《Arraysslvpn简明配置手册v》由会员分享,可在线阅读,更多相关《Arraysslvpn简明配置手册v(52页珍藏版)》请在金锄头文库上搜索。
1、1SPX 简明配置手册ArrayNetworks12名目1. 概述31.1前言:31.2 SSL VPN 简介31.3 SSL VPN 网络拓扑31.4 Array SPX 设备配置概述52. Spx 设备根本配置62.1 Array SPX 的配置治理方式62.2 SPX 系列产品外观指示灯介绍62.3 SPX 的几种配置模式62.4 设备硬件信息、OS 版本及License 治理82.5 SPX 设备的根本信息配置93. SSL VPN 门户Virtual Site的建立173.1 参与的Virtual Site173.2 配置 virtual site 的 ssl 协议及数字证书183.
2、2.1 Global Mode 与 Virtual site Mode183.2.2 SSL 协议部安排置概述193.2.3 生成CSR193.2.4 导入 virtual site 数字证书203.2.5 客户端数字证书验证配置223.2.6 LocalDB 用户认证配置244. Virtual Site 各个应用模块的配置264.1 WRMPortal 配置274.2 File Sharing 配置284.3 Application Manager 配置294.3.1 Java Applet 方式304.3.2 Windows Redirect 方式324.4 隧道式VPN L3vpn 配
3、置335. ssl vpn 门户Virtal Site 认证配置355.1 Radius 认证效劳配置365.2 LDAP 认证效劳配置375.3 AD 认证效劳配置395.4 SecurID 动态口令认证配置396. ssl vpn 门户Virtal Site 授权配置406.1 LocalDB 的授权426.2 Ldap 效劳器的授权436.3 Radius 效劳器的授权456.4 Group Map 授权方式457. Cluster 方式配置478. 设备治理及排错498.1 Syslog 设置498.2 SNMP 配置508.3 系统治理508.4 troubleshooting512
4、31. 概述1.1 前言:SSL VPN 是当前进展格外快速的一种VPN 技术,Array 是一个主要的ssl vpn 厂家,其产品有特地的操作手册,本文是一个快速入门的中文手册,力图简洁明白地介绍array ssl vpn 的主要部署构造,建立 ssl vpn 的大致流程以及主要操作命令。假设您需要具体了解array spx 设备的操作以及具体的命令, 请参阅array spx 设备操作手册。1.2 SSL VPN简介SSL VPN 是承受SSL 技术的一种VPN 技术,适用于Client to Site 的安全接入方式。SSL 技术是位于TCP 之上的协议,具有数字证书身份验证,数据加密等
5、安全手段。在实现VPN 访问内部应用时主要承受 Proxy 、Application Translation 、Network Extention 等技术手段实现。用户通过SSL VPN 访问内部应用系统,必需先用 s 协议登陆SSL VPN 网关供给的ssl vpn 门户站点,我们称之为 Virtual Site,Array 的 SPX 系列单台设备可以配置多个 Virtual Site ,具体数量视License 而定。一般状况下,在数据中心的网络边缘放置SSL VPN 网关,如ArrayNetworks SPX 系列产品。客户端要访问内部应用效劳器,必需通过SSL VPN 网关,其过程是
6、先用标准扫瞄器如IE、Netscape 等登陆SSL VPN 网关,登陆使用的协议是 S,底层是承受了具有加密算法的SSL 协议。登陆SSL VPN 是需要经过用户认证、授权、审计的。登陆完成之后,客户端既可以访问内部的各种应用了,无论是B/S 构造还是C/S 构造,都能够支持,访问过程中的数据传输都是经过加密处理的,同时是经过ssl vpn 授权允许和审计的。1.3 SSL VPN网络拓扑SSL VPN 网关设备,Array 称之为 SPX 系列产品,她的位置在数据中心的边缘,具体来讲一般放置在防火墙后面,入侵检测设备的前面,这样和其他安全产品一起为数据中心供给安全防护。34Array 的
7、ssl vpn 网关支持双臂构造和单臂构造。单臂构造一般不转变企业的网络拓扑构造,只需一个接口接道防火墙或交换机上,具有易部署的特点。双臂构造,一般是指连接两个接口,如一个连接内网,一个连接外网,双臂构造具有良好的网络吞吐。SSL VPN 的工作流程是一个 Proxy 架构,所以考虑拓扑构造时,要满足两点:客户端机器要能构访问Virtual Site IP 地址,SPX 设备要能够访问内部各个效劳器各个应用。假设中间有防火墙等过滤设备, 确定要翻开相应端口。如在客户端和Virtual Site 之间的防火墙要翻开 s 访问,典型如TCP 443 端口。SPX 和效劳器之间的防火墙要对SPX 设
8、备的网络接口翻开各个应用的端口。上图是一个典型的双臂构造,outside 端口连接外网路由器或防火墙,端口地址为 10.1.1.1;inside 接口连接内部交换机,端口地址为 10.1.2.1。在 SPX 设备上的 Virtual Site 地址为 10.1.1.2,为内部 IP 地址,在 internet 上的客户端要能构访问,前面的防火墙或路由器还要做NAT 转换,如 202.22.2.2 10.1.1.2。固然,Virtual Site 地址也可以直接配置成公网地址,这时只需客户端到Virtual site IP 的路由可达与 s 能够访问即可。45上图是典型的单臂构造,SPX 设备只
9、需一个接口连接防火墙、路由器或者是交换机。接口 IP 为10.1.1.1,Virtual site 地址为 10.1.1.2,需要NAT 设备作转换:如202.22.2.2 10.1.1.2。固然,Virtual Site 地址也可以直接配置成公网地址,这时只需客户端到Virtual site IP 的路由可达与 s 能够访问即可。重复一下,无论是单臂还是双臂,无论多么简洁的拓扑构造,中间有什么样的网络设备,都需要满足两点:客户端机器要能构访问Virtual Site IP 地址,SPX 设备要能够访问内部各个效劳器各个应用。1.4 Array SPX设备配置概述拿到Array 的一台的设备,
10、一般要经过如下几个过程来配置成一个可以工作的ssl vpn 系统。n 查看设备的license,如没有licnese 许可,需向总代、Array 申请购置的license。n 了解用户的拓扑构造,DNS 系统、应用的或许状况,和用户协商SSL VPN 拓扑构造、路由构造、DNS 配置、防火墙策略、各个应用通过SSL VPN 实现的方式。n 对 SPX 设备进展根本配置,包括 License 输入、接口 IP 地址配置、路由配置、时间配置、DNS 配置。n Virtual Site 建立:建立Virtual Site、SSL 数字证书配置。n Virtual Site 认证方法配置,如配置Loc
11、alDB、Radius、Ldap 等。n Virtual Site 各个应用模块的配置,如WRM、ClientAPP、L3VPN。56n Virtual Site 用户访问策略配置,各个用户或组的访问权限设定。n 治理配置,如Snmp、Log、配置文件治理等2. Spx 设备根本配置2.1 Array SPX的配置治理方式Array SPX 设备支持三种配置治理接入方式.Consle 接入:SPX 系列产品默认没有IP 地址、路由等配置。需要首先启动电源,通过应用随设备附带的连接线console 线,一端连接PC 机的串口,一端连接SPX 系列的Consle 口。SPX 设备有专用的Consl
12、e 线和Consle 口,通过治理者的 PC 机串口接入,仿真终端:VT100;Baud Rate to 9600;Data Bits to 8;NO Parity;Stop Bits to 1; NO Flow Control。登陆进入后可以承受命令行方式。SSH 接入:通过 SSH 终端可以接入SPX 设备上的任一个接口IP 地址,典型的,你可以使用 Putty, SecureCRT 等软件,SSH2 协议 ,端口 22 来接入,登陆进入后可以承受命令行方式。图形化配置:在通过命令行配置webui on 命令启动图形化治理方式后,使用IE6.0 或Netscape 7.0扫瞄器通过访问 s
13、:/:8888 的方式登陆并进展远程治理把握。2.2 SPX系列产品外观指示灯介绍在 SPX 系列产品的前面板中具有显示设备运行状态的指示灯,指示灯分为以下三种:l Power: 表示系统是否处在加电运行状态l Run:表示系统运行负载状况,当此灯常常闪耀时,表示系统负载较高。l Fault: 表示设备是否发生故障,当此灯始终亮时,表示设备硬件故障。具体状态指示灯的位置如以以下图所示:2.3 SPX 的几种配置模式Array OS 的配置治理模式具有三个级别,登陆模式,治理模式和配置模式,在命令行中表达为hostname 加上“”、“#”或者是“(config)#”。67第一个级别登陆模式 “
14、AN”:配置好超级终端后,回车登陆。TMX 系列产品默认需要认证,才能进展治理配置,默认的用户名为array,口令为 admin。此时将进入登陆模式,登陆模式的符号是一个大于号“”,在此模式下可以实现根本的状态查看功能,通过问号AN?可以查看此状态下全部可操作的命令。其次个级别治理模式 “AN #”: 从第一个级别进入其次个级别,是在第一个级别输入ANenable命令即可进入其次个级别,缺省的口令为空。其次个级别的能够进展全部状态信息的查看,同一时刻允许有多个治理员处在此模式下。第三个级别配置模式 “AN (config)#”: 从第一个级别进入其次个级别,是在第一个级别输入AN#config terminal命令即可进入配置模式,同一时刻只允许一个人进入此模式。只有在此模式下才能够进展设备的配置。当长时间不敲入命令,系统会自动退出。从后一个级别回到上一个级别使用 exit 命令,假设直接关闭终端软件,没有从 config 模式exit 到治理模式,会有缺省三分钟的等待时间才能再次进入config模式。无论是在那种模式下都可以输入 “?” 来了解当前模式下可以执行的命令,或者是某条命令的信息如:AN (config)#show ?AN (config)#ip
