H3C路由器SSLVPN 典型配置指导

2022-07-25 来源：客趣旅游网

SSL VPN配置举例

关键词：SSL、 WEB、VPN、 HTTPS、 TCP、 IP

摘要：本文简单描述了SSL VPN的特点，详细描述了SSL VPN的基本方法和详细步骤，给出

SSL VPN基本的配置案例。

缩略语：

缩略语

英文全名

中文解释

SSL Security Socket Layer 安全套接层 VPN HTTPS TCP IP

Virtual Private Network)

Hypertext Transfer Protocol Secure Transfer Control Protocol Internet Protocol, 网际协议

虚拟专有网络安全超文本传输协议传输控制协议网际协议

www.h3c.com.cn

SSL VPN配置举例

1 介绍.......................................................................................................................................1

1.1 特性简介......................................................................................................................1 1.2 特性关键技术点...........................................................................................................1 2 特性使用指南.........................................................................................................................2

2.1 使用场合......................................................................................................................2 2.2 配置指南......................................................................................................................2 2.3 配置步骤......................................................................................................................3

2.3.1 SSL VPN命令行基本配置..................................................................................4 2.4 注意事项......................................................................................................................4 3 支持的设备和版本..................................................................................................................4

3.1 使用的版本...................................................................................................................4 3.2 支持的设备清单...........................................................................................................5 4 配置举例................................................................................................................................5

4.1 组网需求......................................................................................................................5 4.2 物理连接图...................................................................................................................6 4.3 设备基本命令行配置....................................................................................................7 4.4 WEB业务典型配置举例................................................................................................7

4.4.1 超级管理员创建域，并设置域管理员初始密码...................................................7 4.4.2 登录h3c域........................................................................................................10 4.4.3 配置WEB业务资源...........................................................................................10 4.4.4 创建资源组，并把已配置的资源加入到资源组.................................................12 4.4.5 创建用户、用户组，并把资源组和用户组关联起来..........................................12 4.4.6 WEB业务验证结果...........................................................................................14 4.4.7 WEB业务故障排除...........................................................................................16 4.5 TCP业务典型配置举例...............................................................................................16

4.5.1 超级管理员创建域，并设置域管理员初始密码.................................................16 4.5.2 登录h3c域........................................................................................................16 4.5.3 配置TCP业务资源............................................................................................16 4.5.4 创建资源组，并把已配置的资源加入到资源组.................................................19 4.5.5 创建用户、用户组。并把资源组和用户组关联起来..........................................20 4.5.6 TCP业务验证结果............................................................................................20 4.5.7 TCP业务故障排除............................................................................................24

www.h3c.com.cn

SSL VPN配置举例

4.6 IP业务典型配置举例..................................................................................................24

4.6.1 超级管理员创建域，并设置域管理员初始密码.................................................24 4.6.2 登录h3c域........................................................................................................24 4.6.3 配置IP业务资源................................................................................................24 4.6.4 创建资源组，并把已配置的资源加入到资源组.................................................28 4.6.5 创建用户、用户组，并把资源组和用户组关联起来..........................................28 4.6.6 IP业务验证结果................................................................................................28 4.6.7 IP业务故障排除................................................................................................31 4.7 认证策略典型配置举例...............................................................................................31

4.7.1 Radius认证（其他认证服务器）......................................................................31 4.7.2 Radius认证（CAMS作为服务器）...................................................................35 4.7.3 LDAP认证........................................................................................................39 4.7.4 AD认证............................................................................................................43 4.7.5 USB-Key智能卡证书认证方式.........................................................................49 4.7.6 证书序列号与用户名绑定.................................................................................50 4.8 安全评估及动态授权配置举例....................................................................................52

4.8.1 安全评估..........................................................................................................52 4.8.2 动态授权..........................................................................................................52 4.9 其他特色功能.............................................................................................................53

4.9.1 批量导入用户帐户............................................................................................53 4.9.2 个性化设置......................................................................................................54 4.9.3 控制远程主机登录后访问外网功能...................................................................54 4.9.4 guest帐户功能................................................................................................57 4.9.5 证书管理功能...................................................................................................61

5 相关资料..............................................................................................................................62

5.1 相关协议和标准.........................................................................................................62 5.2 其它相关资料.............................................................................................................62

www.h3c.com.cn

SSL VPN配置举例

1 介绍

1.1 特性简介

SSL通信的工作原理:SSL（Security Socket Layer，安全套接层）协议的主要用途是在两个通信应用程序之间提供私密性和可靠性，这个过程通过握手协议、记录协议、警告协议来完成。

VPN（虚拟专用网）比租用专线更加便宜、灵活，越来越多的公司开始通过互联网等公共网络，采用VPN将公司总部和在家工作、出差在外、分公司员工以及合作伙伴连接到一起。

SSL VPN是一种新兴的VPN技术。SSL VPN指的是以SSL协议建立加密连接的VPN网络。SSL VPN考虑的是应用软件的安全性，其协议工作在传输层之上，保护的是应用程序与应用程序之间的安全连接，更多应用在Web 的远程安全接入方面。

SSL VPN系统用于实现对网络资源的细粒度的访问控制。在SSL VPN系统中，用户有三种方式可以访问资源：Web接入方式、TCP接入方式和IP接入方式。同时SSL VPN系统采用基于角色的权限管理方法，可以根据用户登录的身份，限制用户可以访问的资源。另外，SSL VPN系统通过安全策略的检查，来检测接入PC的安全性，进而实现动态分配用户可访问权限。SSL VPN网关支持Web管理，管理员可以使用Web浏览器来配置和管理SSL VPN系统。

H3C SecPath SSL VPN系统是一款采用SSL连接建立的安全VPN系统，该系统为企业移动办公人员提供了便捷的远程接入服务。H3C SecPath SSL VPN设备是面向企业用户开发的新一代专业SSL VPN设备，可以作为中小企业的入口网关，也可以作为中型企业的内部服务器群组的代理网关。

1.2 特性关键技术点

SSL VPN与传统VPN系统相比，有更好的易用性，无需用户配置、客户端免安装免维护、部署简单、安全性高、安全控制粒度大，极大地方便了企业的移动办公用户和网络管理。

第1页, 共65页

SSL VPN配置举例

2 特性使用指南

2.1 使用场合

随着INTERNET 的普及，在家办公和移动办公也开始兴起，大量的应用程序也迅速从C/S 结构向基于Web 的B/S 结构迁移；公司员工、客户以及合作伙伴在外出实时安全地访问公司的内部信息和应用程序。SSL VPN实现了在任何地方灵活远程访问内部网络和应用程序.

2.2 配置指南

H3C SecPath SSL VPN系统有以下三类用户角色：

a) 超级管理员：系统域的管理员。可以创建新的域，并初始化域的管理员密

码，给域授予资源组，并授权域是否能够创建新的资源。

b) 域管理员：SSL VPN域管理员。主要是对一个域的所有用户进行权限访

问限制。域管理员可创建和删除域的本地用户、用户组、资源、资源组和安全策略等。

c) SSL VPN用户：使用SSL VPN访问网络资源的用户。SSL VPN用户登录

时，需要通过SSL VPN网关对其进行认证。用户认证通过后，SSL VPN用户可以访问SSL VPN网关根据用户的安全状况、用户所属的用户组授权给用户的内网资源。

在配置之前需要先理清上面各角色之间，以及本地用户、用户组、资源、资源组之间的关系:

关系图如下:

第2页, 共65页

SSL VPN配置举例

图1 角色关系图

说明：

设备默认存在一个ROOT域，超级管理员可以创建域和资源，对于资源，一方面：超级管理员创建资源，指定资源属于哪个资源组，并把自己创建的ROOT域资源组授予某个域；另一方面：超级管理员授予域管理员是否能够创建新的资源的权限。

对于能够创建新的资源的域管理员，可以创建并维护自己的资源、资源组、本地用户及用户组，资源和资源组之间以及用户和用户组之间为多对多关系，即一个资源可以属于多个组，一个组可以拥有多个资源。通过配置关联资源组和用户组，制定哪些用户组可以访问哪些资源组，两组之间同样是多对多关系。

󰀉 说明：

除默认存在的根域外，当前产品仅支持创建一个域。

2.3 配置步骤

配置SSL VPN，需要配置以下内容：

命令行基本配置。

第3页, 共65页

SSL VPN配置举例

z z z

超级管理员界面相关功能配置。域管理员界面相关功能配置。普通用户界面配置。

󰀉 说明：

后面三种配置皆为WEB配置，此处就不列出配置步骤，直接举实例。

2.3.1 SSL VPN命令行基本配置

用户可在命令行进行基本配置，主要包括启动WEB服务器和SSL VPN服务。设备上需要做如下配置： (1) 启动Web服务器。 (2) 启动SSL VPN服务。

2.4 注意事项

图2 配置管理

¾ “配置管理”功能仅能在“超级管理员”视图以及“管理员”视图下实现，且超级管理员

web视图下没有“重启”功能；

¾ web上进行相关配置，配置完成后必须将“配置文件”保存，否则设备重启后，配置丢失； ¾ 可以把当前配置保存到“配置文件”和“备份文件”中； ¾ 如果想把“备份文件”替换为“配置文件”，选择“恢复”； ¾ 选择“重启”，则重启域，使新的配置文件生效。

3 支持的设备和版本

3.1 使用的版本

dis version

第4页, 共65页

SSL VPN配置举例

H3C Comware Software

Comware software, Version 3.40, Feature 1650

Without the owner's prior written consent, no decompiling nor reverse-engineering shall be allowed.

H3C SecPath V100-E uptime is 0 week, 0 day, 6 hours, 34 minutes

CPU type: Mips BCM1125H 600MHz 512M bytes DDR SDRAM Memory 16M bytes Flash Memory Pcb Version:2.0 Logic Version:1.0 BootROM Version:1.27

[SLOT 0] 4FE (Hardware)2.0, (Driver)2.0, (Cpld)1.0 [SLOT 2] SSL-CARD (Hardware)2.0, (Driver)3.3, (Cpld)1.0

3.2 支持的设备清单

内置SSL 加密卡的设备：Secpath V100-E

需选配外置加密卡的设备：Secpath F100-A、Secpath F100-E、Secpath F100-M、Secpath F1000-A、Secpath V1000-A、Secpath F1000-S

4 配置举例

4.1 组网需求

采用双臂模式：SSL VPN网关跨接在内网和外网之间，对内网的保护最完全。但是，此时也处在内外通讯的关键路径上，其性能和稳定性对内外网之间的数据传输有很大的影响。双臂模式的组网如下图所示：

第5页, 共65页

SSL VPN配置举例

图3 双臂方式SSL VPN 组网图

采用单臂模式：SSL VPN网关只相当于一台代理服务器，代理远程的请求，与内部服务器进行通讯。此时SSL VPN网关不处在网络通讯的关键路径上，不会造成单点故障。单臂模式的组网如下图所示：

图4 单臂方式SSL VPN 组网图

4.2 物理连接图

测试组网：

第6页, 共65页

SSL VPN配置举例

图5 测试组网图

4.3 设备基本命令行配置

2.1 SSL VPN相关配置

当前视图

[H3C] [H3C]

配置命令

system-viewsvpn service enableweb server enable

简单说明

进入系统视图启动SSL VPN服务启动Web服务器

4.4 WEB业务典型配置举例

4.4.1 超级管理员创建域，并设置域管理员初始密码

第一步：在地址栏中输入SSL VPN 网关连接外网的端口地址155.1.1.1：“https://155.1.1.1”，回车后，即可进入SSL VPN登录页面：（注意会弹出证书认证界面）

第7页, 共65页

SSL VPN配置举例

图6 安全告警（点击“是”）

使用缺省超级管理员帐户“administrator”以本地认证方式登录SSL VPN系统，在用户名栏输入“administrator”，密码栏输入“administrator”，身份下拉框选择“超级管理员”，单击<登录>按钮即可登录。如下图所示。

图7 SSL VPN登录页面

第二步：超级管理员创建域h3c，设置域管理员初始密码

在导航栏中选择“域管理”，进入域策略配置页面，单击<创建>按钮可以新建域，单击<配置>按钮可以对已有的域进行配置，

第8页, 共65页

SSL VPN配置举例

图8 创建域

创建域“h3c”，创建域时产生一个默认管理员“administrator”，此时只

要设置密码即可（如：123456）。注意上面提到超级管理员可以创建资源并授予所创建的域，也可以授权给域自己创建资源。此处超级管理员可以把已经创建的资源组授予了域，同时允许域h3c的管理员创建资源。

图9 域列表

第三步：超级管理员配置完成后，必须将“配置文件”保存，否则设备重启后，配置丢失；

第9页, 共65页

SSL VPN配置举例

图10 配置管理

󰀉 说明：

域管理员配置完成后，同样必须将“配置文件”保存，否则设备重启使配置丢失。

4.4.2 登录h3c域

此典型指导的资源都将以域中创建为例，此后所有工作都在独立域h3c 中完成。同超级管理员登录页面，输入缺省域管理员帐户以本地认证方式登录SSL VPN域h3c，在用户名栏输入“administrator”，密码“123456” （创建域时设置），身份选择“管理员”，单击<登录>按钮即可登录。

图11 域管理员登录

属于管理员用户组的用户为该域的管理员，所以管理员同时也是普通用户。如果管理员选择以“普通用户”身份登录，可以进入到该管理员的普通用户界面。在普通用户界面下，其可访问的资源，受域管理员组所拥有资源的限制。

4.4.3 配置WEB业务资源

4.4.3.1代理业务

Web网页是远程Web服务器提供的一种服务。SSL VPN的Web代理服务器为用户访问Web服务器提供了一种安全的链接方式，并且可以阻止非法用户访问受保

第10页, 共65页

SSL VPN配置举例

护的Web服务器。

在导航栏中选择“资源管理->Web网站”，进入Web代理服务器管理页面

图12 web代理映射表

创建WEB代理服务器资源：

图13 web代理服务配置

注意：

1、“站点名称”可以配置为ip地址，也可以配置为域名，配置为域名时必须在命令行下正确配置DNS 服务器。

2、站点匹配模式可以使用“模糊匹配”。此例中，站点匹配模式可以配置成

第11页, 共65页

SSL VPN配置举例

“tech.*”进行模糊匹配，保证下挂在同一网站下的网页能够完全正常使用。更明显的例子是需要访问www.sina.com.cn下的sports.sina.com.cn、news.sina.com.cn等网页，则只需在“站点匹配模式”下配置“*.sina.com.cn”。若需要增加多个模糊匹配条件，中间用“|”分隔即可。

4.4.4 创建资源组，并把已配置的资源加入到资源组

在导航栏中选择“资源管理->资源组”，进入资源组管理页面，单击<创建>按钮创建新的资源组。

输入资源组名“web”，将已配置资源 “tech”加入资源组“web”；单击<应用>完成操作。

图14 创建资源组

4.4.5 创建用户、用户组，并把资源组和用户组关联起来

在导航栏中选择“用户管理->本地用户”，进入本地用户页面，

第12页, 共65页

SSL VPN配置举例

图15 创建用户

图16 用户列表

在导航栏中选择“用户管理->用户组”，进入用户组页面，单击<创建>按钮创建新的用户组。

输入用户组名“share”。

第13页, 共65页

SSL VPN配置举例

z z

将用户“user1” 加入用户组。

将资源组“web”、“tcp”、“ip” 赋予用户组share。

单击<应用>完成操作。

图17 创建用户组

此时用户组“share”中用户“user1”可以访问资源组“web”、“tcp”、“ip”中的所有资源。

4.4.6 WEB业务验证结果

(1) 普通用户登录

打开用户登录界面，在“用户名”框中输入管理员分发的用户名（“user1”）。在“密码”框中输入密码。“身份”为 “普通用户”，单击<登录>按钮即可登录。

第14页, 共65页

SSL VPN配置举例

图18 普通用户登录界面

图19 普通用户登录首

第15页, 共65页

SSL VPN配置举例

图20 可访问web类资源

(2) 远程用户成功访问WEB代理业务

例如:WEB资源 “tech”，点击即可打开页面，且URL成功替换：https://155.1.1.1/svpn/proxy /27346944/

图21 web代理访问

4.4.7 WEB业务故障排除

4.5 TCP业务典型配置举例

4.5.1 超级管理员创建域，并设置域管理员初始密码

参照WEB业务典型配置举例

4.5.2 登录h3c域

参照WEB业务典型配置举例

4.5.3 配置TCP业务资源

4.5.3.1 远程访问服务

远程访问服务是一类服务的总称， SSL VPN使用SSL加密技术，将这些在Internet上以明文方式传输的服务通过SSL来进行加密，保证了数据传输的安全性。

第16页, 共65页

SSL VPN配置举例

在导航栏中选择“资源管理->TCP应用”，进入远程访问服务配置页面，单击<创建>按钮可以新建远程访问服务资源，

图22 远程访问服务资源

注意：“命令行”配置： telnet “本机主机”，此处“本机主机”是指用来连接远端主机的本地监听地址，可以配置为本地环回地址(127.0.0.2-127.0.0.254；当本地主机可以修改host文件时，也可以配置为字符串；)。 4.5.3.2 Windows桌面共享

在导航栏中选择“资源管理->TCP应用”，进入桌面共享配置页面，单击<创建>按钮可以新建windows桌面共享资源。

第17页, 共65页

SSL VPN配置举例

图23 Windows桌面共享资源

4.5.3.3 Outlook邮件服务

标题栏中的“资源管理->TCP应用”页签，进入电子邮件服务资源配置页面，单击<创建>按钮新建Outlook邮件服务资源，

图24 Outlook邮件服务资源

第18页, 共65页

SSL VPN配置举例

4.5.3.4 Notes邮件服务:

单击标题栏中的“资源管理->TCP应用”页签，进入Notes邮件服务资源配置页面，单击<创建>按钮新建Notes邮件服务资源，且配置“本地地址”必须为数据库的实际地址或真实域名。

图25 Notes邮件服务资源

4.5.3.5 通用应用程序服务

导航栏中选择“资源管理->TCP应用”，进入TCP服务配置页面，单击<创建>按钮可以新建通用应用程序服务资源：

图26 通用应用程序服务

注意：服务资源中命令行配置explorer http://aa，客户登录后直接点击即可访问。

4.5.4 创建资源组，并把已配置的资源加入到资源组

参照WEB业务典型配置举例

第19页, 共65页

SSL VPN配置举例

4.5.5 创建用户、用户组。并把资源组和用户组关联起来

参照WEB业务典型配置举例

4.5.6 TCP业务验证结果

(1) 普通用户user1 登录后.默认启动TCP 客户端，可以通过“信息”查看端口监

听情况。

第20页, 共65页

SSL VPN配置举例

图27 TCP接入状态

图28 TCP端口监听

(2) 普通用户登录后，出现所有TCP可访问资源。

第21页, 共65页

SSL VPN配置举例

图29 TCP应用类可访问资源

(3) 点击TCP应用类资源“telnet远程访问”，即可telnet到远程设备上

图30 telnet远程访问

(4) 点击TCP应用类资源“Win桌面共享”，即可登录到远程主机上

第22页, 共65页

SSL VPN配置举例

图31 Win桌面共享

(5) TCP应用类资源“POP3-A”，“SMTP-A”的使用，需要在客户机Outlook

的pop3和smtp服务器地址里进行配置，分别为资源 “POP3-A”，“SMTP-A”，通过用户名密码登录，即可正常处理邮件。

图32 Outlook 邮件服务器配置

第23页, 共65页

SSL VPN配置举例

(6) TCP应用类资源“通用应用资源”，在资源里直接点击即可访问该资源。

图33 通用应用http访问

4.5.7 TCP业务故障排除

1. TCP资源配置时，命令行可不填写，如果填写，必须为操作系统可识别的命令； 2. TCP业务下，客户端要成功访问邮件需要配置Outlook后才能使用。且邮件服务使用SMTP和POP3这两个端口通信，所以还需要创建两条资源；

3. 不同的操作系统的应用程序位置不一样。

4.6 IP业务典型配置举例

4.6.1 超级管理员创建域，并设置域管理员初始密码

参照WEB业务典型配置举例

4.6.2 登录h3c域

参照WEB业务典型配置举例

4.6.3 配置IP业务资源

SSL VPN网络服务访问提供了IP层以上的所有应用支持。用户不需要关心应用的种类和配置，仅通过登录SSL VPN，即可自动下载并启动ActiveX SSL VPN客户端程序，然后便可以安全访问特定主机的所有服务。SSL VPN可以保证用户与

第24页, 共65页

SSL VPN配置举例

服务器间的通讯安全。 4.6.3.1 全局配置

在导航栏中选择“资源管理->IP网络”，标签栏中选择“全局配置”，进入全局配置页面，

图34 IP全局配置

注意：“起始IP”、“结束IP”为当客户端登录后，设备分配给客户端的虚地址网段。“网关地址”为客户端访问指定网络资源时的默认网关。内部接口为网关与内网相连的接口。内部接口的指定主要是为了简化配置，自动在内部接口上配置NAT，而不需要在其他内网设备上添加路由。上述配置为必须配置，“基本信息配置”中的各字段则可根据需要进行配置。 4.6.3.2 用户ip 绑定

在导航栏中选择“资源管理->IP网络”，标签栏中选择“全局配置->用户IP绑

第25页, 共65页

SSL VPN配置举例

定”，进入全局配置页面，如图所示。

图35 用户IP绑定列表

4.6.3.3 主机配置

在导航栏中选择“资源管理->IP网络”，进入主机配置页面，如图所示。单击<创建>按钮，输入主机资源名称，单击<应用>按钮创建一个主机资源，

第26页, 共65页

SSL VPN配置举例

图36 主机配置资源及允许访问的网路等

第27页, 共65页

SSL VPN配置举例

注：“允许访问的网络服务”和“快捷方式”在编辑区配置完后，需要点击“添加”，另外IP网络，可以进行各种业务的快捷方式访问：ping、ftp、文件共享等。

4.6.4 创建资源组，并把已配置的资源加入到资源组

4.6.5 创建用户、用户组，并把资源组和用户组关联起来

参照WEB业务典型配置举例

4.6.6 IP业务验证结果

(1) 普通用户user1 登录后.默认启动IP 客户端，通过查看客户端数据判断启动情

况。

第28页, 共65页

SSL VPN配置举例

图37 IP客户端状态

(2) 普通用户登录后，出现IP可访问资源

图38 可访问 IP网络类资源

第29页, 共65页

SSL VPN配置举例

(3) 点击快捷命令“ping h3c-security”，直接可以ping通远端网络：

快捷方式ping访问

(4) 点击快捷命令“ftp h3c-security”，直接可以ftp远端ftp 服务：

图39 快捷方式ftp访问

(5) 查看虚网卡地址是否已经获取地址和路由：

图40 虚网卡获取地址情况

第30页, 共65页

SSL VPN配置举例

图41 虚网卡获取路由情况

4.6.7 IP业务故障排除

1. 快捷方式命令相当于在Windows的命令行中输入命令。

2. 特别注意转义字符\"\\\"，由于页面的Javascript脚本和Windows系统分别进行了一次转义，因此输入\"\\\\\\\\\"只相当于在命令行中输入\"\\\"。比如共享文件夹的快捷方式，输入\"explorer

\\\\\\\\\\\\\\\\10.154.2.100\"，相当于在命令行中输入\"explorer \\\\10.154.2.100\"。前面的explorer表示是系统通过客户端的默认浏览器来访问内网资源，如\"explorer ftp://10.154.2.100\"是通过浏览器来打开FTP。

3. 客户端获得虚网卡地址和路由，所访问远程资源上必须配置到虚网地址回来的路由。

4.7 认证策略典型配置举例

4.7.1 Radius认证（其他认证服务器）

4.7.1.1 功能简述

SSL VPN 远程用户通过RADIUS系统进行认证功能。

4.7.1.2 操作步骤 A. B. C.

在导航栏中选择“域管理->认证策略管理”，进入认证策略管理页面；选择“RADIUS认证策略”标签，进入“配置RADIUS认证策略”页面。配置“主服务器地址”为192.168.96.15、“认证端口”为1645、“共享密钥”为123456等参数；

选中“是否启动认证”。

4.7.1.3 RADIUS认证验证结果

远程客户“usera@radius.h3c”登录后，能够看到各类资源，并能够成功访问远程

第31页, 共65页

SSL VPN配置举例

服务器上。

说明：当默认为radius 认证时，直接通过“usera”登录。

4.7.1.4 服务器配置步骤

目前应用的RADIUS 服务为：“shiva access manager” 1．首先安装：shiva access manager

2．安装后，在安装目录c:\\radtac\\ 下，找到AVDICT.DAT文件，添加“SSL-VPN-GROUP”的属性（ATTRIBUTE SSL-VPN-GROUP 140 string Huawei）。或用

此AVDICT[1].TXT文件替代原来的。 3．配置shiva access manager

打开shiva access manager，一般为试用版，输入用户名：supermanager

配置NAS 地址。即：SSL VPN 网关地址：192.168.96.22 密码：123456

第32页, 共65页

SSL VPN配置举例

配置认证端口：1645

添加用户：usera 密码：123456

第33页, 共65页

SSL VPN配置举例

重点：

1．选择已经配置的用户：usera 2．在属性列插入行

3．在属性列表选择：Attributes :SSL-VPN-GROUP

4．在值列表选择填写：usergroup (域管理员必须已经配置，或者存在),对于多用

户组的情况，用户组名间必须用“；”分隔。 5．点击：“Commit Change”

第34页, 共65页

SSL VPN配置举例

4.7.2 Radius认证（CAMS作为服务器）

4.7.2.1 功能简述

我司的CAMS （全称综合访问管理服务器），提供了强大的用户认证、计费和管理平台。目前SSL VPN与CAMS的联动仅是利用CAMS的RADIUS认证功能。 4.7.2.2 操作步骤 A. 配置前提

本文只描述SSL VPN与CAMS联动相关的配置，假定其他SSL VPN基础配置（如命令行配置、域配置、资源、资源组配置等）已经配置成功，不再详述。 B. 登录网关进行RADIUS服务器配置

第一步：启动SSL VPN web server和svpn服务。地址栏输入网关地址https://155.1.1.1 ，以域管理员身份登录SSL VPN网关。

第二步：登录网关后，在导航栏选择“域管理->认证策略管理”，标签选择“RADIUS认证策略”，进行相应配置：

第35页, 共65页

SSL VPN配置举例

RADIUS配置页面

注意：主服务器地址、认证端口、共享密钥等是必配项；并选择是否启动认证；

服务器的状态请选择active，否则RADIUS服务器处于禁止状态；用户名格式为不含域名，系统默认；

是否需要证书认证项是可选项，一旦启用证书认证必须保证证书的合法性，否

则会导致认证失败。 C. 用户组配置：

第一步：选择导航栏“用户管理->用户组”，创建一个用户组，并赋予该组相应的资源：

第36页, 共65页

SSL VPN配置举例

创建用户组页面

注意：当与CAMS（或其他RADIUS、LDAP、AD服务器）认证时，只需要关注用户组信息即可，而列表中的用户为本地用户，与上述认证无关，所以截图没有添加用户。

D. CAMS作为RADIUS 服务器最关键的配置为：在服务配置时“下发用户组（SSL

VPN专用）”为：group_1 和SSL VPN 网关上必须存在此用户组。

第37页, 共65页

SSL VPN配置举例

4.7.2.3 CAMS服务器联动验证结果

A. 用户登录SSL VPN网关认证，登录名为CAMS服务器配置的用户，如果网关默认为本

地认证，用户名要增加后缀@radius.h3c（h3c为已经配置的SSL VPN域）；如果网关默认为RADIUS认证，直接输入用户名即可。在SSL VPN网关“域管理－>域策略管理”页面可以配置默认认证方式。 B. 默认登录方式配置

C. 使用CAMS的帐号用户登录网关：

D. 帐号用户登录SSL VPN

E. user1是经过CAMS认证的用户，可以成功登录SSL VPN网关，访问属于自己的资

源。

4.7.2.4 CAMS服务器配置具体步骤

注意：具体CAMS 配置细节参看文档：

第38页, 共65页

SSL VPN配置举例

SSL VPN与CAMS联动配置指导.doc

4.7.3 LDAP认证

4.7.3.1 功能简述

测试SSL VPN 远程用户通过LDAP系统进行认证功能。

4.7.3.2 A. B. C.

操作步骤

在导航栏中选择“域管理->认证策略管理”，进入认证策略管理页面；选择“LDAP认证策略”标签，进入“配置LDAP认证策略”页面。

配置“LDAP服务器地址”、“端口”、“用户组LDAP属性”、“版本”等参数；

使用模板查询用户DN：

注意：“用户DN模板”配置为：“cn=%logon%,dc=vpn-domain,dc=com” E.

使用查询检查用户DN：

第39页, 共65页

SSL VPN配置举例

注：“用户查询DN”填写：“cn=manager,dc=vpn-domain,dc=com”； “密码”填写：“123456”；

“搜索库DN” 填写：“dc=vpn-domain,dc=com”； “搜索查询模板”填写：“%logon%”。 F.

选中“是否启动认证” 󰀉 说明：

“使用模板查询用户DN”和” 使用查询检查用户DN”两种模式只能选取一个。

4.7.3.3 LDAP认证验证结果

远程客户“usera@ldap.h3c”登录后，能够看到各类资源，并能够成功访问远程服务器上。

说明：当默认为ldap 认证时，直接通过“usera”登录。

第40页, 共65页

SSL VPN配置举例

4.7.3.4 服务器配置步骤：

目前应用的ldap服务器为LINUX服务器下的openldap,在安装linux系统时，选择安装全部组件，然后直接启动该服务器即可。openldap服务器进程为slapd。Openldap详细配置过程如下：

1）在/etc/openldap/目录下的slapd.conf文件是ldap服务器进程启动的配置文件，打开该配置文件，在文件中找到以下内容行：

红色框包围的部分是ldap服务器根目录。可以修改为我们自己的目录。如dc=vpn-domain,dc=com。蓝色框包围的部分是ldap服务器缺省管理员DN和密码也可以修改为vpn系统特有的，如cn=vpn-manager,dc=vpn-domain,dc=com。打开rootpw前面的屏蔽开关“#”可以选择以明文或密文方式保存管理员密码。该密码也可以修改。

2）添加用户。Ldap中的用户是以树型目录存储的。可以通过建立各级目录建立复杂的用户存储结构。添加ldap记录有多种方式，推荐使用文件添加方式，即创建“*.ldif”文件，文件内容为要添加的记录。采用这种方式可以批量添加用户。首先建立根目录，即dc=vpb-domain,dc=com。创建root.ldif，内容格式为: dn: dc=vpn-domain,dc=com objectClass: dcObject objectClass: organization dc:vpn-domain o:Corporation

description: Corporation

然后采用以下命令ldapadd -x –D “cn=Manager,dc=vpn-domain,dc=com” –w “secret” –f root.ldif，出现以下字样说明添加成功

第41页, 共65页

SSL VPN配置举例

添加用户。创建user.ldif，内容为： dn: cn=usera,dc=vpn-domain,dc=com objectClass: person cn:usera sn:usera

description: usergroup

然后采用以下命令ldapadd -x –D “cn=Manager,dc=vpn-domain,dc=com” –w “secret” –f user.ldif,出现以下字样说明添加成功。

然后使用ldapsearch –x –b “dc=vpn-domain,dc=com”命令可以查看ldap服务器中的信息。

上述描述中，利用了ldap一个自有属性description当作我们的用户组属性。在实际应用中视客户需要可以添加自定义用户组属性。

第42页, 共65页

SSL VPN配置举例

4.7.4 AD认证

4.7.4.1 功能简述

测试SSL VPN 远程用户通过AD系统进行认证功能。

4.7.4.2 操作步骤 A. B. C. D. E. A.

在导航栏中选择“域管理->认证策略管理”，进入认证策略管理页面；选择“AD认证策略”标签，进入“配置AD认证策略”页面。配置“AD域名”、“AD服务器地址”；管理员帐号、管理员密码选择用户名格式选中“是否启动认证”。

4.7.4.3 AD认证验证结果

远程客户“usera@ad.h3c”登录后，能够看到各类资源，并能够成功访问远程服务器上。

说明：当默认为ad 认证时，直接通过“usera”登录。

4.7.4.4 服务器配置步骤：

目前一般采用Windows 2000 Server及以上版本的目录服务，其中配置用户组必须已经存在。

1．管理工具---〉Active Directory 用户和计算机：

第43页, 共65页

SSL VPN配置举例

2．新建用户：

3．配置用户：“usera”

第44页, 共65页

SSL VPN配置举例

4．配置密码：“Mm123456”

第45页, 共65页

SSL VPN配置举例

5.新建组：

6．配置组：“usergroup”―――域管理员必须配置此用户组。

7．点击“组”属性，选择“成员”标签，选择“添加”：

第46页, 共65页

SSL VPN配置举例

8.进入“选择用户、联系人、计算机或组”配置窗口：

9．输入用户“usera”，点击“检查名称”，则把用户“usera”加入用户组

第47页, 共65页

SSL VPN配置举例

“usergroup” ，点击“确定”。

10．回到“usergroup 属性”窗口，“成员”标签窗口中，存在用户“usera”。

第48页, 共65页

SSL VPN配置举例

4.7.5 USB-Key智能卡证书认证方式

4.8.5.1 功能简述

远程客户通过USB-Key智能卡保存证书，进行登录证书认证。 4.8.5.2 操作步骤 A. B. C. D. E.

在导航栏中选择“域管理->认证策略管理”，进入认证策略管理页面；选择“本地认证策略”，进入“配置本地认证策略”页面；

用户由域管理员创建，并加入用户组，授权可访问哪些资源；（参照1.3.1.3）必须选中“是否需要证书认证”。

远程用户登录前，先插上已经导入P12格式的证书USB-Key智能卡，安装其驱

动。（在USB-Key智能卡中能够看到Publickey和Privatekey，可查看证书内容）

第49页, 共65页

SSL VPN配置举例

4.8.5.3 USB-Key智能卡证书认证验证结果

远程用户插入USB-Key智能卡，且USB-Key智能卡中证书和SSL VPN 网关证书属于同一CA 服务器。

远程用户登录成功。此时证书不是从IE中读取，而是从USB-Key智能卡中读取。 4.8.5.4 注意事项

4.7.6 证书序列号与用户名绑定

4.8.6.1 功能简述

测试证书序列号与用户名绑定功能，此功能保证了证书和用户名的对应性，提供更加安全的访问机制。 4.8.6.2 操作步骤

A. 在导航栏中选择“用户管理->本地用户”，进入本地用户页面，创建用户“tcm”； B. 选择“本地认证策略”，进入“配置本地认证策略”页面，必须选中“是否需要证书认

证”；

C. 在“配置用户”页面配置“密码”为：123456，“序列号”：

747407e2000100000540 ，“状态”为：允许，并把用户加入到某个群组；远程用户“tcm”以“序列号”为747407e2000100000540 的证书登录，得到结果A。

D. 在“配置用户”页面修改 “序列号”：848408e2000100000540 ，此序列号为其他证

书序列号；远程用户“tcm”仍然以“序列号”为747407e2000100000540 的证书登录，得到结果B。

第50页, 共65页

SSL VPN配置举例

E. 在“配置用户”页面配置“密码”为：123456，“序列号”：

747407e2000100000540 ，“状态”为：禁止；远程用户“tcm”仍然以“序列号”为747407e2000100000540 的证书登录，得到结果C。 4.8.6.3 证书序列号与用户名绑定验证结果 A. “tcm”用户登录成功。

B. “tcm”用户无法登录成功，提示“客户端证书不是用户绑定的合法证书”。

C. “tcm”用户无法登录成功，域管理员达到控制用户登录目的。 4.8.6.4 注意事项 A. B. C. D.

只有在管理员启用“是否需要证书认证”时，生效；目前仅支持本地认证；

绑定证书的用户所能访问资源权限仍然由用户名决定。

此处的：“序列号”必须是用户“tcm”访问时应用证书的序列号。

第51页, 共65页

SSL VPN配置举例

4.8 安全评估及动态授权配置举例

4.8.1 安全评估

4.8.1.1 功能简述

SSL VPN 对主机系统的安全评估。

4.8.1.2 操作步骤 A.

导航栏中选择“域管理->安全策略管理”，进入安全策略管理页面，单击<创建>按钮；

在“创建安全策略配置”页面配置“名称”为a1、“级别”为1及各个检测对象“OS”、“浏览器”、“防毒软件”、“防火墙”等的检测项内容；此测试项以配置“浏览器”为例：检查IE版本>=6.0

C. D.

添加适当描述：“最低级别！”

在“创建安全策略配置”页面配置“名称”为a10、“级别”为10及各个检测对象“OS”、“浏览器”、“防毒软件”、“防火墙”等的检测项内容；此测试项以配置“OS”、“浏览器”为例：检查OS版本为Windows XP Professional，IE版本为>=7.0

添加适当描述：“最高级别！”

4.8.1.3 安全评估验证结果

安全策略配置成功。

4.8.1.4 注意事项

A. 数字越大，优先级越高；

B. 安全策略行匹配是“与”关系，即全部匹配；

C. 检测类之间是与的关系，即每个检测类都满足时，才能认为符合该安全评估策

略；

D. 每个检测类中包含多个检测对象，检测对象之间是或的关系，即客户端只要符

合一个检测对象的要求，就认为该检测类被符合。

4.8.2 动态授权

4.8.2.1 功能简述

SSL VPN 根据对远程主机安全状况的评估，对不同级别用户动态分配不同资源。

第52页, 共65页

SSL VPN配置举例

4.8.2.2 测试步骤 A.

在安全评估基础上，即：创建安全策略后，点击“应用”回到安全策略列表页面，分别为不同级别安全策略分配资源。 B.

选中某一策略，点击“配置资源”进入配置界面，此界面包括所有资源：“门户网站”、“应用程序访问”、“IP”；

C. a1安全策略仅分配“门户网站”，a10 安全策略分配全部资源。 D.

在导航栏中选择“域管理->域策略管理”，进入域策略配置页面，选择“启用安全策略”点击“应用”。

4.8.2.3 动态授权验证结果

A. 远程客户主机为：“Windows XP Professional，IE版本为>=6.0”，所以仅符合a1安

全策略，仅能访问“门户网站”； B.

远程客户“user1”登录后，仅能够看到“可访问Web类资源”中业务。

4.8.2.4 注意事项

A. 级别高的赋予的资源多，级别低的赋予的资源少；

B. 客户端登录后先匹配级别高的，如果匹配上则终止；如果匹配不上则匹配级别低的。

4.9 其他特色功能

4.9.1 批量导入用户帐户

4.9.1.1 功能简述

测试批量导入本地用户帐号功能

4.9.1.2 测试步骤

A. 首先创建用户：在导航栏中选择“用户管理->批量导入”，进入帐号批量导入页面； B. 点击“浏览”查询文本文件“批量导入.txt”，选择该文件后按“导入”。 4.9.1.3 批量导入本地用户帐号验证结果 A. 提示“批量配置用户成功”；

B. 在导航栏中选择“用户管理->本地用户”，可以查看到文本文件中的所有用户都已经导

入成功。

第53页, 共65页

SSL VPN配置举例

4.9.1.4 注意事项

A. 批量导入文件“批量导入.txt”的内容： user11 123456

user12 123456 user13 123456 user14 123456

B. 目前只能导入创建用户名和密码，用户名和密码之间使用Table键隔开。

4.9.2 个性化设置

4.9.2.1 功能简述

测试根据用户习惯定制Logo风格和页面标题功能。

4.9.2.2 测试步骤

A. 在导航栏中选择“设备管理->个性化定制”，进入个性化定制页面； B. 配置“页面标题”为“Hangzhou H3C Technologies Co.,Ltd”； C. 上传“用户主页标识图像”，通过“浏览”选择图像，点击“更新”。 4.9.2.3 用户定制功能验证结果

A. 操作提示：“更新成功”

B. 远程客户“user1”登录后。查看“页面标题”，“用户主页标识图像”已经更

新。

4.9.2.4 注意事项

“用户主页标识图像”选择图片大小有限制。

4.9.3 控制远程主机登录后访问外网功能

4.9.3.1 功能简述

测试域管理员控制远程用户登录后，访问VPN同时是否仍能够访问Internet网络。 4.9.3.2 测试步骤

A. B.

“IP网络管理->全局配置”，进入全局配置页面

配置IP地址池，包括：起始IP：10.10.10.2、结束IP：10.10.10.100、子网掩码：255.255.255.0、网关：10.10.10.1等； C.

在导航栏中选择“IP网络管理->主机配置”，进入主机配置页面。

第54页, 共65页

SSL VPN配置举例

D. 单击<创建>按钮，输入主机资源名称为“iphost”，单击<应用>按钮创建一个主机资源，然后选中该条资源，单击<配置>按钮，配置主机资源，包括：“允许访问的网络服务”、“路由信息表”、“快捷方式列表”。

E. 允许访问的网络服务中配置“目的地址”为“192.168.0.0”、“子网掩码”为“255.255.0.0”、“协议类型”为“all”；

F. 快捷方式列表中配置“快捷方式名称”为ping，“快捷方式命令”为ping 192.168.96.21；

G. “IP网络管理->全局配置”，选择“只允许访问VPN”，远程用户登录后得到结果A。

“IP网络管理->全局配置”，不选择“只允许访问VPN”，远程用户登录后得到结果B

4.9.3.3 验证结果

第55页, 共65页

远程用户登录后，默认网关为：10.10.10.1，仅可以访问VPN；

SSL VPN配置举例

远程用户登录后，获取默认网关为空。查看路由，默认网关为原来的，此时访问VPN同时还可以访问Internet网络。

第56页, 共65页

SSL VPN配置举例

4.9.3.4 注意事项

4.9.4 guest帐户功能

4.9.4.1 功能简述

测试默认guest帐户功能，此帐户为系统默认给出，远程用户可以用guest进行登录，且无须输入密码，此guest用户可以多个用户同时登录，登录数量由超级管理员创建域时指定。域管理员具有允许和不允许权限。 4.9.4.2 测试步骤

A. 地址栏输入：https://155.1.1.1，进入登录界面；

B. 在用户名栏输入“administrator”，密码栏输入“administrator”，身份下拉框选择“超级管理员”，点击登录；

C. 在导航栏中选择“域管理->域策略管理”，进入域策略配置页面，单击<创建>按钮可以新建域：h3c，并设置域管理员初始密码：123456，guest帐号登录用户数：10。

第57页, 共65页

SSL VPN配置举例

D. 创建后进行保存。

E. 在用户名栏输入“administrator”，密码栏输入“123456”，身份下拉框选择“管理员”，点击登录；

F. 在导航栏中选择“用户管理->用户组管理”，进入用户组页面，选择“guest”组，单击<配置>按钮则配置guest用户组，从“资源组列表”中选择资源添加到“添加的资源”，从“用户列表”中选择用户添加到“添加的用户”，这样在guest组中的添加的这些用户拥有了对这些添加的资源的访问权限。

第58页, 共65页

SSL VPN配置举例

G. 在导航栏中选择“用户管理->本地用户”，进入本地用户页面，选择“guest”用户，单击<配置>按钮则配置guest用户，“状态”栏选择“允许”时，远程用户登录则得结果A，选择“禁止”时，远程用户登录则得结果B。

第59页, 共65页

SSL VPN配置举例

H. 10个用户同时采用“guest”用户名登录，得结果C。 4.9.4.3 验证结果

A. “guest”用户登录成功。

第60页, 共65页

SSL VPN配置举例

B. “guest”用户无法登录成功，提示“本地用户状态处于非使能状态”。

C. 10个“guest”用户同时登录成功。 4.9.4.4 注意事项

4.9.5 证书管理功能

4.9.5.1 功能简述

用户可以将系统缺省的CA证书替换为用户的证书，并对证书进行管理。

4.9.5.2 测试步骤

在“域管理员”视图下，导航栏中选择“域管理-> 基本配置 ->证书管理”进入证

书管理页面；

A. 首先导入CA证书；在“导入CA证书”项“浏览”选择要导入的CA证书后点击“更

新”；

第61页, 共65页

SSL VPN配置举例

B. 然后导入本域证书，在“导入本域证书”项中，先输入要选择证书的保护密码，再通过

“浏览”选择导入的本域证书后点击“更新”；

C. 最后对CRL进行配置；通过“配置CRL的URL”配置发布CRL的地址，在“更新

CRL的周期”中配置CRL的获取更新周期，通过勾选“使能CRL检查”来选择是否使能CRL检查；最后点击“应用”按钮提交请求。 4.9.5.3 证书管理功能验证结果 A. 提示“导入CA证书成功”； B. 提示“导入域证书成功”； C. 提示“设置CRL参数成功”； 4.9.5.4 注意事项

页面中都对证书格式及注意事项进行了详尽的说明，请严格按页面说明进行操作。

5 相关资料

5.1 相关协议和标准 5.2 其它相关资料

《SecPath SSL VPN超级管理员配置手册》《SecPath SSL VPN管理员使用手册》《SecPath SSL VPN用户使用手册》

第62页, 共65页

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文

全部栏目

H3C路由器SSLVPN 典型配置指导