SSL vpn远程接入配置实验

一、实验目的

实验目的：在防火墙FW1上进行命令行和图形化界面配置，实现远端用户通过SSLVPN访问服务端，本实验主要实现通过SSLVPN网络扩展模式下远端用户访问服务器

二、基本配置

（一）如图所示配置接口地址

（二）将防火墙g1/0/0加入untrust区域，g1/0/1加入trust区域

（三）cloud1连接虚拟机，cloud2连接网页配置端

修改网管页面超时时间

FW1\]web-manager timeout 1440 三、详细配置 （一）新建SSLVPN网关 \[FW1\]v-gateway SSL_GW interface g1/0/0 private （二）配置SSLVPN网络扩展模式，选择路由模式为手动路由模式  （三）在默认用于域中采用SSL VPN接入场景新建用户组OA和用户user（密码为Huawei@123）  （四）在SSL VPN配置角色授权用户中新建角色授权列表，新建角色role并关联新创建的默认域中OA用户组并使用网络扩展业务场景   #\*\*\*\*BEGIN\*\*\*ssl_gw\*\*1\*\*\*\*# v-gateway ssl_gw basic ssl version tlsv11 tlsv12 ssl timeout 5 ssl lifecycle 1440 ssl ciphersuit custom aes256-sha non-des-cbc3-sha aes128-sha service network-extension enable network-extension keep-alive enable network-extension keep-alive interval 120 network-extension netpool 192.168.0.1 192.168.0.10 255.255.255.0 netpool 192.168.0.1 default network-extension mode manual network-extension manual-route 10.1.12.0 255.255.255.0 security policy-default-action permit vt-src-ip certification cert-anonymous cert-field user-filter subject cn group-filter su bject cn certification cert-anonymous filter-policy permit-all certification cert-challenge cert-field user-filter subject cn certification user-cert-filter key-usage any undo public-user enable hostchecker cachecleaner vpndb group /default/oa group /default role role default role default condition all #\*\*\*\*END\*\*\*\*# （五）配置安全策略 \[FW1-policy-security\]dis th # security-policy rule name LOCAL_TO_ANY source-zone local action permit rule name OUT_TO_LOCAL source-zone untrust destination-zone local service protocol tcp destination-port 443 action permit rule name OUT_TO_IN source-zone untrust destination-zone trust source-address 192.168.0.0 mask 255.255.255.0 destination-address 10.1.12.0 mask 255.255.255.0 action permit # （六）手动路由模式  （七）分离路由模式  （八）全路由模式  四、结果验证 通过虚拟机登录防火墙，自动弹出证书并安装出现如下界面，输入创建的用户名及密码  登录结果如下图所示，启动网络扩展安全相应软件   （一）手动路由模式 1、内网可以ping通  PS C:\\Users\\Administrator\> ping 10.1.12.10 正在 Ping 10.1.12.10 具有 32 字节的数据: 请求超时。 来自 10.1.12.10 的回复: 字节=32 时间=15ms TTL=254 来自 10.1.12.10 的回复: 字节=32 时间=8ms TTL=254  2、互联网可以ping通 PS C:\\Users\\Administrator\> ping 150.1.1.1 正在 Ping 150.1.1.1 具有 32 字节的数据: 来自 150.1.1.1 的回复: 字节=32 时间=11ms TTL=255 来自 150.1.1.1 的回复: 字节=32 时间=5ms TTL=255 3、查看虚拟机路由表 PS C:\\Users\\Administrator\> route print =========================================================================== 接口列表 20...00 ff 65 08 54 4e ......SVN Adapter V1.0 4...00 0c 29 d2 15 1d ......Intel(R) 82574L Gigabit Network Connection 1...........................Software Loopback Interface 1 7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2 15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3 =========================================================================== IPv4 路由表 =========================================================================== 活动路由: 网络目标 网络掩码 网关 接口 跃点数 0.0.0.0 0.0.0.0 155.1.2.100 155.1.2.10 281 10.1.12.0 255.255.255.0 在链路上 192.168.0.1 1 10.1.12.255 255.255.255.255 在链路上 192.168.0.1 257 127.0.0.0 255.0.0.0 在链路上 127.0.0.1 331 127.0.0.1 255.255.255.255 在链路上 127.0.0.1 331 127.255.255.255 255.255.255.255 在链路上 127.0.0.1 331 155.1.2.0 255.255.255.0 在链路上 155.1.2.10 281 155.1.2.10 255.255.255.255 在链路上 155.1.2.10 281 155.1.2.255 255.255.255.255 在链路上 155.1.2.10 281 155.1.121.12 255.255.255.255 155.1.2.100 155.1.2.10 257 192.168.0.1 255.255.255.255 在链路上 192.168.0.1 257 224.0.0.0 240.0.0.0 在链路上 127.0.0.1 331 224.0.0.0 240.0.0.0 在链路上 155.1.2.10 281 224.0.0.0 240.0.0.0 在链路上 192.168.0.1 257 255.255.255.255 255.255.255.255 在链路上 127.0.0.1 331 255.255.255.255 255.255.255.255 在链路上 155.1.2.10 281 255.255.255.255 255.255.255.255 在链路上 192.168.0.1 257 =========================================================================== 永久路由: 网络地址 网络掩码 网关地址 跃点数 0.0.0.0 0.0.0.0 155.1.2.100 默认 =========================================================================== （二）分离路由模式 PS C:\\Users\\Administrator\> ping 10.1.12.10 正在 Ping 10.1.12.10 具有 32 字节的数据: 来自 10.1.12.10 的回复: 字节=32 时间=9ms TTL=254 来自 10.1.12.10 的回复: 字节=32 时间=6ms TTL=254 PS C:\\Users\\Administrator\> ping 150.1.1.1 正在 Ping 150.1.1.1 具有 32 字节的数据: 请求超时。 请求超时。 PS C:\\Users\\Administrator\> route print =========================================================================== 接口列表 20...00 ff 65 08 54 4e ......SVN Adapter V1.0 4...00 0c 29 d2 15 1d ......Intel(R) 82574L Gigabit Network Connection 1...........................Software Loopback Interface 1 7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2 15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3 =========================================================================== IPv4 路由表 =========================================================================== 活动路由: 网络目标 网络掩码 网关 接口 跃点数 0.0.0.0 0.0.0.0 在链路上 192.168.0.2 127.0.0.0 255.0.0.0 在链路上 127.0.0.1 33 127.0.0.1 255.255.255.255 在链路上 127.0.0.1 33 127.255.255.255 255.255.255.255 在链路上 127.0.0.1 33 155.1.2.0 255.255.255.0 在链路上 155.1.2.10 28 155.1.2.10 255.255.255.255 在链路上 155.1.2.10 28 155.1.2.255 255.255.255.255 在链路上 155.1.2.10 28 155.1.121.12 255.255.255.255 155.1.2.100 155.1.2.10 257 192.168.0.0 255.255.255.0 在链路上 192.168.0.2 25 192.168.0.2 255.255.255.255 在链路上 192.168.0.2 25 192.168.0.255 255.255.255.255 在链路上 192.168.0.2 25 224.0.0.0 240.0.0.0 在链路上 127.0.0.1 33 224.0.0.0 240.0.0.0 在链路上 155.1.2.10 28 224.0.0.0 240.0.0.0 在链路上 192.168.0.2 25 255.255.255.255 255.255.255.255 在链路上 127.0.0.1 33 255.255.255.255 255.255.255.255 在链路上 155.1.2.10 28 255.255.255.255 255.255.255.255 在链路上 192.168.0.2 25 =========================================================================== 永久路由: 网络地址 网络掩码 网关地址 跃点数 0.0.0.0 0.0.0.0 155.1.2.100 默认 =========================================================================== （三）全路由模式 虚拟网内网可以ping通 PS C:\\Users\\Administrator\> ping 10.1.12.10 正在 Ping 10.1.12.10 具有 32 字节的数据: 来自 10.1.12.10 的回复: 字节=32 时间=7ms TTL=254 来自 10.1.12.10 的回复: 字节=32 时间=11ms TTL=254 互联网无法ping通 PS C:\\Users\\Administrator\> ping 150.1.1.1 正在 Ping 150.1.1.1 具有 32 字节的数据: 请求超时。 请求超时。 治理内网无法ping通 PS C:\\Users\\Administrator\> ping 155.1.2.100 正在 Ping 155.1.2.100 具有 32 字节的数据: 请求超时。 请求超时。