《aventail配置管理手册》由会员分享,可在线阅读,更多相关《aventail配置管理手册(31页珍藏版)》请在金锄头文库上搜索。
1、 1 Aventail SSL VPN 配 置 管 理 手 册 Aventail SSL VPN 配 置 管 理 手 册 2 目目 录录 1. 说明 . 3 2. 基本配置管理 . 4 2.1、Network settings (配置网络参数) . 6 2.2、SSL settings (配置 SSL 证书) . 7 2.3、Authentication (配置认证服务器) . 8 2.4、Resources (建立内部服务器资源) . 11 2.5、Users and groups (定义可访问 Aventail 的用户) . 12 2.6、Access control (配置访问控制策略)
2、 . 13 2.7、ASAP WorkPlace (配置用户工作台上显示的资源快捷方式) . 15 3. 系统管理 . 17 3.1 可选的网络管理配置 . 17 3.2 系统日志与监控 . 19 3.3 软件授权管理 Soft License . 23 4. 系统备份与更新 . 25 4.1 AMC 中的工具 . 25 4.2 系统更新与回滚、恢复出厂设置 . 26 4.3 可导入与导出配置文件 . 26 4.4 通过 AMC 导出文件 . 26 5. 故障排除 . 28 6. 命令行参考 . 29 3 1. 说明说明 在部署 Aventail 时,我采用单点模式,或双点模式。一般采用单点模
3、式较多。 单点模式:单点模式: 只需连接 Aventail 内网接口于网络中。 双点模式:双点模式: 内网接口接入企业内部网络交换机,而外网接口接入 Internet. 4 2. 基本配置管理基本配置管理 Aventail 包括两个界面:一个管理界面叫 Aventail ASAP (Anywhere Secure Access Policy) Management Console,简称 Aventail 管理控制台(AMC),另一个则是远程用户访问 Aventail 的首页界面,叫 ASAP WorkPlace用户工作台。 初始化设备配置初始化设备配置 首次配置 Aventail 请按以下步骤
4、操作: 1、 使用串口配置好 Aventail 的 IP,命令行下用户名为 Root,密码为用户定义,COM 口配置参数使用默认配置,如图: 5 2、 当配置好Aventail IP后,在IE中输入https:/X.X.X.X:8443/console 进入 Aventail AMC Web 管理、界面, X.X.X.X 代表 Aventail IP. 进入 AMC 的用户名: admin密码为用户在步骤 1 中配置的密码。 3、 在使用 AMC 对 Aventail 进行配置管理时, 可按以下步骤进行配置: ( AMC右边会显示以下配置步骤右边会显示以下配置步骤; 在配置过程中可点击右上角的
5、在配置过程中可点击右上角的 home 按钮,也可出现此配置向导,如果对某些配置项不知如何配置,可点击右上角的按钮,也可出现此配置向导,如果对某些配置项不知如何配置,可点击右上角的 help 按钮)按钮) System configuration 1. Configure network settings (配置网络参数) 2. Configure an SSL certificate (配置 SSL 证书) 3. Define an authentication realm (配置认证服务器) Access policy 4. Create application resources (建立用
6、户可访问的内部服务器资源) 5. Define users and groups (定义可访问 Aventail 的用户) 6 6. Create access control rules (配置某个用户访问某个内部服务器资源) 7. Configure ASAP WorkPlace (配置用户工作台上显示的资源快捷方式) 8 Configure End Point Control (可选)(配置终端控制,可选配置) 2.1、Network settings (配置网络参数)(配置网络参数) 1、点击 network settings,配置内、外网接口 IP,和选择是否启用 ICMP 2、点击
7、 routing, 配置到 Internet 和内部服务器的路由。 在 Default gateway 处,输入到 Internet 的网关。 在 Static Routes 处,如果 Aventail 与内部服务器(如 Radius,内部 Web 服务器)位于不同的 vlan,可以在此处配置静态路由 7 3、点击 Name Resolution,配置内部 dns 服务器和内部域名。默认情况下,Aventail 只会对 Search Domain 中的域名站点进行代理, 2.2、SSL settings (配置(配置 SSL 证书)证书) 1、配置用户在访问 Aventail workplac
8、e 时,发放证书的站点名称。点击 ssl settings,再点击 self-signed certificate 下面的 new cerfiticate, 8 2、在下面出现的界面中,输入用户访问用户访问 Aventail 时时的 IP 或域名, 2.3、Authentication (配置认证服务器)(配置认证服务器) 1、点击 Authenticaion 9 2、 在 authentication 下, 点 new, 配置认证服务器, Aventail 支持 ldap、 local、radius、Active directory 等,在认证方式上可以是用户名/密码,Token,数字证书。
9、Local 认证一般用测试使用,如果选择 Local 认证,需要在命令行下,使用 useradd username 和 passwd username 配置用户名和密码。 103、配置好认证服务器,然后在 Realm 下,点击 new,配置 Realm. 在 Realm中配置调用刚才配置的认证服务器和允许使用的访问方式,配置在 realm 下,用户可匹配的终端区域End Point Cotronl Zone. 112.4、Resources (建立内部服务器资源)(建立内部服务器资源) 1. 从主菜单中点击 Resources,在 Resources 页,点击“New”创建一个新的资源 2.
10、在 Name 与各项中录入相应参数, hostname, IP Rang, Subnet , domain,主要针对于 C/S 资源,URL 针对于 B/S 资源,Network Shae针对于文件共享资源,可以输入servernamesharename。 Create shortcut on ASAP WorkPlace,是针对 Url 和 network Share 资源的,用户可选择是否在 Workplace(用户工作台)上显示该 B/S 和文件共享资源的快捷方式。 122.5、Users and groups (定义可访问(定义可访问 Aventail 的用户)的用户) 1、点击主菜单
11、 user and groups,用户在此可配置用户或用户组。 2、如果使用 Radius 和 local 认证,需要手工输入新建的用户或用户组名。 3、如果使用 ldap 或 Active directory 认证,点击 Search 按钮按钮,可直接读出认证服务器的用户信息。 132.6、Access control (配置访问控制策略)(配置访问控制策略) 1、点击主菜单 Access control,管理员可新建策略配置用户的访问控制权限。管理员可通过 move up, move down 按钮调整策略执行的优先级,策略由下至下检查,如果都不匹配,则拒绝访问。默认策略允许 any 访问
12、 Workplace,如果删除此策略,用户则不能登录 Aventail 首页。 2、 点击 new 按钮, 新建策略, 管理员可直接调用建好的用户或用户组, 资源名,进行策略控制, 可定义用户只能使用的访问方式, 并且可配置用户所处于的 end point zone。 143、点击 Advanced 后面的按钮,可指定用户源 IP 址,可配置用户对文件共享资源的读、写权限,访问内部服务器只开放的 port,可配置用户某一个时间段可访问等等。 152.7、 ASAP WorkPlace (配置用户工作台上显示的资源快捷方式)配置用户工作台上显示的资源快捷方式) 1、 点击主菜单 ASAP Workplace,管理可对 workplace 上的快捷方式进行管理。这些快捷方式只针对于 web 和文件共享资源。 162、点击 WorkPlace Appearance,管理员可配置 workplace(用户工作台)的样色,如颜色、Logo, 主题,帮助文件等等。 173. 系统管理系统管理 3.1 可选的网络管理配置可选的网络管理配置 a.SSH 远程管理远程管理 允许远程管理 1)从主菜单中,单击 Services 2)在 Network Services 区域里单
