Juniper SSL VPN 配置手册Word文档下载推荐.docx

Juniper SSL VPN 配置手册Word文档下载推荐.docx

《Juniper SSL VPN 配置手册Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《Juniper SSL VPN 配置手册Word文档下载推荐.docx（46页珍藏版）》请在冰豆网上搜索。

三、角色映射和功能模块15

3.1、添加角色15

3.2、角色映射17

3.3、功能模块18

四、使用SSLVPN的各个功能模块20

4.1、使用Core功能模块20

4.2、使用SAM功能模块21

4.3、使用NetworkConnect模块25

五、资源访问控制28

5.1、Core和SAM的资源访问控制28

5.2、SAM和NC的资源访问控制29

六、高级策略30

6.1、AAA认证30

6.2、主机检测34

6.3、缓存清除38

6.4、登陆策略40

6.5、单点登陆（SSO）42

七、设备管理45

7.1、系统概览45

7.2、日志系统45

7.3、系统升级47

7.4、设备排除48

一、初始化设置

1.1、通过Console连接SSLVPN

SSLVPN的初始化是通过设备的Console端口完成的，Console的设置如下：

9600,8,N,1。

在管理员的计算机上使用任意终端软件，包括HyperTerminal，Crt，SecureCrt等等都行。

把设备的Console线连接至SSLVPN的Console端口，开启电源开关，通过终端软件就能观察到设备启动自检的过程。

1.2、填写初始化信息

当系统自检到如下信息时：

Welcometotheinitialconfigurationofyourserver!

NOTE:

Press‘y’ifthisisastand-aloneserverorthefirst

machineinaclusteredconfiguration.

Ifthisisgoingtobeamemberofanalreadyrunningcluster

pressntoreboot.Whenyouseethe‘HitTABforclusteringoptions’

messagepressTABandfollowthedirections.

Wouldyouliketoproceed（y/n）?

:

y（选择Y）

Notethatcontinuingsignifiesthatyouaccepttheterms

oftheNeoterislicenseagreement.Type“r”toreadthe

licenseagreement（thetextisalsoavailableatanytime

fromtheLicensetabintheAdministratorConsole）.

Doyouagreetothetermsofthelicenseagreement（y/n/r）?

初始化网络信息：

Pleaseprovideethernetconfigurationinformation

IPaddress:

192.168.0.190

Networkmask:

255.255.255.0

Defaultgateway:

192.168.0.254

（填入用户需要的IP地址，掩码和网关等信息。

注意：

所有网络信息都会设置到SSLVPN的InternalInterface上）

Linkspeed[Auto]:

0）Auto

1）1000Mb/s,FullDuplex

2）1000Mb/s,HalfDuplex

3）100Mb/s,FullDuplex

4）100Mb/s,HalfDuplex

5）10Mb/s,FullDuplex

6）10Mb/s,HalfDuplex

Select0-6:

0（选择用户需要的速率）

PleaseprovideDNSnameserverinformation:

PrimaryDNSserver:

202.106.0.20

Secondary（optional）:

202.99.8.1（填入用户需要的DNS地址，可以是内部的DNS服务器的IP地址）

DNSdomain（s）:

（填入用户需要的域名，无特别限制）

PleaseprovideMicrosoftWINSserverinformation:

WINSserver（optional）:

确认初始化信息：

Pleaseconfirmthefollowingsetup:

192.168.0.190

255.255.255.0

GatewayIP:

Linkspeed:

Auto

SecondaryDNS:

202.99.8.1

DNSdomain（s）:

WINSserver:

Correct?

（y/n）:

y（确认无误后，选择Y）

初始化安全信息：

Adminusername:

admin

Password:

Confirmpassword:

Theadministratorwassuccessfullycreated.（填入用户设定的管理员帐号和密码）

设置SSLVPN自签证书：

Pleaseprovideinformationtocreateaself-signedWebserverdigitalcertificate.

Commonname（example:

）:

Organizationname（example:

CompanyInc.）:

juniper

（这个部分输入用户的证书信息，无特殊限制）

Pleaseentersomerandomcharacterstoaugmentthesystem’srandomkeygenerator.Werecommendthatyouenterapproximatelythirtycharacters.

Randomtext（hitenterwhendone）:

dkfjlkkjffieejjkdnfkkfjiiiffoperjoootpqe454646

（这个部分输入30个左右的字符以产生证书）

Creatingself-signeddigitalcertificate...

Theself-signeddigitalcertificatewassuccessfullycreated.

Congratulations!

Youhavesuccessfullycompletedtheinitialsetupofyourserver.

（当您看到这句话时证明你已经成功的初始化SSLVPN了）

https:

//<

IVE-IP-Address>

/admin（notethe‘s’inhttps:

//）

Example:

https:

//10.10.22.34/admin

（按照上述的提示，管理员可以通过URLhttps:

//192.168.0.190/admin来管理设备啦）

1.3、使用浏览器连接SSLVPN

如下图：

在这个Web页面中填入刚刚建好的管理员帐号和密码就可以登陆到SSLVPN进行管理啦，至此SSLVPN初始化过程完毕。

二、SSLVPN基本设置

2.1、网络接口设置

在初始化过程中我们设置了SSLVPN的InternalInterface，接下来我们设置ExternalInterface。

在浏览器上点击“Network--ExternalPort--Setting”得到下图：

在上图中，填入相应的ExternalPort设置，即完成了SSLVPN的网络初始设置。

2.2、设置SSLVPN的License

SSLVPN要正常工作，必须要有合适的License，所以给SSLVPN添加License是必不可少的。

在浏览器上点击“Configuration--Licensing”得到下图：

如上图所示，此设备拥有的是一个临时License，包括了1000并发用户数和4周的试用期限等。

在添加License过程中，只需要在CompanyName和LicenseKey两个空栏中填入相关信息即可。

2.3、添加用户认证服务器

在配置完SSLVPN网络信息和License之后，就可以正常的使用SSLVPN了。

为了让用户能够顺利的登入企业网，必须给用户进行身份认证。

在身份认证的过程中，管理员可以选择使用SSLVPN内部的自建帐号认证用户，也可以结合企业内部的认证服务器进行认证。

对于选择不同的认证服务器的帐号，他们将会属于不同的SSLVPN认证域。

例如，我们可以利用一个SSLVPN自建的认证服务器，认证合作伙伴和分支机构的用户；

利用内部的LDAP服务器认证总部本地的员工。

在浏览器上点击“SigningIn->

Signin->

AAASERVER”得到下图

在这个页面中，管理员将看到两个内置的认证服务器，Administrators和SystemLocal。

其中Administrator是添加SSLVPN管理员帐号的，而SystemLocal是SSLVPN内建的一个普通用户的认证服务器。

这是如果我们想添加一个新认证服务器及认证域时，点击页面上的“NewServer”，并在New的选栏中选择“IVEAuthentication”得到下图：

在该页面上的Name中输入认证服务器的名字（本例中是：

IveLocal）等用户需要填入和勾选的其他选项，最后点击SaveChanges即完成新加一个认证服务器的设置了。

2.4、添加认证用户

在2.3的图中选择Users，即可进入到新建认证服务器的用户添加页面，如下图：

点击New，即可加入在新建的认证服务器（本例的认证服务器是IveLocal）中添加一个用户,如下图：

添加用户名和密码后，认证服务器Ivelocal就可以对这个新建用户进行身份的认证了。

2.5、添加SSLVPN的认证域

每一个不同的认证服务器都可以有自己一套的用户数据库，无论使用的是SSLVPN内置机制建立的用户帐号数据库，还是使用集成企业内网的目录数据库，为了使认证机制更加合理和条理化，避免出现帐号重复和认证混乱的局面，JuniperSSLVPN引入了认证域的功能，在SSLVPN上把不同的认证服务器加入到不同的域，来认证不同域上的用户，同时也方便用户了解自己登陆时应该选择哪一个认证域和哪一个认证帐号。

点