華為AR-G3系列路由器SSL-VPN交付指南-V11-C

ARG3系列路由器SSLVPN交付指南V1.1_C企業(yè)網(wǎng)絡技術服務部V1.1Page2SSLVPN前言Page3學習指南南SSLVPN技術原理理SSLVPN交付準備備SSLVPN典型配置置應用SSLVPN故障處理理Page4學習完此此課程，，您將會會：具有ARG3路由器SSLVPN業(yè)務典型型場景交交付能力力具有ARG3路由器SSLVPN業(yè)務典型型問題故故障處理理能力目標Page5內容介紹紹第1章SSLVPN技術原理理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基礎配置置第4章AR中SSLVPN配置-三種業(yè)務務應用場場景第5章AR中SSLVPN典型問題題故障處處理Page6第1章SSLVPN技術原理理SSLVPN（SecureSocketsLayerVPN）是以HTTPS為基礎的的安全接接入的VPN技術，它它利用SSL協(xié)議提供供的數(shù)據(jù)據(jù)加密、、身份驗驗證和消消息完整整性驗證證機制，，為用戶戶遠程訪訪問公司司內部網(wǎng)網(wǎng)絡提供供安全保保障。SSLPKIHTTPS業(yè)務模塊塊構成資源訪問問流程Page7SSLVPN遠程維護合作伙伴移動辦公分支機構WEB服務器數(shù)據(jù)庫Email企業(yè)總部加密的內外連接標準的內部連接NFSERP客戶VPN網(wǎng)關遠程維護護：HTTPS遠程維護護，對維維護操作作的數(shù)據(jù)據(jù)加密傳傳送功能應用用：WEB代理、遠遠程桌面面/telnet等TCP應用、基基于IP的應用認證方式式：用戶接入入企業(yè)內內部網(wǎng)絡絡前先要要進行認認證，支支持Local、RADIUS、TACACS等多種認認證方式式加密方式式：用戶訪問問企業(yè)內內部網(wǎng)絡絡的數(shù)據(jù)據(jù)需要經(jīng)經(jīng)過加密密處理，，支持DES、RC4、AES、RSA、MD5、SHA--1等密碼算算法Page8SSL協(xié)議概述述安全套接接層SSL（SecureSocketsLayer）協(xié)議是是在Internet基礎上提提供的一一種保證證私密性性的安全全協(xié)議。。它能使使客戶端端與服務務器之間間的通信信不被攻攻擊者竊竊聽，并并且始終終對服務務器進行行認證，，還可選選擇對客客戶端進進行認證證。SSL協(xié)議與應應用層協(xié)協(xié)議相互互獨立，，應用層層協(xié)議（（例如：：HTTP，F(xiàn)TP）能透明明的建立立于SSL協(xié)議之上上。SSL協(xié)議在應應用層協(xié)協(xié)議通信信之前就就已經(jīng)完完成加密密算法、、通信密密鑰的協(xié)協(xié)商以及及服務器器認證工工作。在在此之后后應用層層協(xié)議所所傳送的的數(shù)據(jù)都都會被加加密，從從而保證證通信的的私密性性。SSL協(xié)議結構構和位置置如右圖圖:SSL協(xié)議安全全機制連接的私私密性：：SSL利用對稱稱加密算算法對傳傳輸數(shù)據(jù)據(jù)進行加加密，并并利用密密鑰交換換算法—RSA（RivestShamirandAdleman，非對稱稱密鑰算算法的一一種）加加密傳輸輸對稱密密鑰算法法中使用用的密鑰鑰。身份驗證證機制：：基于證證書利用用數(shù)字簽簽名方法法對服務務器和客客戶端進進行身份份驗證，，其中客客戶端的的身份驗驗證是可可選的。。SSL服務器和和客戶端端通過公公鑰基礎礎設施PKI（PublicKeyInfrastructure）提供的的機制從從認證機機構CA（CertificateAuthority，）獲取取證書。。內容的可可靠性：：消息傳傳輸過程程中使用用基于密密鑰的消消息驗證證碼MAC（MessageAuthenticationCode）來檢驗驗消息的的完整性性。Page9PKI公鑰基礎礎設施PKI（PublicKeyInfrastructure），是一一種遵循循既定標標準的密密鑰管理理平臺，，它能夠夠為所有有網(wǎng)絡應應用提供供加密和和數(shù)字簽簽名等密密碼服務務及所必必需的密密鑰和證證書管理理體系應用場景景:VPN//安全電子子郵件/Web安全Web安全：為為了透明明地解決決Web的安全問問題，在在兩個實實體進行行通信之之前，先先要建立立SSL連接，以以此實現(xiàn)現(xiàn)對應用用層透明明的安全全通信。。利用PKI技術，SSL協(xié)議允許許在瀏覽覽器和服服務器之之間進行行加密通通信。此此外，服服務器端端和瀏覽覽器端通通信時雙方可以以通過數(shù)數(shù)字證書書確認對對方的身份。Page10PKI工作機制制配置PKI的目的就就是為指指定的實實體向CA申請一個個本地證證書，并并由設備備對證書書的有效效性進行行驗證數(shù)字證書書CA:數(shù)字證書書是一個個經(jīng)認證證機構CA（CertificateAuthority）簽名的的，包含含實體公公開密鑰鑰及相關關身份信信息的文文件，它它建立了了實體身身份信息息與其公公鑰的關關聯(lián)，是是使用PKI系統(tǒng)的用用戶建立立安全通通信的信信任基礎礎。CA對數(shù)字證證書的簽簽名保證證了證書書的合法法性和權權威性。。PKI工作過程程:實體向注注冊機構構RA提出證書書申請。。RA審核實體體身份，，將實體體身份信信息和公公開密鑰鑰以數(shù)字字簽名的的方式發(fā)發(fā)送給CA。CA驗證數(shù)字字簽名，，同意實實體的申申請，頒頒發(fā)證書書。RA接收CA返回的證證書，通通知實體體證書發(fā)發(fā)行成功功。實體獲取取證書，，利用該該證書可可以與其其它實體體使用加加密、數(shù)數(shù)字簽名名進行安安全通信信。實體希望望撤消自自己的證證書時，，向CA提交申請請。CA批準實體體撤消證證書，并并更新CRL。Page11HTTPSHTTPS將HTTP和SSL結合，通通過SSL對客戶端端和服務務器進行行身份驗驗證，對對傳輸?shù)牡臄?shù)據(jù)進進行加密密，保證證通信的的安全性性。對于支持持Web網(wǎng)管功能能的設備備，開啟啟HTTP服務后，，設備可可以作為為Web服務器，，允許用用戶通過過HTTP協(xié)議登錄錄，并利利用Web頁面實現(xiàn)現(xiàn)對設備備的訪問問和控制制。但是是HTTP協(xié)議本身身不能對對Web服務器的的身份進進行驗證證，也不不能保證證數(shù)據(jù)傳傳輸?shù)乃剿矫苄?，，無法提提供安全全性保證證。為此此，可在在設備上上部署HTTPS功能，通通過SSL對客戶端端和服務務器進行行身份驗驗證，對對傳輸?shù)牡臄?shù)據(jù)進進行加密密，從而而實現(xiàn)了了對設備備的安全全管理。。在作為HTTP服務器的的設備上上部署SSL策略，并并使能HTTPS服務器功功能后，，用戶可可以在終終端通過過瀏覽器器登錄HTTPS服務器，，利用Web頁面安全全管理設設備或者者訪問設設備所屬屬網(wǎng)絡的的資源Page12業(yè)務模塊塊構成Page13遠程終端端SSLVPN網(wǎng)關企業(yè)內網(wǎng)網(wǎng)服務器器CA認證服務務器資源訪問問流程Page141.終端向AR提出身份份審核申申請2.AR審核身份份，將身身份信息息和公開開密鑰以以數(shù)字簽簽名的方方式發(fā)送送給CA。3.CA驗證數(shù)字字簽名，，同意終終端實體體的申請請，頒發(fā)發(fā)證書。。4.AR接收CA返回的證證書，通通知終端端證書發(fā)發(fā)行成功功。5.終端獲取取證書，，利用該該證書可可以與其其它終端端使用加加密、數(shù)數(shù)字簽名名進行安安全通信信。6.終端希望望撤消自自己的證證書時，，向CA提交申請請。CA批準終端端撤消證證書，并并更新CRL。Page15內容介紹紹第1章SSLVPN技術原理理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基礎配置置第4章AR中SSLVPN配置-三種業(yè)務務應用場場景第5章AR中SSLVPN典型問題題故障處處理Page16第2章AR中SSLVPN的License管理AR的License結構AR各型號支支持的SSLVPNLicense特性License下載和激激活AR的License結構Page17License軟件體系系按照業(yè)業(yè)務類型型可以分分為數(shù)據(jù)據(jù)、語音音和安全全特性，，按照業(yè)業(yè)務的層層級可以以分為基基礎、增增值和進進階特性性，如下下圖。SSLVPN屬于安全全增值特特性，購購買安全全增值包包后即具具備SSLVPN功能,此時默認認支持2個用戶同同時在線線,如需要更更多用戶戶同時在在線,需要購買買資源性性SSLVPNLicense.虛擬網(wǎng)關關允許接接入的最最大在線線用戶數(shù)數(shù)目通過過客戶購購買License包實現(xiàn)功能型License資源型LicenseAR各型號支支持的SSLVPNLicense特性Page18設備支持持的最大大在線用用戶數(shù)（具體參考考產(chǎn)品手手冊）AR150/200系列：10AR1200系列、AR2201、AR2202、AR2204：50AR2220、AR2220L、AR2240：100AR3200系列：200SSLVPN屬于資源源型License，此License功能生效效的前提提是已購購買安全全增值業(yè)業(yè)務包，，同一個個資源型型License支持多次次選擇，，用戶可可以任意意組合，，最終獲獲得的資資源數(shù)目目為所有有資源型型License的資源之之和，以以下是AR全系列可可購買的的License包SSLVPNlicense--接入10用戶數(shù)SSLVPNlicense--接入25用戶數(shù)SSLVPNlicense--接入100用戶數(shù)License下載和激激活Page19通過企業(yè)業(yè)務務FNO系統(tǒng)提供供自助服服務端獲取License/flexnet//operationsportalLicense申請指導導可參考考附件：：License下載和激激活Page20選擇、購購買License。獲取License授權證書書。提取設備備的ESN。查看設備備的ESN，用戶需需要登錄錄設備后后，執(zhí)行行命令displayesn。使用License激活碼方方式或用用戶名&密碼方式式登錄FNO，綁定ESN，生成唯唯一的License文件。下載License文件。用戶可以以通過FTP或者移動動存儲等等方式將將獲取的的License文件上傳傳至存儲儲器的默默認根目目錄下。。上傳License文件到設設備，執(zhí)執(zhí)行命令令dirdevice-name，查看是是否有足足夠存儲儲空間存存放License文件，確確保有足足夠的存存儲空間間后，通通過FTP或者TFTP方式，將將License文件上傳傳至存儲儲器的默默認根目目錄下，，License文件后綴綴為*.dat文件。激活License文件，執(zhí)執(zhí)行命令令licenseactivefile-name，獲取相相應授權權檢查License狀態(tài)，使使用displaylicense命令查看看當前系系統(tǒng)中License文件信息息，使用用displaylicensestate命令查看看主控板板License狀態(tài)Page21內容介紹紹第1章SSLVPN技術原理理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基礎配置置第4章AR中SSLVPN配置-三種業(yè)務務應用場場景第5章AR中SSLVPN典型問題題故障處處理Page22第3章AR中SSLVPN配置-基礎配置置配置流程程圖PKI配置HTTPS配置SSLVPN配置準備備創(chuàng)建虛擬擬網(wǎng)關并并綁定內內網(wǎng)接口口和AAA域使能SSLVPN基本功能能配置用戶戶（本地地/Radius）檢查配置置結果Page23配置流程程圖PKISSLHTTPSAAA域虛擬網(wǎng)關關內網(wǎng)接口口SSLVPNPKIAR自簽名證證書通過CA服務器獲獲取證書書帶外本地地導入證證書手動在線線注冊證證書自動注冊冊證書PKI配置-實體Page24PKI實體一份證書書是一個個公開密密鑰與一一個身份份的綁定定，而身身份必須須與一個個特定的的PKI實體相關關聯(lián)。PKI實體標識識了一個個證書的的申請者者。PKI實體的通通用名稱稱Common--name與合格域域名FQDN,兩者唯一一標識了了一個PKI實體，可可任配其其一，也也可兩者者都配。。執(zhí)行命令令system--view，進入系系統(tǒng)視圖圖。執(zhí)行命令令pkientityentity--name，創(chuàng)建PKI實體并進進入PKI實體視圖圖。執(zhí)行如下下命令，，配置PKI實體標識識。執(zhí)行命令令common--namecommon--name，配置PKI實體通用用名。執(zhí)行命令令fqdnfqdn-name，配置PKI實體合格格域名。。例<Huawei>pkientitysslvpn---------創(chuàng)建PKI實體<Huawei>countryCN<Huawei>statebeijing<Huawei>organizationhuawei<Huawei>organization--unitinfo<Huawei>common--namehello---------設置通用用名PKI配置-本地證書書(通過帶外外方式導導入)Page25PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]]caidca__root-----------配置PKI域信任的的CA[Huawei-pki-realm-sslvpn]]entitysslvpn-------------綁定PKI實體[Huawei-pki-realm-sslvpn]]certificate--checknone-------配置驗證證證書狀狀態(tài)的檢檢查方式式{crl|none|ocsp}通過PKCS10生成證書書申請文文本(或申請文文件)[Huawei]pkienroll--certificatesslvpnpkcs10------pkcs10為申請文文本,pkcs10filenamexxx為申請文文件.此時需要要輸入兩兩個密碼碼:1.出現(xiàn)”Pleaseenterthefilenameofprivatekey<length1-127>>”提示時輸輸入的密密碼為證證書注銷銷密碼;2.出現(xiàn)”Thecurrentpasswordofprivatekeyisrequired,pleaseenteryourpassword<length1-31>””提示時輸輸入的密密碼為后后續(xù)倒入入證書時時的密碼碼,需記住.在CA服務器上上生成證證書文件件,例如server..pem.將CA證書上傳傳到AR的FLASH中,導入證書書文件(本地導入入)[Huawei]pkiimport--certificatelocalsslvpnpem-----------本地導入入證書文文件,格式為PEMPleaseenterthenameofcertificatefile<<length1--127>:server..pemYouareimportingalocalcertificate,thecurrentprivatekeyisrequired.Pleaseenterthenameofprivatekeyfile<<length1--127>:prikey..pemPleaseenterthetypeofprivatekeyfile(pem,,p12)):pemThecurrentpasswordisrequired,pleaseenteryourpassword<<length1-31>::****（密碼為privatekey生成時的的密鑰)

PKI配置-手動在線線注冊Page26PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]]caidca__root-----------配置PKI域信任的的CA[Huawei-pki-realm-sslvpn]]entitysslvpn-------------綁定PKI實體[Huawei-pki-realm-sslvpn]]enrollment-urlhttp:///10.137.145..158:8080//certsrv/mscep/mscep.dllra---證書服務務器URL[Huawei-pki-realm-sslvpn]]certificate--checknone-------配置驗證證證書狀狀態(tài)的檢檢查方式式{crl|none|ocsp}手工注冊冊證書[Huawei]pkienroll-certificatesslvpn------手工注冊冊證書AR在線從CA服務器上上下載證證書,不需要本本地導入入

PKI配置-自動注冊冊Page27PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]]caidca__root-----------配置PKI域信任的的CA[Huawei-pki-realm-sslvpn]]entitysslvpn-------------綁定PKI實體[Huawei-pki-realm-sslvpn]]auto--enroll------------使能實體體證書自自動注冊冊和更新新功能[Huawei-pki-realm-sslvpn]]enrollment-urlhttp:///10.137.145..158:8080//certsrv/mscep/mscep.dllra---證書服務務器URL[Huawei-pki-realm-sslvpn]]fingerprintsha17A34D94624B1C1BCBF6D763C4A67035D5B578EAF---配置驗證證CA證書時使使用的指指紋,自動注冊冊必配,手動注冊冊選配{md5|sha1}[Huawei-pki-realm-sslvpn]]certificate--checknone-------配置驗證證證書狀狀態(tài)的檢檢查方式式{crl|none|ocsp}配置證書書自動注注冊和更更新功能能后，則則不需要要手工下下載證書書。當有有外部應應用需要要CA證書或者者設備證證書時，，將自動動觸發(fā)下下載CA證書和本本地證書書

PKI配置-自簽名證證書Page28用戶通過過PKI設備生成成自簽名名證書或或設備本本地證書書，實現(xiàn)現(xiàn)簡單的的證書頒頒發(fā)功能能,此時不需需要CA證書服務務器.執(zhí)行命令令system--view，進入系系統(tǒng)視圖圖。執(zhí)行命令令pkicreate-certificate[self-signed]{filenamefile-name}，配置自自簽名證證書或設設備本地地證書

HTTPS配置Page29創(chuàng)建SSLPOLICY并引用PKI域作為SSL服務器的的Router基于PKI域從認證證機構CA獲取數(shù)字字證書，，以便SSL客戶端可可以根據(jù)據(jù)數(shù)字證證書對Router進行身份份驗證.[HUAWEI]sslpolicyuserstypeserver-----------創(chuàng)建SSLPOLICY,,類型為服服務器[HUAWEI-ssl-policy--users]]pki-realmsslvpn---------------綁定PKI域關聯(lián)SSLPOLICY并使能HTTPS功能利用SSL協(xié)議的數(shù)數(shù)據(jù)加密密、身份份驗證和和消息完完整性驗驗證機制制，保證證用戶和和設備之之間數(shù)據(jù)據(jù)傳輸?shù)牡陌踩孕裕@樣樣用戶可可以利用用Web頁面安全全訪問遠遠程的設設備[HUAWEI]httpsecure-serverssl-policyusers------------HTTPS服務器類類型為SSL[HUAWEI]httpsecure-serverenable-----------使能HTTPS功能

SSLVPN配置準備備Page30組網(wǎng)拓撲撲

允許SSLVPN用戶使用用的企業(yè)業(yè)內網(wǎng)服服務器IP地址和端端口需要實現(xiàn)現(xiàn)桌面共共享或遠遠程登陸陸的主機機IP地址段（（可選））網(wǎng)絡擴展展業(yè)務使使用的IP地址段（（可選））配置內外外網(wǎng)接口口IP地址配置AAA域（本地地/Radius/hwtacas）Page31通過虛擬擬網(wǎng)關提提供SSLVPN服務，一一臺AR設備可以以配置成成多個虛虛擬網(wǎng)關關；每個虛擬擬網(wǎng)關都都是獨立立可管理理的，可可以配置置各自的的資源、、用戶、、認證方方式等；；當企業(yè)有有多個部部門時，，可以為為每個部部門或者者用戶群群體分配配不同的的虛擬網(wǎng)網(wǎng)關，從從而形成成完全隔隔離的訪訪問體系系。SSLVPN虛擬網(wǎng)關關創(chuàng)建虛擬擬網(wǎng)關并并綁定接接口和AAA域Page32創(chuàng)建虛擬擬網(wǎng)關[HUAWEI]sslvpngatewaymarket---------------創(chuàng)建虛擬擬網(wǎng)關[HUAWEI-sslvpn-market]]intranetinterfaceGigabitEthernet0/0//1-------綁定內網(wǎng)網(wǎng)接口[HUAWEI-sslvpn-market]]binddomaindefault-----------綁定AAA域修改監(jiān)聽聽端口號號出于安全全考慮，，一般需需要修改改監(jiān)聽端端口號。。修改前前需要確確保設備備上所有有的SSLVPN虛擬網(wǎng)關關都處于于去使能能狀態(tài)。。當管理理員修改改SSLVPN業(yè)務的端端口號后后，后續(xù)續(xù)用戶登登錄SSLVPN網(wǎng)關時，，輸入的的URL地址攜帶帶的端口口號必須須為修改改后的端端口號。。[HUAWEI]sslvpnserverport1025--------------默認為443使能SSLVPN功能[HUAWEI-sslvpn-market]]enable-------使能SSLVPN業(yè)務配置SSLVPN用戶-本地認證證授權Page33本地認證證用戶執(zhí)行命令令system--view，進入系系統(tǒng)視圖圖。執(zhí)行命令令aaa，進入AAA視圖。執(zhí)行命令令local-useruser-nameservice-typesslvpn，配置用用戶類型型為SSLVPN虛擬網(wǎng)關關用戶。。執(zhí)行命令令local-useruser-namepasswordcipherpassword，配置SSLVPN虛擬網(wǎng)關關用戶的的密碼。。（可選））執(zhí)行命命令local-useruser-nameprivilegelevellevel，配置本本地用戶戶的優(yōu)先先級執(zhí)行命令令authentication-schemeauthentication-scheme--name，創(chuàng)建一一個認證證方案，，并進入入認證方方案視圖圖或直接接進入一一個已存存在的認認證方案案視圖。。執(zhí)行命令令authentication-modelocal，配置認認證模式式為本地地認證。。執(zhí)行命令令quit，返回AAA視圖。執(zhí)行命令令authorization-schemeauthorization-scheme-name，創(chuàng)建授授權方案案，并進進入授權權方案視視圖或直直接進入入一個已已存在的的授權方方案視圖圖。執(zhí)行命令令authorization-modelocal[none]配置授權權模式。。執(zhí)行命令令quit，返回AAA視圖。執(zhí)行命令令domaindomain--name，創(chuàng)建域域并進入入域視圖圖或進入入一個已已存在的的域視圖圖。執(zhí)行命令令authentication-schemeauthentication-scheme--name，配置域域的認證證方案。。執(zhí)行命令令authorization-schemeauthorization-scheme-name，配置域域的授權權方案。。配置SSLVPN用戶-Radius認證授權權Page34Radius認證用戶戶執(zhí)行命令令system--view，進入系系統(tǒng)視圖圖。執(zhí)行命令令radius--servertemplatetemplate-name，進入RADIUS服務器模模板視圖圖。執(zhí)行命令令radius--serverauthenticationip-addressport[[vpn--instancevpn-instance-name]][[source{{loopbackinterface-number||ip-addressip-address}}]]，配置RADIUS主用認證證服務器器。（可選））執(zhí)行命命令radius--servershared-key[cipher||simple]]key-string，配置RADIUS共享密鑰鑰。執(zhí)行命令令quit，返回系系統(tǒng)視圖圖。執(zhí)行命令令aaa，進入AAA視圖。執(zhí)行命令令authentication-schemeauthentication-scheme--name，創(chuàng)建一一個認證證方案，，并進入入認證方方案視圖圖或直接接進入一一個已存存在的認認證方案案視圖。。執(zhí)行命令令authentication-moderadius[[none]，配置認認證模式式為RADIUS認證。執(zhí)行命令令quit，返回AAA視圖。執(zhí)行命令令domaindomain--name，創(chuàng)建域域并進入入域視圖圖或進入入一個已已存在的的域視圖圖。執(zhí)行命令令authentication-schemeauthentication-scheme--name，配置域域的認證證方案。。執(zhí)行命令令radius--servertemplate-name，配置域域的RADIUS服務器模模板。Page35配置檢查查查看虛擬擬網(wǎng)關users的配置信信息<Huawei>displaysslvpngatewayusersGatewayname::usersStatus::enableIntranetinterface::Ethernet1//0/0IntranetIP::10.1..17..1Domain::defaultMax--user::200Max--onlinetime(minute)):120Web--proxyresources:2Port-forwardingresources:1Ip-forwardingresources::1Totalonlineusers::15查看SSLVPN業(yè)務的監(jiān)監(jiān)聽端口口號<Huawei>displaysslvpnserverportsslvpnserverport::443((default::443)Page36內容介紹紹第1章SSLVPN技術原理理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基礎配置置第4章AR中SSLVPN配置-三種業(yè)務務應用場場景第5章AR中SSLVPN典型問題題故障處處理Page37第4章AR中SSLVPN配置-三種業(yè)務務應用場場景配置WEB代理業(yè)務務配置端口口轉發(fā)業(yè)業(yè)務配置網(wǎng)絡絡擴展業(yè)業(yè)務檢查配置置結果Page38管理員先先在VPN網(wǎng)關上設設置好用用戶允許許訪問的的WEB站點，用用戶訪問問時先登登陸VPN網(wǎng)關，認認證通過過后網(wǎng)關關將把允允許用戶戶訪問的的站點資資源列表表顯示給給用戶。。用戶點擊擊內網(wǎng)服服務器鏈鏈接（https），VPN網(wǎng)關將該該頁面請請求轉發(fā)發(fā)給內部部web服務器（（http），然后后將服務務器的響響應回傳傳給終端端用戶。。Web代理有兩兩種實現(xiàn)現(xiàn)方式：：Web--tunnel和URL改寫。Web--tunnel利用端口口轉發(fā)原原理實現(xiàn)現(xiàn)，用戶戶登錄VPN網(wǎng)關后，，客戶端端自動安安裝JAVA插件，顯顯示給用用戶的內內部網(wǎng)站站資源的的URL鏈接是內內網(wǎng)真實實的URL，例如http:///10..110.1..100。用戶點點擊該網(wǎng)網(wǎng)站連接接后，JAVA插件會自自動為該該報文增增加一個個目的地地址是VPN網(wǎng)關的外外層隧道道，并通通過HTTPS協(xié)議發(fā)送送給網(wǎng)關關，網(wǎng)關關還原成成原始的的HTTP請求發(fā)送送給內部部WEB服務器。。URL改寫方式式用戶不不需要JAVA插件，VPN網(wǎng)關顯示示給用戶戶的內部部網(wǎng)站資資源鏈接接是經(jīng)過過改寫后后的URL，例如上上述服務務器的URL可能會被被改寫成成https:///0/sslvpn//dynamic/4/2//0/9/http//10..110.1..100。VPN服務器需需要對內內部服務務器響應應遠端用用戶的每每個頁面面中的URL進行改寫寫，其它它內容不不變。VPN網(wǎng)關WEB服務器遠程用戶000WEB代理業(yè)務務流程配置WEB代理業(yè)務務Page39組網(wǎng)拓撲撲

用戶使用用瀏覽器器以HTTPS方式，通通過SSLVPN網(wǎng)關對內內網(wǎng)Web服務器提提供的資資源進行行訪問。。在這個個過程中中，SSLVPN網(wǎng)關利用用Web代理業(yè)務務，代理理用戶對對內網(wǎng)Web服務器的的訪問，，為用戶戶訪問內內網(wǎng)Web服務器提提供了安安全的連連接配置[HUAWEI]sslvpngatewaymarket[HUAWEI-sslvpn-market]]service--typeweb--proxyresourcemarket__web-proxy----------創(chuàng)建Web代理業(yè)務務[HUAWEI-sslvpn-market--wp--res-market_web--proxy]]linkhttp:://10.1.1..2:80------web服務器Page40VPN網(wǎng)關TCP3389TCP25TCP21TCP23應用請求應用代理CLIENTSERVERSSLInternet提供對內網(wǎng)TCP應用的安全接入！管理員先先設置好好允許用用戶使用用的端口口轉發(fā)應應用對應應的服務務器IP地址、端端口號；；用戶端自自動安裝裝運行JAVA插件，獲獲取到端端口轉發(fā)發(fā)資源列列表（目目的服務務器IP、端口））；用戶在本本地計算算機上打打開對應應的應用用程序，，插件將將客戶端端發(fā)起的的TCP報文與資資源列表表進行比比對，當當發(fā)現(xiàn)報報文的目目的IP/Port與資源列列表中的的表項匹匹配，則則截獲報報文。對該報文文加密封封裝，添添加隧道道報文頭頭，將目目的地址址設為VPN網(wǎng)關的IP地址，發(fā)發(fā)往VPN網(wǎng)關。VPN網(wǎng)關收到到報文進進行解密密，發(fā)往往真實的的目的服服務器端端口。VPN網(wǎng)關收到到服務器器的響應應后，再再加密封封裝回傳傳給用戶戶終端的的偵聽端端口。端口轉發(fā)發(fā)業(yè)務流流程配置端口口轉發(fā)業(yè)業(yè)務Page41組網(wǎng)拓撲撲

通過端口口轉發(fā)業(yè)業(yè)務，用用戶可以以訪問內內網(wǎng)中基基于TCP的服務，，包括遠遠程訪問問服務（（如Telnet）、桌面面共享服服務、郵郵件服務務等配置[HUAWEI]sslvpngatewaymarket[HUAWEI-sslvpn-market]]service--typeport-forwardingresourcemarket__port-forwarding----------創(chuàng)建端口口轉發(fā)業(yè)業(yè)務[HUAWEI-sslvpn-market--pf--res-market__port-forwarding]serverip-address1port3389------可以與企企業(yè)內部部主機（（IP地址：10.138..10..21）實現(xiàn)桌桌面共享享,或訪問某某應用服服務器網(wǎng)絡拓展展業(yè)務流流程Page42用戶登錄錄網(wǎng)關后后，在客客戶端自自動運行行JAVA插件，安安裝虛擬擬網(wǎng)卡，，VPN網(wǎng)關給虛虛擬網(wǎng)卡卡分配一一個可被被內網(wǎng)識識別的IP地址；客戶端發(fā)發(fā)起基于于IP的內網(wǎng)應應用（JAVA插件安裝裝后會生生成一條條內網(wǎng)的的路由，，指向虛虛擬網(wǎng)卡卡），虛虛擬網(wǎng)關關截獲報報文后增增加IP隧道封裝裝，進行行SSL加密后發(fā)發(fā)往VPN網(wǎng)關；VPN網(wǎng)關對報報文解密密剝掉IP隧道頭后后發(fā)往內內網(wǎng)服務務器；內網(wǎng)服務務器的響響應報文文發(fā)到VPN網(wǎng)關，由由VPN網(wǎng)關進行行封裝加加密，發(fā)發(fā)往客戶戶端。^源IP目的IP原始報文54源IP目的IP虛擬網(wǎng)卡封裝后0054Client::10..1.1.20虛擬網(wǎng)卡卡:5410.1.1..30Server::192..168.1..5配置網(wǎng)絡絡擴展業(yè)業(yè)務Page43組網(wǎng)拓撲撲

網(wǎng)絡擴展展業(yè)務，，可以使使遠程終終端與內內網(wǎng)服務務器在網(wǎng)網(wǎng)絡層實實現(xiàn)安全全通信，，比如：：在遠處處終端與與內網(wǎng)服服務器之之間實現(xiàn)現(xiàn)文件共共享,配置[HUAWEI]ippoolmarket_pool--------創(chuàng)建網(wǎng)絡絡擴展業(yè)業(yè)務使用用的IP地址池[HUAWEI-ip-pool--market_pool]]network10..139.30.0mask24[HUAWEI-ip-pool--market_pool]]gateway--list10.139..30..1[HUAWEI]sslvpngatewaymarket[HUAWEI-sslvpn-market]]service--typeip-forwardingresourcemarket__ip--forwarding-------創(chuàng)建ip轉發(fā)業(yè)務[HUAWEI-sslvpn-market--if--res-market__ip--forwarding]]bindip--poolmarket__pool-------綁定網(wǎng)絡絡擴展業(yè)業(yè)務使用用的IP地址池[HUAWEI-sslvpn-market--if--res-market__ip--forwarding]]route-modesplit-------配置網(wǎng)絡絡擴展業(yè)業(yè)務使用用的路由由模式為為隧道分分離模式式[HUAWEI-sslvpn-market--if--res-market__ip--forwarding]]route-splitipaddress10..138.10.64mask27---------配置隧道道分離模模式下的的用戶路路由,即用戶可可以Ping通企業(yè)內內網(wǎng)部分分主機（（網(wǎng)段：：10.138..10..64～10.138..10..95）配置檢查查Page44業(yè)務資源源檢查執(zhí)行命令令displaysslvpngatewaygateway-nameresourceclass{web--proxy|port-forwarding|ip-forwarding}，查看虛虛擬網(wǎng)關關的資源源信息。。WEB代理資源源檢查<Huawei>displaysslvpngatewayusersresourceclassweb-proxyThetotalnumberofresourcesis::2-------------------------ResourcenameUrlType-------------------------liyuehttp:///5/web--proxytesthttp:://192..168.1..65//web-proxy-------------------------Page45端口轉發(fā)發(fā)資源檢檢查<Huawei>displaysslvpngatewayusersresourceclassport--forwardingThetotalnumberofresourcesis::1-------------------------ResourcenameServerPortType-------------------------liyue192..168.1..653389port-forwarding-------------------------網(wǎng)絡擴展展資源檢檢查<Huawei>displaysslvpngatewayusersresourceclassip-forwarding-------------------------Resourcename:liyuePoolname::liyueRoute-mode:fullAcl::3001Type:ip--forwarding-------------------------用戶登錄錄Page46用戶登錄錄終端（比比如PC）打開IE瀏覽器，，輸入網(wǎng)網(wǎng)址“https:///1..1.1.1::1025/market””，即AR外部接口口.進入SSLVPN登錄頁面面。輸入入用戶名名和密碼碼認證成成功后，，用戶在在Web訪問頁面面上查看看可以訪訪問的資資源列表表，包括括Web服務器資資源、郵郵箱服務務器資源源和共享享桌面主主機資源源，并且且可以Ping通企業(yè)內內網(wǎng)部分分主機登登等。登陸頁面面

Page47內容介紹紹第1章SSLVPN技術原理理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基礎配置置第4章AR中SSLVPN配置-三種業(yè)務務應用場場景第5章AR中SSLVPN典型問題題故障處處理Page48第4章AR中SSLVPN典型問題題故障處處理用戶無法法登陸SSLVPN網(wǎng)關設備備SSLVPN客戶端軟軟件無法法使用Page49用戶無法法登陸SSLVPN網(wǎng)關設備備常見原因因AR上的虛擬網(wǎng)網(wǎng)關的配配置不完完整。用戶與AR之間路由有故故障，無無法互相相ping通。遠程終端端的瀏覽覽器不是是IE或Firefox、瀏覽器器的版本本低、瀏瀏覽器不不支持Javascript或者瀏覽覽器沒有有啟用cookie功能。AR沒有加載包含含SSLVPN網(wǎng)頁的zip壓縮包。。AR上的HTTPS的配置不不完整。。用戶輸入入的用戶戶名、密密碼不正正確。

Page50用戶無法法登陸SSLVPN網(wǎng)關設備備故障處理步驟驟:1.檢查虛擬擬網(wǎng)關的的配置是是否完整整如果顯示示W(wǎng)eb登錄頁面面，但用用戶沒有有可選擇擇的虛擬擬網(wǎng)關，，請執(zhí)行行displaysslvpngateway[gateway-name]檢查虛擬擬網(wǎng)關是是否使能能。2.