SSL-VPN案例

真正的醒悟2025-03-10 8:53

interface SSLVPN-AC1 //创建一个名为 SSLVPN-AC1 的虚拟接口,专用于 SSL VPN 隧道通信。
ip address xxx.xxx.xxx.xxx xx //这个IP地址是在设备中没有的地址为该接口分配 IP 地址 ,子网掩码(此地址是 VPN 客户端的网关)

sslvpn ip address-pool 1 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx //这条命令用于定义 SSL VPN 客户端的 IP 地址池,地址池编号1 IP范围是 1-253

sslvpn gateway name //配置SSL-VPN网关名字
ip address xxx.xxx.xxx.xxx port xxxx // 配置的地址是公网地址、端口号。(用户通过此地址和端口连接 VPN)
service enable //启用SSL-VPN 该网关

sslvpn context GD //创建 SSL VPN 上下文(策略组)GD
gateway gw //关联网关 gw。
ip-tunnel interface SSLVPN-AC1 //关联虚拟接口 SSLVPN-AC1。
ip-tunnel address-pool 1 mask 255.255.255.0 //地址池 1 分配范围xxx.xxx.254.1-200.34.254.100(VPN 客户端连接后从此范围获取 IP)
ip-route-list GD //路由列表 GD 包含允许 VPN 用户访问的内网网段(如xxx.xxx.0.0/16,xxx.xxx.10.0/24 等
include ip段 掩码 //允许访问xxx.xxx.0.0/16 网段(范围:200.34.0.1 ~xxx.xxx.255.254)
policy-group GD //策略组 GD 的权限配置
filter ip-tunnel acl 3000 //使用 ACL 3000 放行所有 IP 流量(rule 0 permit ip)
ip-tunnel access-route ip-route-list GD //将路由列表 GD 绑定到 VPN 用户,限制他们只能访问指定内网网段
default-policy-group GD //default-policy-group GD 将此策略设为默认组
service enable //启用该网关

acl advanced 3000 创建ACL 3000
rule 0 permit ip 规则可以通过所有

security-zone name Untrust
import interface GigabitEthernet1/0/5
import interface SSLVPN-AC1 //将import interface GigabitEthernet1/0/5和SSLVPN-ACL 接口导入到了untrust

security-policy ip
rule 2 name GuideSecPolicy // 规则 2 GuideSecPolicy:默认放行流量(需结合其他规则细化)
action pass
rule 3 name trust-untrust // 规则 3 trust-untrust:允许内网(Trust)访问外网(Untrust)
action pass
source-zone Trust
destination-zone Untrust
rule 4 name untrust-trust // 规则 4 untrust-trust:允许外网(Untrust)访问内网(Trust)(需谨慎配置)。
action pass
source-zone Untrust
destination-zone Trust

ip https port xxxx ip https port xxxx:设置 HTTPS 管理端口为 5505。
ip https enable

ssh server enable ssh server port xxxx:设置 SSH 管理端口为 4094(用户通过此端口远程登录设备)
ssh server port xxxx

interface GigabitEthernet1/0/5 //防火墙公网接口 这是设备的物理接口(通常是设备的第5个千兆以太网口),用于连接外网(如互联网)。
port link-mode route 设置接口工作模式为路由模式(三层模式),表示该接口直接处理 IP 路由,而非二层交换。
description GuideWan Interface 接口描述为"外网接口",便于管理员识别用途。
ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 为接口分配公网 IP 地址 223.83.152.209,子网掩码 255.255.255.0(属于公网 IP 段,用于与互联网通信)
dns server xxx.xxx.xxx.xxx 设置 DNS 服务器地址为 211.141.90.68,用于域名解析(如访问网站时解析域名到 IP)
nat outbound 2000 启用源地址转换(SNAT),匹配 ACL 2000 的内网流量,在通过此接口时会被转换为公网 IP 223.83.152.209。
manage http inbound 允许通过 HTTP 协议管理设备(入站和出站)
manage http outbound
manage https inbound 允许通过 HTTP 协议管理设备(入站和出站)
manage https outbound
manage ping inbound 允许通过 Ping 测试接口连通性。
manage ping outbound
manage ssh inbound 允许通过 SSH 协议远程登录设备(加密通信,推荐使用)。
manage ssh outbound
gateway xxx.xxx.xxx.xxx 配置默认网关为 223.83.152.193(通常是运营商提供的上级路由器地址),所有非本地的流量通过此网关转发。

interface GigabitEthernet1/0/2 //防火墙内网接口 这是设备的物理接口(通常是设备的第2个千兆以太网口),用于连接外网(如互联网)。
port link-mode route
description GuideLan Interface
ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
manage ping inbound 允许通过 Ping 测试接口连通性。
manage ping outbound
undo dhcp select server 关闭接口上的 DHCP 服务器功能。
gateway xxx.xxx.xxx.xxx

security-zone name Local Local(本地管理区) 和 Management(管理区):用于设备自身管理

security-zone name Trust Trust(信任区):包含内网接口 GigabitEthernet1/0/2、1/0/4、1/0/7。
import interface GigabitEthernet1/0/2
import interface GigabitEthernet1/0/4
import interface GigabitEthernet1/0/7

security-zone name DMZ

security-zone name Untrust
import interface GigabitEthernet1/0/5
import interface SSLVPN-AC1 //Untrust(不信任区):包含外网接口 GigabitEthernet1/0/5 和 VPN 接口 SSLVPN-AC1。

security-zone name Management Local(本地管理区) 和 Management(管理区):用于设备自身管理
import interface M-GigabitEthernet1/0/0

local-user 用户名 class network local-user 用户名 class network:创建 VPN 用户
password cipher 密码 password cipher 密码:加密存储用户密码。
service-type sslvpn service-type sslvpn:允许用户使用 SSL VPN
authorization-attribute user-role network-operator
authorization-attribute sslvpn-policy-group GD authorization-attribute sslvpn-policy-group GD:用户登录后应用策略组 GD。
description SSLVPN-USER 备注信息:SSL-VPN用户

acl basic 2000
rule 0 permit source xxx.xxx.0.0 0.0.0.255
rule 5 permit source xxx.xxx.1.0 0.0.0.255
rule 10 permit source xxx.xxx.2.0 0.0.0.255
rule 15 permit source xxx.xxx.3.0 0.0.0.255
rule 20 permit source xxx.xxx.5.0 0.0.0.255
rule 30 permit source xxx.xxx.10.0 0.0.0.255
rule 40 permit source xxx.xxx.100.0 0.0.0.255
rule 45 permit source xxx.xxx.201.0 0.0.0.255
rule 50 deny

acl advanced 3000
rule 0 permit ip

相关推荐
lisw0512 分钟前
网络化:DevOps 工程的必要基础(Networking: The Essential Foundation for DevOps Engineering)
网络·devops
2501_915373882 小时前
Electron 打包与发布指南:让你的应用运行在 Windows、macOS、Linux
windows·macos·electron
驱动小百科2 小时前
WiFi出现感叹号上不了网怎么办 轻松恢复网络
网络·智能路由器·wifi出现感叹号怎么解决·wifi无法上网·电脑wifi
好多知识都想学2 小时前
协议路由与路由协议
网络·智能路由器
SZ1701102313 小时前
中继器的作用
服务器·网络·智能路由器
Huazzi.4 小时前
Ubuntu 22虚拟机【网络故障】快速解决指南
linux·网络·学习·ubuntu·bash·编程
熙曦Sakura4 小时前
【Linux网络】HTTP
linux·网络·http
毒果4 小时前
网络安全:账号密码与诈骗防范
网络·安全·web安全
八股文领域大手子4 小时前
SSL/TLS 证书与数字签名:构建互联网信任的详解
网络·网络协议·ssl
学渣676565 小时前
TCP/IP 模型每层的封装格式
网络
热门推荐
01【分布式】Hadoop完全分布式的搭建(零基础)02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06Coze扣子平台完整体验和实践(附国内和国际版对比)07DeepSeek各版本说明与优缺点分析08苍穹外卖面试总结09西电B测-计算机网络综合实验(含验收问题)10最新 Kubernetes 集群部署 + flannel 网络插件(保姆级教程,最新 K8S 版本)