No1ArraySPX工程安裝配置手冊簡介和基本功能配置部分

1、 array spx工程安裝配置手冊簡介和基本功能配置部分一、 (一)概述21. 前言22. ssl vpn簡介23. ssl vpn 網(wǎng)絡(luò)拓?fù)?4. array spx設(shè)備配置概述4二、 (二)spx 設(shè)備基本配置51. array spx的配置管理方式52. spx系列產(chǎn)品外觀指示燈介紹53. spx 的幾種配置模式64. webui基本介紹71.1 瀏覽器的版本71.2 登陸webui的過程75. 設(shè)備硬件信息、os版本及l(fā)icense管理96. spx設(shè)備基本信息配置101.3 配置主機(jī)名：111.4 配置端口ip地址:111.5 配置路由：121.6 測試網(wǎng)絡(luò)聯(lián)通情況141.7 配置

2、域名服務(wù)器141.8 時區(qū)、時間配置151.9 保存配置161.10 查看配置171.11 清除配置181.12 導(dǎo)入配置191.13 升級系統(tǒng)版本201.14 重新啟動設(shè)備、系統(tǒng)關(guān)機(jī)211.15 更改用戶口令和enable口令22(一) 概述前言在目前各類vpn產(chǎn)品中，ssl vpn正以它的獨(dú)特優(yōu)勢占據(jù)了市場中的主導(dǎo)位置，array networks公司是一家專注于開發(fā)ssl vpn的廠商。本文力圖簡潔明了的介紹array networks公司的ssl vpn產(chǎn)品：spx系列的主要部署結(jié)構(gòu)，建立spx的大致流程以及它的基本配置命令。ssl vpn簡介ssl vpn是采用ssl 技術(shù)的一種vp

3、n產(chǎn)品，適用于client to site的安全接入方式。ssl 技術(shù)是位于tcp之上的協(xié)議，具有數(shù)字證書身份驗(yàn)證，數(shù)據(jù)加密等安全手段。在實(shí)現(xiàn)vpn訪問內(nèi)部應(yīng)用時主要采用 proxy 、application translation 、network extension 等技術(shù)手段實(shí)現(xiàn)。用戶通過ssl vpn訪問內(nèi)部應(yīng)用系統(tǒng)，必須先用https協(xié)議登陸到ssl vpn 網(wǎng)關(guān)提供的ssl vpn門戶站點(diǎn)，我們稱之為virtual site，array 的spx系列單臺設(shè)備可以配置多個virtual site ，具體數(shù)量視license而定。一般情況下，在數(shù)據(jù)中心的網(wǎng)絡(luò)邊緣放置ssl vpn網(wǎng)關(guān)，

4、如array networks spx 系列產(chǎn)品?？蛻舳艘L問內(nèi)部應(yīng)用服務(wù)器，必須通過ssl vpn網(wǎng)關(guān)，其過程是先用標(biāo)準(zhǔn)瀏覽器如ie、netscape等登陸ssl vpn網(wǎng)關(guān)，登陸使用的協(xié)議是https，底層是采用了具有加密算法的ssl 協(xié)議。登陸ssl vpn是需要經(jīng)過用戶認(rèn)證、授權(quán)、審計的。登陸完成之后，客戶端既可以訪問內(nèi)部的各種應(yīng)用了，無論是b/s還是c/s結(jié)構(gòu)，都能夠得到非常好的支持，訪問過程中的數(shù)據(jù)傳輸都是經(jīng)過加密處理的，同時是經(jīng)過ssl vpn授權(quán)允許和審計的。ssl vpn 網(wǎng)絡(luò)拓?fù)鋝sl vpn網(wǎng)關(guān)設(shè)備，array 稱之為spx系列產(chǎn)品，她的位置在數(shù)據(jù)中心的邊緣，具體來講一般

5、放置在防火墻后面，入侵檢測設(shè)備的前面，這樣和其他安全產(chǎn)品一起為數(shù)據(jù)中心提供安全防護(hù)。array 的ssl vpn網(wǎng)關(guān)支持雙臂結(jié)構(gòu)和單臂結(jié)構(gòu)。單臂結(jié)構(gòu)一般不改變企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，只需一個接口接到防火墻或交換機(jī)上，具有方便部署的特點(diǎn)。雙臂結(jié)構(gòu)，一般是指連接兩個接口，如一個連接內(nèi)網(wǎng)，一個連接外網(wǎng)，雙臂結(jié)構(gòu)具有良好的網(wǎng)絡(luò)吞吐量。ssl vpn的工作流程是一個proxy架構(gòu)，所以考慮拓?fù)浣Y(jié)構(gòu)時，要滿足兩點(diǎn)：1) 客戶端機(jī)器要能訪問virtual site ip地址；2) spx設(shè)備要能夠訪問內(nèi)部各個服務(wù)器各個應(yīng)用。若中間有防火墻等過濾設(shè)備，一定要打開相應(yīng)端口。如在客戶端和virtual site 之間

6、的防火墻要打開https訪問，典型如tcp 443端口。spx和服務(wù)器之間的防火墻要對spx設(shè)備的網(wǎng)絡(luò)接口打開各個應(yīng)用的端口。上圖是一個典型的雙臂結(jié)構(gòu)，outside 端口連接外網(wǎng)路由器或防火墻，端口地址為；inside接口連接內(nèi)部交換機(jī)，端口地址為。在spx設(shè)備上的virtual site地址為 ，為內(nèi)部ip地址，在internet上的客戶端要能訪問，前面的防火墻或路由器還要做nat轉(zhuǎn)換，如 。當(dāng)然，virtual site地址也可以直接配置成公網(wǎng)地址，這時只需客戶端到virtual site ip的路由可達(dá)

7、與https能夠訪問即可。上圖是典型的單臂結(jié)構(gòu)，spx設(shè)備只需一個接口連接防火墻、路由器或者是交換機(jī)。接口ip為，virtual site 地址為，需要nat設(shè)備作轉(zhuǎn)換：如 。當(dāng)然，virtual site地址也可以直接配置成公網(wǎng)地址，這時只需客戶端到virtual site ip的路由可達(dá)與https能夠訪問即可。重復(fù)一下，無論是單臂還是雙臂，無論多么復(fù)雜的拓?fù)浣Y(jié)構(gòu)，中間有什么樣的網(wǎng)絡(luò)設(shè)備，都需要滿足兩點(diǎn)：1) 客戶端機(jī)器要能訪問到virtual site ip地址；2) spx設(shè)備要能夠訪問內(nèi)部各個服務(wù)器各個應(yīng)用。arra

8、y spx設(shè)備配置概述拿到array networks一臺新的設(shè)備，一般要經(jīng)過如下幾個過程來配置成一臺可以工作的ssl vpn系統(tǒng)。1. 查看設(shè)備的license，如沒有l(wèi)icense許可，需向總代、array申請購買新的license。2. 了解用戶的拓?fù)浣Y(jié)構(gòu)，dns系統(tǒng)、應(yīng)用的大概情況，和用戶協(xié)商ssl vpn拓?fù)浣Y(jié)構(gòu)、路由結(jié)構(gòu)、dns配置、防火墻策略、各個應(yīng)用通過ssl vpn實(shí)現(xiàn)的方式。3. 對spx設(shè)備進(jìn)行基本配置，包括license輸入、接口ip地址配置、路由配置、時間配置、dns配置。4. virtual site 建立：建立virtual site、ssl 數(shù)字證書配置。5.

9、virtual site 認(rèn)證方法配置，如配置localdb、radius、ldap等。6. virtual site 各個應(yīng)用模塊的配置，如wrm、clientapp、l3vpn。7. virtual site 用戶訪問策略配置，各個用戶或組的訪問權(quán)限設(shè)定。8. 管理配置，如snmp、log、配置文件管理等。(二) spx 設(shè)備基本配置array spx的配置管理方式array spx設(shè)備支持三種配置管理接入方式.console接入：spx系列產(chǎn)品默認(rèn)沒有ip地址、路由等配置。需要首先啟動電源，通過隨設(shè)備附帶的連接線（console線），一端連接pc機(jī)的串口，一端連接spx系列的consol

10、e口。spx設(shè)備有專用的console線和console口，通過管理者的pc機(jī)串口接入，仿真終端：vt100；baud rate to 9600；data bits to 8；no parity；stop bits to 1； no flow control。登陸進(jìn)入后可以采用命令行方式。ssh 接入：通過ssh終端可以接入spx設(shè)備上的任意一個接口ip地址，典型的，你可以使用putty，secure crt等軟件，ssh2 協(xié)議 ，端口 22來接入，登陸進(jìn)入后可以采用命令行方式。圖形化配置：在通過命令行配置webui on命令啟動圖形化管理方式后，使用瀏覽器通過訪問https:/<in

11、terface_ip_address>:8888的方式登陸并進(jìn)行遠(yuǎn)程管理控制。spx系列產(chǎn)品外觀指示燈介紹在spx系列產(chǎn)品的前面板中具有顯示設(shè)備運(yùn)行狀態(tài)的指示燈，指示燈分為以下三種：l power: 表示系統(tǒng)是否處在加電運(yùn)行狀態(tài)l run: 表示系統(tǒng)運(yùn)行負(fù)載情況，當(dāng)此燈經(jīng)常閃爍時，表示系統(tǒng)負(fù)載較高。l fault: 表示設(shè)備是否發(fā)生故障，當(dāng)此燈始終亮?xí)r，表示設(shè)備硬件故障。具體狀態(tài)指示燈的位置如下圖所示：spx 的幾種配置模式array os的配置管理模式具有三個級別，登陸模式，管理模式和配置模式，在命令行中體現(xiàn)為hostname 加上“>”、“#”或者是“(config)#”。1.

12、 第一個級別登陸模式 “an>”：配置好超級終端后，回車登陸。spx系列產(chǎn)品默認(rèn)需要認(rèn)證，才能進(jìn)行管理配置，默認(rèn)的用戶名為array，口令為admin。此時將進(jìn)入登陸模式，登陸模式的符號是一個大于號“>”，在此模式下可以實(shí)現(xiàn)基本的狀態(tài)查看功能,通過問號an>?可以查看此狀態(tài)下所有可操作的命令。2. 第二個級別管理模式 “an #”:從第一個級別進(jìn)入第二個級別，是在第一個級別輸入 an>enable 命令即可進(jìn)入第二個級別，缺省的口令為空。第二個級別的能夠進(jìn)行所有狀態(tài)信息的查看，同一時刻允許有多個管理員處在此模式下。3. 第三個級別配置模式 “an (config)#”:

13、從第二個級別進(jìn)入第三個級別，是在第二個級別輸入 an#config terminal命令即可進(jìn)入配置模式，同一時刻只允許一個人進(jìn)入此模式。只有在此模式下才能夠進(jìn)行設(shè)備的配置。當(dāng)長時間不敲入命令，系統(tǒng)會自動退出。從后一個級別回到上一個級別使用 exit 命令，如果直接關(guān)閉終端軟件，沒有從config 模式exit到管理模式，會有缺省三分鐘的等待時間才能再次進(jìn)入config模式。無論是在那種模式下都可以輸入 “?” 來了解當(dāng)前模式下可以執(zhí)行的命令，或者是某條命令的信息如：an (config)#show ?an (config)#ip address ?webui基本介紹瀏覽器的版本目前array

14、 sp 的webui支持這些版本：1. ie(version6.0 或者之后的版本)2. netscape(version7.0或者之后的版本)3. firefox(version1.5)登陸webui的過程1. 確認(rèn)在sp的命令行中 webui on2. 例如你的sp系統(tǒng)ip地址是5.請在瀏覽器中輸入https:/5:88883. 你將會看到下面圖片，默認(rèn)用戶名/密碼是array/admin4. 輸入enable密碼，缺省是空5. 進(jìn)入sp的webui界面設(shè)備硬件信息、os版本及l(fā)icense管理拿到array的設(shè)備，你最先作的是通過led查看設(shè)備硬件

15、運(yùn)行情況，若fault燈總是亮的，請聯(lián)系供應(yīng)商解決設(shè)備硬件故障。其次，您要登陸到設(shè)備上，最好用命令行方式，查看設(shè)備的系統(tǒng)信息：array sp rel.sp. build 9 ： 是指當(dāng)前運(yùn)行的array os版本ssl hw： 是指ssl 硬件加速卡的信息。compression hw： 是指硬件壓縮卡的信息maximum sessions ：指設(shè)備license允許的最大并發(fā)用戶數(shù)maximum vblades：指設(shè)備license 允許的最多virtual site 數(shù)量licensed features ：指設(shè)備license 允許的功能模塊licensekey ：arr

16、ay 頒發(fā)的設(shè)備的license key，最后的幾位數(shù)字是license截止的日期，以上例子99999999是無限期的license 如果您拿到array 的 spx設(shè)備是新的，設(shè)備的license是 invalid license ，您需要向供應(yīng)商申請license ，您需要向他提供以上的show version 信息，最主要的是設(shè)備的serial number。拿到新的license key 后，您需要輸入：an(config)#system license <license key>即可使新的license生效，輸入后您可以通過show version 查看license 信

17、息。spx設(shè)備基本信息配置本文以如下的拓?fù)浣Y(jié)構(gòu)為例作配置說明，雙臂結(jié)構(gòu)，以/24來模擬公網(wǎng)，以/16來模擬內(nèi)網(wǎng)。virtual site ip地址為：/24。設(shè)備的outside ip address：/24，inside ip address為：/16配置主機(jī)名：an(config)#hostname <hostname> ：其中主機(jī)名長度最長為64字節(jié)實(shí)例：例如需要配置設(shè)備的名稱為sp-demo，則命令如下。an(config)#hostname sp-demo配置端口ip地址:

18、an(config)#ip address outside | inside <ip-address> <netmask>實(shí)例：例如需要對設(shè)備的outside端口和inside端口進(jìn)行配置an(config)# ip address inside an(config)# ip address outside 查看當(dāng)前端口ip地址命令：an(config)#show ip address配置路由：配置默認(rèn)路由命令：an(config)#ip route default <n

19、exthop-gateway-address>配置靜態(tài)路由命令：an(config)#ip route static <dest-ip> <dest-mask> <nexthop-gateway-address>實(shí)例：增加一條默認(rèn)路由和一條靜態(tài)路由an(config)# ip route default an(config)# ip route static webui->system configuration->basic networking-

20、>interface->outsidewebui->system configuration->basic networking->interface->insidewebui->system configuration->basic networking->routing測試網(wǎng)絡(luò)聯(lián)通情況spx系列產(chǎn)品提供了ping和traceroute來檢查網(wǎng)路的聯(lián)通狀況ping命令示例：an(config)#ping traceroute命令示例：an(config)#traceroute webui-&

21、gt;admin tools->troubleshooting配置域名服務(wù)器spx需要指明dns服務(wù)器以提供域名解析服務(wù)，尤其是當(dāng)需要內(nèi)部域名服務(wù)器解析內(nèi)部域名時。命令行：an(config)#ip dns nameserver server_ipan(config)#ip dns nameserver 3webui->system configuration->basic networking->dns在basic networking和advanced networking中都有dns的配置.basic中的dns只是配置一條dns ip,所有dns

22、查詢都會指向這個dns server. advanced中的dns是sp本機(jī)做dns server,所有dns解析都由sp來做,這種情況比較少用.時區(qū)、時間配置時區(qū)、時間的設(shè)置對于ssl vpn配置來講非常重要，這主要是和數(shù)字證書的驗(yàn)證有關(guān)，數(shù)字證書一般是有期限設(shè)定的。時區(qū)設(shè)定 an(config)#system timezone "asia/china/china coast"時間設(shè)定an(config)#system date <year> <month> <date>an(config)#system time <hour&g

23、t; <minute> <second>舉例：an(config)#system date 2002 8 8an(config)#system time 16 28 0webui->system configuration->general settings->date/time保存配置spx系列產(chǎn)品默認(rèn)有兩種配置，一是running config配置，一是startup配置。running config配置是系統(tǒng)當(dāng)前正在應(yīng)用生效的配置文件，而startup配置文件是系統(tǒng)啟動時使用的配置文件。保存配置命令有以下幾種：an(config)#write m

24、emory all作用：使用running config覆蓋全局的startup configsp-demo(config)#write memory作用：使用running config覆蓋virtual site的startup config.注意此時是在virtual site中an(config)#write file all <filename> 作用：將當(dāng)前的running config以文件的形式保存在系統(tǒng)中，待以后應(yīng)用an(config)#write net scp <scp-server-ip-address> <user-name> &l

25、t;filepath>an(config)#write net tftp <tftp-ip-address> filename作用：將當(dāng)前的running config以文件的形式保存第三方的scp或tftp服務(wù)器上，待以后應(yīng)用。webui->admin tools->config management0>backup查看配置an(config)#show running作用：顯示出所有running config的配置內(nèi)容 an(config)#show startup作用：顯示出所有startup config的配置內(nèi)容 an(config)#show

26、config file filename作用：顯示出所有保存的文件列表，或文件中的所有配置內(nèi)容webui->admin tools->config management0>view->startup config清除配置an(config)#clear config all作用：清除所有配置，恢復(fù)到出廠狀態(tài) an(config)#no 作用：清除特定配置命令行webui->admin tools->config management0>clear導(dǎo)入配置an(config)#configure memory all作用：應(yīng)用startup config覆蓋running config an(config)#configure file all <filename> 作用：應(yīng)用保存的文件中的配置覆蓋當(dāng)前running config an(config)#configure net scp <scp-ip-address> <user-name> <filen