SSL vpn远程接入配置实验

一、实验目的

实验目的：在防火墙FW1上进行命令行和图形化界面配置，实现远端用户通过SSLVPN访问服务端，本实验主要实现通过SSLVPN网络扩展模式下远端用户访问服务器

二、基本配置

（一）如图所示配置接口地址

（二）将防火墙g1/0/0加入untrust区域，g1/0/1加入trust区域

（三）cloud1连接虚拟机，cloud2连接网页配置端

修改网管页面超时时间

[FW1]web-manager timeout 1440

三、详细配置

（一）新建SSLVPN网关

[FW1]v-gateway SSL_GW interface g1/0/0 private

（二）配置SSLVPN网络扩展模式，选择路由模式为手动路由模式

（三）在默认用于域中采用SSL VPN接入场景新建用户组OA和用户user（密码为Huawei@123）

（四）在SSL VPN配置角色授权用户中新建角色授权列表，新建角色role并关联新创建的默认域中OA用户组并使用网络扩展业务场景

#****BEGIN***ssl_gw**1****#

v-gateway ssl_gw

basic

ssl version tlsv11 tlsv12

ssl timeout 5

ssl lifecycle 1440

ssl ciphersuit custom aes256-sha non-des-cbc3-sha aes128-sha

service
network-extension enable

network-extension keep-alive enable

network-extension keep-alive interval 120
network-extension netpool 192.168.0.1 192.168.0.10 255.255.255.0

netpool 192.168.0.1 default

network-extension mode manual

network-extension manual-route 10.1.12.0 255.255.255.0

security

policy-default-action permit vt-src-ip

certification cert-anonymous cert-field user-filter subject cn group-filter su

bject cn

certification cert-anonymous filter-policy permit-all

certification cert-challenge cert-field user-filter subject cn

certification user-cert-filter key-usage any

undo public-user enable

hostchecker

cachecleaner

vpndb
group /default/oa
group /default

role

role default

role default condition all

#****END****#

（五）配置安全策略

[FW1-policy-security]dis th

security-policy

rule name LOCAL_TO_ANY

source-zone local

action permit

rule name OUT_TO_LOCAL

source-zone untrust

destination-zone local

service protocol tcp destination-port 443

action permit

rule name OUT_TO_IN

source-zone untrust

destination-zone trust

source-address 192.168.0.0 mask 255.255.255.0

destination-address 10.1.12.0 mask 255.255.255.0

action permit

（六）手动路由模式

（七）分离路由模式

（八）全路由模式

四、结果验证

通过虚拟机登录防火墙，自动弹出证书并安装出现如下界面，输入创建的用户名及密码

登录结果如下图所示，启动网络扩展安全相应软件

（一）手动路由模式

1、内网可以ping通

PS C:\Users\Administrator> ping 10.1.12.10

正在 Ping 10.1.12.10 具有 32 字节的数据:

请求超时。

来自 10.1.12.10 的回复: 字节=32 时间=15ms TTL=254

来自 10.1.12.10 的回复: 字节=32 时间=8ms TTL=254

2、互联网可以ping通

PS C:\Users\Administrator> ping 150.1.1.1

正在 Ping 150.1.1.1 具有 32 字节的数据:

来自 150.1.1.1 的回复: 字节=32 时间=11ms TTL=255

来自 150.1.1.1 的回复: 字节=32 时间=5ms TTL=255

3、查看虚拟机路由表

PS C:\Users\Administrator> route print

===========================================================================

接口列表

20...00 ff 65 08 54 4e ......SVN Adapter V1.0

4...00 0c 29 d2 15 1d ......Intel(R) 82574L Gigabit Network Connection

1...........................Software Loopback Interface 1

7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2

15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3

===========================================================================

IPv4 路由表

===========================================================================

活动路由:

网络目标网络掩码网关接口跃点数

0.0.0.0 0.0.0.0 155.1.2.100 155.1.2.10 281
10.1.12.0 255.255.255.0 在链路上 192.168.0.1 1
10.1.12.255 255.255.255.255 在链路上 192.168.0.1 257

127.0.0.0 255.0.0.0 在链路上 127.0.0.1 331

127.0.0.1 255.255.255.255 在链路上 127.0.0.1 331

127.255.255.255 255.255.255.255 在链路上 127.0.0.1 331
155.1.2.0 255.255.255.0 在链路上 155.1.2.10 281
155.1.2.10 255.255.255.255 在链路上 155.1.2.10 281
155.1.2.255 255.255.255.255 在链路上 155.1.2.10 281
155.1.121.12 255.255.255.255 155.1.2.100 155.1.2.10 257
192.168.0.1 255.255.255.255 在链路上 192.168.0.1 257

224.0.0.0 240.0.0.0 在链路上 127.0.0.1 331

224.0.0.0 240.0.0.0 在链路上 155.1.2.10 281

224.0.0.0 240.0.0.0 在链路上 192.168.0.1 257

255.255.255.255 255.255.255.255 在链路上 127.0.0.1 331

255.255.255.255 255.255.255.255 在链路上 155.1.2.10 281

255.255.255.255 255.255.255.255 在链路上 192.168.0.1 257

===========================================================================

永久路由:

网络地址网络掩码网关地址跃点数
0.0.0.0 0.0.0.0 155.1.2.100 默认

===========================================================================

（二）分离路由模式

PS C:\Users\Administrator> ping 10.1.12.10

正在 Ping 10.1.12.10 具有 32 字节的数据:

来自 10.1.12.10 的回复: 字节=32 时间=9ms TTL=254

来自 10.1.12.10 的回复: 字节=32 时间=6ms TTL=254

PS C:\Users\Administrator> ping 150.1.1.1

正在 Ping 150.1.1.1 具有 32 字节的数据:

请求超时。

PS C:\Users\Administrator> route print

===========================================================================

接口列表

20...00 ff 65 08 54 4e ......SVN Adapter V1.0

4...00 0c 29 d2 15 1d ......Intel(R) 82574L Gigabit Network Connection

1...........................Software Loopback Interface 1

7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2

15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3

===========================================================================

IPv4 路由表

===========================================================================

活动路由:

网络目标网络掩码网关接口跃点数

0.0.0.0 0.0.0.0 在链路上 192.168.0.2

127.0.0.0 255.0.0.0 在链路上 127.0.0.1 33

127.0.0.1 255.255.255.255 在链路上 127.0.0.1 33

127.255.255.255 255.255.255.255 在链路上 127.0.0.1 33
155.1.2.0 255.255.255.0 在链路上 155.1.2.10 28
155.1.2.10 255.255.255.255 在链路上 155.1.2.10 28
155.1.2.255 255.255.255.255 在链路上 155.1.2.10 28
155.1.121.12 255.255.255.255 155.1.2.100 155.1.2.10 257
192.168.0.0 255.255.255.0 在链路上 192.168.0.2 25
192.168.0.2 255.255.255.255 在链路上 192.168.0.2 25
192.168.0.255 255.255.255.255 在链路上 192.168.0.2 25

224.0.0.0 240.0.0.0 在链路上 127.0.0.1 33

224.0.0.0 240.0.0.0 在链路上 155.1.2.10 28

224.0.0.0 240.0.0.0 在链路上 192.168.0.2 25

255.255.255.255 255.255.255.255 在链路上 127.0.0.1 33

255.255.255.255 255.255.255.255 在链路上 155.1.2.10 28

255.255.255.255 255.255.255.255 在链路上 192.168.0.2 25

===========================================================================

永久路由:

网络地址网络掩码网关地址跃点数

0.0.0.0 0.0.0.0 155.1.2.100 默认

===========================================================================

（三）全路由模式

虚拟网内网可以ping通

PS C:\Users\Administrator> ping 10.1.12.10

正在 Ping 10.1.12.10 具有 32 字节的数据:

来自 10.1.12.10 的回复: 字节=32 时间=7ms TTL=254

来自 10.1.12.10 的回复: 字节=32 时间=11ms TTL=254

互联网无法ping通

PS C:\Users\Administrator> ping 150.1.1.1

正在 Ping 150.1.1.1 具有 32 字节的数据:

请求超时。

治理内网无法ping通

PS C:\Users\Administrator> ping 155.1.2.100

正在 Ping 155.1.2.100 具有 32 字节的数据:

请求超时。