《asg典型配置指导》由会员分享,可在线阅读,更多相关《asg典型配置指导(8页珍藏版)》请在金锄头文库上搜索。
1、SSL 远程登陆配置指导远程登陆配置指导一、一、网络配置(提示勾选默认路由)网络配置(提示勾选默认路由)在网络配置中,选择相应的网口,此例以单臂部署方式为例。勾选的缺省路由为设备的默 认路由。二、二、用户组用户组在远程访问-用户组与用户管理中,添加用户组。此用户组为所有应用控制策略的对象, 既应用控制策略以组的方式划分。三、三、组高级配置组高级配置-网络资源配置网络资源配置1、地址池在地址池中配置用户远程访问到 VPN 后,被分配的内网地址。 启用地址伪装后,所有用户访问 VPN 的源地址被伪装成单臂的内网口地址; 不启用地址伪装,将使用地址池分配的地址(分配的地址不可与内网其他地址重复,需再
2、 内网内可路由) 。2、静态路由静态路由,为组自己的路由,优先级高于设备默认路由。如果未配置此项,数据包将走设 备默认的路由。故勾选默认路由和组路由必须至少填写一项。3、http 服务菜单http 服务菜单为组内的资源。其与用户登录后的组内资源页面相对应。分为反向代理和插件两种。 反向代理是纯 web 应用的即 B/S 架构应用,访问时会改写 URL,可以在不登陆插件下 使用; 插件支持所有 C/S 架构应用,其中包括:https、本身带插件的应用如 CRM 和 U8、客 户端模式的如 notes 等,不会改写 URL,但必须登陆插件才可使用。四、应用程序库配置四、应用程序库配置在远程访问应用
3、程序库配置中,添加调用项,本例以增加策略网段为例。其中执行文件名称是用户端执行文件是否可访问 VPN 的限制,*表示所有应用。 目的地址为策略网段,其他默认即可。五、组高级配置五、组高级配置-策略配置策略配置1、Web 插件应用程序策略组 web 插件应用程序策略,为使用 web 插件时所遵循的应用程序控制策略。它分成 默认策略和例外策略。例外策略将调用上文所设置的应用程序库配置项。默认策略为用户登陆 VPN 插件后,PC 端默认路由策略。 使用插件:所有流量将优先放入 VPN 隧道,如访问百度,将请求发送到 VPN 中,如果 VPN 设备本身被限定不能上网则将无法连通连通百度。 不使用插件:
4、所有流量默认情况下默认在本地网络出口流出,不优先放入 VPN 隧道,即访 问百度不会讲请求发到 VPN 来。 禁止访问:所有流量默认情况下不允许发送,除非匹配下面的例外情况。默认策略和下面的例外策略配合使用,可产生多种结果。 一般情况下,配置策略如图,效果为用户登陆 VPN 插件可以上网,只有在访问下面策略网 段时才会把流量发送到 VPN 来。2、客户端应用程序配置客户端应用程序配置与 web 插件应用程序配置类似,只不过它是控制客户端登陆情况下的 应用。所不同的是,它只能选择允许和禁止。节点互联配置指导节点互联配置指导一、一、隧道配置隧道配置目前节点互联支持 IPSEC 协议,密钥协商协议为
5、 IKEV2。 部署模式是上可选用网关或者单臂模式,两端设备可以有一段为非固定 IP。两 方都为非固定 IP 可选用第三方的 web 代理做中转,如花生壳。 配置之后两端路由器要分别添加静态路由,一般情况下添加一个到对端子网发 往 VPN 的路由即可。1、中心节点隧道配置需要区分分支和中心,分支节点会主动发起密钥协商请求。配置如图所示,其中本地和远端与对端设备对应,中心的本地就是分支的远端。 本地子网必须添加,2、分支节点分支节点会主动发起密钥协商请求。所以在远端地址必须填写对端公网可访问 IP。当隧道配置中显示已连接时,说明密钥协商成功。隧道信息中双方都有流量说明路由器路由配置正确,已完成配置。
