SSL vpn远程接入配置实验

一、实验目的

实验目的:在防火墙FW1上进行命令行和图形化界面配置,实现远端用户通过SSLVPN访问服务端,本实验主要实现通过SSLVPN网络扩展模式下远端用户访问服务器

二、基本配置

(一)如图所示配置接口地址

(二)将防火墙g1/0/0加入untrust区域,g1/0/1加入trust区域

(三)cloud1连接虚拟机,cloud2连接网页配置端

修改网管页面超时时间

[FW1]web-manager timeout 1440

三、详细配置

(一)新建SSLVPN网关

[FW1]v-gateway SSL_GW interface g1/0/0 private

(二)配置SSLVPN网络扩展模式,选择路由模式为手动路由模式

(三)在默认用于域中采用SSL VPN接入场景新建用户组OA和用户user(密码为Huawei@123)

(四)在SSL VPN配置角色授权用户中新建角色授权列表,新建角色role并关联新创建的默认域中OA用户组并使用网络扩展业务场景

#****BEGIN***ssl_gw**1****#

v-gateway ssl_gw

basic

ssl version tlsv11 tlsv12

ssl timeout 5

ssl lifecycle 1440

ssl ciphersuit custom aes256-sha non-des-cbc3-sha aes128-sha

service
network-extension enable

network-extension keep-alive enable

network-extension keep-alive interval 120
network-extension netpool 192.168.0.1 192.168.0.10 255.255.255.0

netpool 192.168.0.1 default

network-extension mode manual

network-extension manual-route 10.1.12.0 255.255.255.0

security

policy-default-action permit vt-src-ip

certification cert-anonymous cert-field user-filter subject cn group-filter su

bject cn

certification cert-anonymous filter-policy permit-all

certification cert-challenge cert-field user-filter subject cn

certification user-cert-filter key-usage any

undo public-user enable

hostchecker

cachecleaner

vpndb
group /default/oa
group /default

role

role default

role default condition all

#****END****#

(五)配置安全策略

[FW1-policy-security]dis th

security-policy

rule name LOCAL_TO_ANY

source-zone local

action permit

rule name OUT_TO_LOCAL

source-zone untrust

destination-zone local

service protocol tcp destination-port 443

action permit

rule name OUT_TO_IN

source-zone untrust

destination-zone trust

source-address 192.168.0.0 mask 255.255.255.0

destination-address 10.1.12.0 mask 255.255.255.0

action permit

(六)手动路由模式

(七)分离路由模式

(八)全路由模式

四、结果验证

通过虚拟机登录防火墙,自动弹出证书并安装出现如下界面,输入创建的用户名及密码

登录结果如下图所示,启动网络扩展安全相应软件

(一)手动路由模式

1、内网可以ping通

PS C:\Users\Administrator> ping 10.1.12.10

正在 Ping 10.1.12.10 具有 32 字节的数据:

请求超时。

来自 10.1.12.10 的回复: 字节=32 时间=15ms TTL=254

来自 10.1.12.10 的回复: 字节=32 时间=8ms TTL=254

2、互联网可以ping通

PS C:\Users\Administrator> ping 150.1.1.1

正在 Ping 150.1.1.1 具有 32 字节的数据:

来自 150.1.1.1 的回复: 字节=32 时间=11ms TTL=255

来自 150.1.1.1 的回复: 字节=32 时间=5ms TTL=255

3、查看虚拟机路由表

PS C:\Users\Administrator> route print

===========================================================================

接口列表

20...00 ff 65 08 54 4e ......SVN Adapter V1.0

4...00 0c 29 d2 15 1d ......Intel(R) 82574L Gigabit Network Connection

1...........................Software Loopback Interface 1

7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2

15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3

===========================================================================

IPv4 路由表

===========================================================================

活动路由:

网络目标 网络掩码 网关 接口 跃点数

0.0.0.0 0.0.0.0 155.1.2.100 155.1.2.10 281
10.1.12.0 255.255.255.0 在链路上 192.168.0.1 1
10.1.12.255 255.255.255.255 在链路上 192.168.0.1 257

127.0.0.0 255.0.0.0 在链路上 127.0.0.1 331

127.0.0.1 255.255.255.255 在链路上 127.0.0.1 331

127.255.255.255 255.255.255.255 在链路上 127.0.0.1 331
155.1.2.0 255.255.255.0 在链路上 155.1.2.10 281
155.1.2.10 255.255.255.255 在链路上 155.1.2.10 281
155.1.2.255 255.255.255.255 在链路上 155.1.2.10 281
155.1.121.12 255.255.255.255 155.1.2.100 155.1.2.10 257
192.168.0.1 255.255.255.255 在链路上 192.168.0.1 257

224.0.0.0 240.0.0.0 在链路上 127.0.0.1 331

224.0.0.0 240.0.0.0 在链路上 155.1.2.10 281

224.0.0.0 240.0.0.0 在链路上 192.168.0.1 257

255.255.255.255 255.255.255.255 在链路上 127.0.0.1 331

255.255.255.255 255.255.255.255 在链路上 155.1.2.10 281

255.255.255.255 255.255.255.255 在链路上 192.168.0.1 257

===========================================================================

永久路由:

网络地址 网络掩码 网关地址 跃点数
0.0.0.0 0.0.0.0 155.1.2.100 默认

===========================================================================

(二)分离路由模式

PS C:\Users\Administrator> ping 10.1.12.10

正在 Ping 10.1.12.10 具有 32 字节的数据:

来自 10.1.12.10 的回复: 字节=32 时间=9ms TTL=254

来自 10.1.12.10 的回复: 字节=32 时间=6ms TTL=254

PS C:\Users\Administrator> ping 150.1.1.1

正在 Ping 150.1.1.1 具有 32 字节的数据:

请求超时。

请求超时。

PS C:\Users\Administrator> route print

===========================================================================

接口列表

20...00 ff 65 08 54 4e ......SVN Adapter V1.0

4...00 0c 29 d2 15 1d ......Intel(R) 82574L Gigabit Network Connection

1...........................Software Loopback Interface 1

7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2

15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3

===========================================================================

IPv4 路由表

===========================================================================

活动路由:

网络目标 网络掩码 网关 接口 跃点数

0.0.0.0 0.0.0.0 在链路上 192.168.0.2

127.0.0.0 255.0.0.0 在链路上 127.0.0.1 33

127.0.0.1 255.255.255.255 在链路上 127.0.0.1 33

127.255.255.255 255.255.255.255 在链路上 127.0.0.1 33
155.1.2.0 255.255.255.0 在链路上 155.1.2.10 28
155.1.2.10 255.255.255.255 在链路上 155.1.2.10 28
155.1.2.255 255.255.255.255 在链路上 155.1.2.10 28
155.1.121.12 255.255.255.255 155.1.2.100 155.1.2.10 257
192.168.0.0 255.255.255.0 在链路上 192.168.0.2 25
192.168.0.2 255.255.255.255 在链路上 192.168.0.2 25
192.168.0.255 255.255.255.255 在链路上 192.168.0.2 25

224.0.0.0 240.0.0.0 在链路上 127.0.0.1 33

224.0.0.0 240.0.0.0 在链路上 155.1.2.10 28

224.0.0.0 240.0.0.0 在链路上 192.168.0.2 25

255.255.255.255 255.255.255.255 在链路上 127.0.0.1 33

255.255.255.255 255.255.255.255 在链路上 155.1.2.10 28

255.255.255.255 255.255.255.255 在链路上 192.168.0.2 25

===========================================================================

永久路由:

网络地址 网络掩码 网关地址 跃点数

0.0.0.0 0.0.0.0 155.1.2.100 默认

===========================================================================

(三)全路由模式

虚拟网内网可以ping通

PS C:\Users\Administrator> ping 10.1.12.10

正在 Ping 10.1.12.10 具有 32 字节的数据:

来自 10.1.12.10 的回复: 字节=32 时间=7ms TTL=254

来自 10.1.12.10 的回复: 字节=32 时间=11ms TTL=254

互联网无法ping通

PS C:\Users\Administrator> ping 150.1.1.1

正在 Ping 150.1.1.1 具有 32 字节的数据:

请求超时。

请求超时。

治理内网无法ping通

PS C:\Users\Administrator> ping 155.1.2.100

正在 Ping 155.1.2.100 具有 32 字节的数据:

请求超时。

请求超时。

相关推荐
车载诊断技术31 分钟前
电子电气架构 --- 什么是EPS?
网络·人工智能·安全·架构·汽车·需求分析
KevinRay_35 分钟前
Python超能力:高级技巧让你的代码飞起来
网络·人工智能·python·lambda表达式·列表推导式·python高级技巧
2301_819287122 小时前
ce第六次作业
linux·运维·服务器·网络
CIb0la2 小时前
GitLab 停止为中国区用户提供 GitLab.com 账号服务
运维·网络·程序人生
安全方案2 小时前
如何识别钓鱼邮件和诈骗网站?(附网络安全意识培训PPT资料)
网络安全·安全培训
Black_mario2 小时前
链原生 Web3 AI 网络 Chainbase 推出 AVS 主网, 拓展 EigenLayer AVS 应用场景
网络·人工智能·web3
Aileen_0v02 小时前
【AI驱动的数据结构:包装类的艺术与科学】
linux·数据结构·人工智能·笔记·网络协议·tcp/ip·whisper
中科岩创3 小时前
中科岩创边坡自动化监测解决方案
大数据·网络·物联网
花鱼白羊3 小时前
TCP Vegas拥塞控制算法——baseRtt 和 minRtt的区别
服务器·网络协议·tcp/ip
brrdg_sefg4 小时前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全