关时,请在访问新的虚拟网关前先将旧的Active控件删除,再安装新的Active控件,以免由于Active控件版本不一致导致网络扩展功能不可用。 以客户端为一台PC为例,执行以下命令来删除控件: PC> regsvr32 SVNIEAgt.ocx -u -s PC> del %systemroot%\SVNIEAgt.ocx /q PC> del %systemroot%\"Downloaded Program Files"\SVNIEAgt.inf /q PC> cd %appdata% PC> rmdir svnclient /q /s 4. 7.1.1.0/24网段的客户端在IE浏览器中输入https://202.10.10.1后,页面提示访问受限,无法访问虚拟网关。 配置手动模式的网络扩展功能举例(命令行方式) 在用户启用网络扩展功能后,网络扩展客户端会自动从网关上获得IP地址并激活虚拟网卡进行SSL通信,使用户的机器如同工作在企业内网一样,快速、安全地访问企业内网的资源。配置手动模式的网络扩展功能后,除了增加对远程企业内网的访问权限外,不影响客户端原先可访问的网络资源,除非网络资源与远程企业内网冲突。 前提条件 已加载License文件,且USG可以正常访问内网资源。
本举例中USG内网接口IP地址、地址池地址和内网服务器的IP地址在同一网段。如果USG内网接口IP地址和内网服务器的IP地址不在同一网段,可以按照如下方法配置: 将地址池和USG内网接口配置在同一网段,并保证USG的内网接口与内网服务器路由可达,确保业务的连通性。 组网需求 如图1所示,USG作为企业网络的出口网关连接Internet。 具体需求如下: · 外网用户会获取到192.168.1.50/24~192.168.1.150/24范围内的IP地址,且能够像工作在内网一样,快速、安全地访问内网的192.168.1.0/24网段的资源。 · 采用VPNDB的认证授权方式。 · 由于经常受到来自7.1.1.0/24网段的网络攻击,禁止员工在7.1.1.0/24网段的客户端***问虚拟网关。 图1 网络扩展组网图 配置思路 1. 在USG创建一个名为test的虚拟网关,外网用户可通过此虚拟网关访问企业内网的资源。虚拟网关的IP地址为202.10.10.1/24。 2. 配置内网的DNS服务器地址和域名,使用户可通过域名访问虚拟网关的业务。 3. 配置网络扩展功能,为外网用户分配IP地址和添加外网用户可访问的内网资源。 4. 配置认证方式为VPNDB。 5. 添加VPNDB用户。VPNDB的用户名即外网用户登录虚拟网关需要输入的名称,VPNDB的密码即是外网用户登录虚拟网关时需要输入的密码。 6. 配置虚拟网关源IP策略,禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。 操作步骤 1. 对于USG系列,将接口加入安全区域,并配置域间包过滤,以保证网络基本通信正常,具体步骤略。对于USG BSR/HSR系列,不需要将接口加入安全区域以及配置包过滤。 请务必打开接口GigabitEthernet 0/0/1所在安全区域和Local区域之间出方向的包过滤,GigabitEthernet 0/0/2所在安全区域和Local区域之间入方向的包过滤,以及接口GigabitEthernet 0/0/1所在安全区域和接口GigabitEthernet 0/0/2所在安全区域之间的包过滤。 2. USG基本配置。 # 配置GigabitEthernet 0/0/2的IP地址。 <USG> system-view [USG] interface GigabitEthernet 0/0/2 [USG-GigabitEthernet0/0/2] ip address 202.10.10.1 24 [USG-GigabitEthernet0/0/2] quit # 配置GigabitEthernet 0/0/1的IP地址。 [USG] interface GigabitEthernet 0/0/1 [USG-GigabitEthernet0/0/1] ip address 192.168.1.1 24 [USG-GigabitEthernet0/0/1] quit 3. 添加名称为test的虚拟网关。 [USG] v-gateway test 202.10.10.1 private www.test.com 4. 配置DNS服务器。 5. [USG-test] basic 6. [USG-test-basic] dns-server 192.168.1.2 7. [USG-test-basic] dns-domain internal.com [USG-test-basic] quit 8. 配置网络扩展功能。 # 配置客户端通过IP地址池获取虚拟IP地址。
在配置虚拟IP地址池时,虚拟IP地址池范围内的IP地址不能为虚拟网关或接口的IP地址,也不能为内网存在的IP地址。 [USG-test] service [USG-test-service] network-extension netpool 192.168.1.50 192.168.1.150 255.255.255.0 # 配置路由模式为手动模式。 [USG-test-service] network-extension mode manual [USG-test-service] network-extension manual-route 192.168.1.0 255.255.255.0 # 启用网络扩展功能。 [USG-test-service] network-extension enable [USG-test-service] quit [USG-test] quit 9. 配置VPNDB用户为user,密码为User1234。 10. [USG-test] vpndb [USG-test-vpndb] user user password User1234 User1234 11. 配置虚拟网关源IP策略,禁止IP网段为7.1.1.0/24的客户端访问虚拟网关。 12. [USG-test-vpndb] user user policy deny src-ip 7.1.1.0 255.255.255.0 13. [USG-test-vpndb] quit [USG-test] quit 结果验证 1. 企业员工在外部网络(非7.1.1.0/24网段)的IE浏览器中输入https://202.10.10.1,进入虚拟网关登录界面。 2. 输入在USG上配置的密码登录虚拟网关。显示界面如图2所示。 图2 虚拟网关客户端 3. 在“网络扩展”区域框中,单击“启动”,启用网络扩展功能后,客户端可以获取192.168.1.50/24~192.168.1.150/24范围内的IP地址,访问企业内网资源,同时访问Internet不受限制。
· 客户端第一次启用网络扩展功能时,客户端可能会收到虚拟网关发送的Active控件,需要按提示安装后才能正常使用网络扩展功能。 · 不同版本的虚拟网关会要求客户端安装不同版本的Active控件。当客户端访问不同版本虚拟网关时,请在访问新的虚拟网关前先将旧的Active控件删除,再安装新的Active控件,以免由于Active控件版本不一致导致网络扩展功能不可用。 以客户端为一台PC为例,执行以下命令来删除控件: PC> regsvr32 SVNIEAgt.ocx -u -s PC> del %systemroot%\SVNIEAgt.ocx /q PC> del %systemroot%\"Downloaded Program Files"\SVNIEAgt.inf /q PC> cd %appdata% PC> rmdir svnclient /q /s
|
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/2523.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
