組網需求

企業網絡如圖1所示，企業希望公司外的移動辦公用戶能夠通過SSL VPN隧道訪問公司內網的各種資源。

圖1 移動辦公用戶使用SecoClient通過SSL VPN隧道訪問企業內網

數據規劃

操作步驟

配置FW。

1. 配置接口IP地址和安全區域，完成網絡基本參數配置。

a. 選擇“網絡 > 接口”。

b. 單擊GE0/0/1對應的修改圖標，按如下參數配置。

c. 單擊“確定”。

d. 參考上述步驟按如下參數配置GE0/0/2接口。

2. 配置安全策略。

a. 選擇“策略 > 安全策略 > 安全策略”。

b. 單擊“新建”，按如下參數配置從Untrust到Local的安全策略，允許移動辦公用戶登錄SSL VPN虛擬網關。

c. 單擊“確定”。

d. 參考上述步驟配置從Untrust到Trust的域間策略。

3. 配置到Internet的路由。

假設FW通往Internet的路由下一跳的IP地址為1.1.1.2。

a. 選擇“網絡 > 路由 > 靜態路由”。

b. 單擊“新建”，按如下參數配置。

c. 單擊“確定”。

4. 創建用戶和用戶組。

a. 選擇“對象 > 用戶 > default”。

b. “場景”選擇“SSL VPN接入”，“用戶所在位置”選擇“本地”。

c. 單擊“新建”，選擇“新建用戶組”，創建research用戶組。

d. 單擊“確定”。

e. 單擊“新建”，選擇“新建用戶”，創建用戶user0001，密碼Password@123。

f. 單擊“確定”。

g. 單擊“應用”。

5. 創建并配置SSL VPN虛擬網關。

a. 配置SSL VPN虛擬網關。

設置網關IP地址、用戶認證方式和最大并發用戶數等參數，然后單擊“下一步”。

b. 配置SSL的版本以及加密套件，然后單擊“下一步”。

此處使用缺省算法即可。

c. 選擇要開啟的業務，然后單擊“下一步”。

d. 配置網絡擴展，然后單擊“下一步”。

e. 配置SSL VPN的角色授權/用戶。

單擊“角色授權列表”中default后的修改按鈕圖標，，選中“網絡擴展”，然后單擊“確定”。

f. 返回角色授權/用戶界面，單擊“完成”。

· 配置移動辦公用戶側的SecoClient。

說明：SecoClient軟件包獲取方法：

• 從所在企業的網絡管理人員處直接獲取軟件安裝包，上傳并安裝到您的終端設備上。
• 使用具有SecoClient客戶端軟件安裝包下載權限的賬號登錄華為技術支持網站下載軟件安裝包。登錄網站http://support.huawei.com/enterprise，進入“企業網絡 > 安全 > 防火墻&VPN網關 >（選擇款型）”，選擇“軟件”和版本，下載對應版本的軟件安裝包。
• 如果企業網絡管理員在企業的出口網關上部署了SSL VPN虛擬網關，還可以通過瀏覽器登錄SSL VPN虛擬網關頁面下載軟件安裝包。

打開SecoClient，進入主界面。

1、在“連接”對應的下拉列表框中，選擇“新建連接”。

2、配置SSL VPN連接參數。

在“新建連接”窗口左側導航欄中選中“SSL VPN”，并配置相關的連接參數，然后單擊“確定”。

3、登錄SSL VPN虛擬網關。

a.在“連接”下拉列表框中選擇已經創建的SSL VPN連接，單擊“連接”。

b.在登錄界面輸入用戶名、密碼。

勾選“自動”，表示存在多個虛擬網關時，系統會自動選擇響應速度最快的虛擬網關建立SSL VPN隧道。只有一個網關的情況下，無需勾選“自動”單選框。

說明：在隧道建立過程中，SecoClient側為了保證所連接VPN網關身份的真實性，增加了對VPN網關設備證書的校驗過程，在證書校驗失敗時系統會有如下告警提示。如果您確認當前所要連接的VPN網關真實可靠，可以單擊“繼續”。如果對VPN網關身份存疑，可以單擊“取消”。

c.單擊“登錄”，發起VPN連接。

VPN接入成功時，系統會在界面右下角進行提示。連接成功后移動辦公用戶就可以和企業內網用戶一樣訪問內網資源了。

檢查配置結果

1. 登錄FW，選擇“網絡 > SSL VPN > 監控”，查看用戶在線列表，發現user0001用戶已經登錄成功。

2.移動辦公用戶可以正常訪問企業內網資源。

配置腳本

#
sysname FW
#
interface GigabitEthernet 0/0/1
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
 service-manage https permit
 service-manage ping permit
#
interface GigabitEthernet 0/0/2
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
 service-manage https permit
 service-manage ping permit
#  
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
#
aaa
 domain default
  service-type ssl-vpn
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet 0/0/2
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 0/0/1
#
 v-gateway sslvpn interface GigabitEthernet 0/0/1 private
 v-gateway sslvpn authentication-domain default
 v-gateway sslvpn alias sslvpn
#
#****BEGIN***sslvpn**1****#
v-gateway sslvpn
 basic
  ssl version tlsv10 tlsv11 tlsv12
  ssl timeout 5
  ssl lifecycle 1440
  ssl ciphersuit custom aes256-sha non-des-cbc3-sha aes128-sha
 service
  network-extension enable
  network-extension keep-alive enable
  network-extension keep-alive interval 120
  network-extension netpool 172.16.1.1 172.16.1.100 255.255.255.0
  netpool 172.16.1.1 default
  network-extension mode manual
  network-extension manual-route 10.1.2.0 255.255.255.0
 security
  policy-default-action permit vt-src-ip
  certification cert-anonymous cert-field user-filter subject cn group-filter subject cn
  certification cert-anonymous filter-policy permit-all
  certification cert-challenge cert-field user-filter subject cn
  certification user-cert-filter key-usage any
  undo public-user enable
 hostchecker
 cachecleaner
 role
  role default condition all
  role default network-extension enable
#
security-policy
 rule name sslvpn_ul
  source-zone untrust
  destination-zone local
  service https
  action permit
 rule name sslvpn_ut
  source-zone untrust
  destination-zone trust
  source-address 172.16.1.0 mask 255.255.255.0
  destination-address 10.1.2.0 mask 255.255.255.0
  action permit
# 以下創建用戶/組的配置保存于數據庫，不在配置文件體現
user-manage group /default/research
user-manage user user0001
 parent-group /default/research
 password *********

本文源自華為官網。轉載時請注明出處，謝謝。