组网需求
企业网络如图1所示,企业希望公司外的移动办公用户能够通过SSL VPN隧道访问公司内网的各种资源 。
图1 移动办公用户使用SecoClient通过SSL VPN隧道访问企业内网
文章插图
数据规划
数据
接口
接口号:GigabitEthernet 0/0/1
IP地址:1.1.1.1/24
安全区域:Untrust
GigabitEthernet 0/0/2
IP地址:10.1.1.1/24
安全区域:Trust
虚拟网关
虚拟网关名称:sslvpn
接口:GigabitEthernet 0/0/1
最大用户数:150
最大用户在线数:100
移动办公用户
用户名:user0001
密码:Password@123
网络扩展
网络扩展地址池:172.16.1.1~172.16.1.100
说明:
若内网服务器IP地址与网络扩展地址池的IP地址不在同一网段,需要在内网服务器上配置到网络扩展地址池的路由 。
路由模式:手动
网络扩展用户可访问的内网网段:10.1.2.0/24
操作步骤
配置FW 。
1. 配置接口IP地址和安全区域,完成网络基本参数配置 。
a. 选择“网络 > 接口” 。
b. 单击GE0/0/1对应的修改图标,按如下参数配置 。
untrust
IPv4
IP地址
1.1.1.1/24
启用访问管理
HTTPS、Ping
c. 单击“确定” 。
d. 参考上述步骤按如下参数配置GE0/0/2接口 。
trust
IPv4
IP地址
10.1.1.1/24
启用访问管理
HTTPS、Ping
2. 配置安全策略 。
a. 选择“策略 > 安全策略 > 安全策略” 。
b. 单击“新建”,按如下参数配置从Untrust到Local的安全策略,允许移动办公用户登录SSL VPN虚拟网关 。
sslvpn_ul
源安全区域
untrust
目的安全区域
local
服务
https, udp
说明:
如果修改了https端口号,则此处建议按照修改后的端口号开放安全策略 。
动作
允许
c. 单击“确定” 。
d. 参考上述步骤配置从Untrust到Trust的域间策略 。
sslvpn_ut
源安全区域
untrust
目的安全区域
trust
源地址/地区
172.16.1.0/24
目的地址/地区
10.1.2.0/24
动作
允许
3. 配置到Internet的路由 。
假设FW通往Internet的路由下一跳的IP地址为1.1.1.2 。
a. 选择“网络 > 路由 > 静态路由” 。
b. 单击“新建”,按如下参数配置 。
0.0.0.0/0.0.0.0
下一跳
1.1.1.2
c. 单击“确定” 。
4. 创建用户和用户组 。
a. 选择“对象 > 用户 > default” 。
b. “场景”选择“SSL VPN接入”,“用户所在位置”选择“本地” 。
文章插图
c. 单击“新建”,选择“新建用户组”,创建research用户组 。
文章插图
d. 单击“确定” 。
e. 单击“新建”,选择“新建用户”,创建用户user0001,密码Password@123 。
文章插图
f. 单击“确定” 。
g. 单击“应用” 。
5. 创建并配置SSL VPN虚拟网关 。
a. 配置SSL VPN虚拟网关 。
设置网关IP地址、用户认证方式和最大并发用户数等参数,然后单击“下一步” 。
文章插图
b. 配置SSL的版本以及加密套件,然后单击“下一步” 。
此处使用缺省算法即可 。
c. 选择要开启的业务,然后单击“下一步” 。
文章插图
d. 配置网络扩展,然后单击“下一步” 。
文章插图
e. 配置SSL VPN的角色授权/用户 。
推荐阅读
- 华为|新一代画质技术加持 华为智慧屏V75 Pro今日首销优惠千元
- 怎么关闭win 10系统的防火墙,win10系统怎么彻底关闭防火墙-
- 华为手机怎么开空调?
- 华为mate10能不能升级鸿蒙系统?华为mate10可以升级鸿蒙系统吗
- 华为mate40e和华为mate40pro区别,华为mate40pro和40e哪个更好-_1
- 5G|4G秒变5G!给华为P50 Pro做5G手机壳的背后公司:连收三个涨停板
- 华为|70寸屏幕搬上车!上汽飞凡R7首搭华为AR-HUD:分辨率业界第一
- 华为|799元的5G手机壳:华为的大救星?
- 华为|仅7.5g比一对耳机更轻!华为推出首款专业运动传感器S-Tag
- 华为|华为5G手机壳还有其他机型 或与Mate50系列一同发布