arraysslvpn简明配置手册v1Word下载.docx
- 文档编号:21454095
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:48
- 大小:4.19MB
arraysslvpn简明配置手册v1Word下载.docx
《arraysslvpn简明配置手册v1Word下载.docx》由会员分享,可在线阅读,更多相关《arraysslvpn简明配置手册v1Word下载.docx(48页珍藏版)》请在冰豆网上搜索。
LocalDB的授权41
Ldap服务器的授权42
Radius服务器的授权43
GroupMap授权方式44
7.Cluster方式配置46
8.设备管理及排错48
Syslog设置48
SNMP配置49
系统管理49
troubleshooting50
1.概述
1.1前言:
SSLVPN是当前发展非常迅速的一种VPN技术,Array是一个主要的sslvpn厂家,其产品有专门的操作手册,本文是一个快速入门的中文手册,力图简洁明了地介绍arraysslvpn的主要部署结构,建立sslvpn的大致流程以及主要操作命令。
如果您需要详细了解arrayspx设备的操作以及详细的命令,请参阅arrayspx设备操作手册。
1.2SSLVPN简介
SSLVPN是采用SSL技术的一种VPN技术,适用于ClienttoSite的安全接入方式。
SSL技术是位于TCP之上的协议,具有数字证书身份验证,数据加密等安全手段。
在实现VPN访问内部应用时主要采用Proxy、ApplicationTranslation、NetworkExtention等技术手段实现。
用户通过SSLVPN访问内部应用系统,必须先用https协议登陆SSLVPN网关提供的sslvpn门户站点,我们称之为VirtualSite,Array的SPX系列单台设备可以配置多个VirtualSite,具体数量视License而定。
一般情况下,在数据中心的网络边缘放置SSLVPN网关,如ArrayNetworksSPX系列产品。
客户端要访问内部应用服务器,必须通过SSLVPN网关,其过程是先用标准浏览器如IE、Netscape等登陆SSLVPN网关,登陆使用的协议是HTTPS,底层是采用了具有加密算法的SSL协议。
登陆SSLVPN是需要经过用户认证、授权、审计的。
登陆完成之后,客户端既可以访问内部的各种应用了,无论是B/S结构还是C/S结构,都能够支持,访问过程中的数据传输都是经过加密处理的,同时是经过sslvpn授权允许和审计的。
1.3SSLVPN网络拓扑
SSLVPN网关设备,Array称之为SPX系列产品,她的位置在数据中心的边缘,具体来讲一般放置在防火墙后面,入侵检测设备的前面,这样和其他安全产品一起为数据中心提供安全防护。
Array的sslvpn网关支持双臂结构和单臂结构。
单臂结构一般不改变企业的网络拓扑结构,只需一个接口接道防火墙或交换机上,具有易部署的特点。
双臂结构,一般是指连接两个接口,如一个连接内网,一个连接外网,双臂结构具有良好的网络吞吐。
SSLVPN的工作流程是一个Proxy架构,所以考虑拓扑结构时,要满足两点:
客户端机器要能构访问VirtualSiteIP地址,SPX设备要能够访问内部各个服务器各个应用。
若中间有防火墙等过滤设备,一定要打开相应端口。
如在客户端和VirtualSite之间的防火墙要打开Https访问,典型如TCP443端口。
SPX和服务器之间的防火墙要对SPX设备的网络接口打开各个应用的端口。
上图是一个典型的双臂结构,outside端口连接外网路由器或防火墙,端口地址为10.1.1.1;
inside接口连接内部交换机,端口地址为。
在SPX设备上的VirtualSite地址为10.1.1.2,为内部IP地址,在internet上的客户端要能构访问,前面的防火墙或路由器还要做NAT转换,如-。
当然,VirtualSite地址也可以直接配置成公网地址,这时只需客户端到VirtualsiteIP的路由可达与Https能够访问即可。
上图是典型的单臂结构,SPX设备只需一个接口连接防火墙、路由器或者是交换机。
接口IP为10.1.1.1,Virtualsite地址为,需要NAT设备作转换:
如-。
重复一下,无论是单臂还是双臂,无论多么复杂的拓扑结构,中间有什么样的网络设备,都需要满足两点:
1.4ArraySPX设备配置概述
拿到Array的一台新的设备,一般要经过如下几个过程来配置成一个可以工作的sslvpn系统。
查看设备的license,如没有licnese许可,需向总代、Array申请购买的license。
了解用户的拓扑结构,DNS系统、应用的大概情况,和用户协商SSLVPN拓扑结构、路由结构、DNS配置、防火墙策略、各个应用通过SSLVPN实现的方式。
对SPX设备进行基本配置,包括License输入、接口IP地址配置、路由配置、时间配置、DNS配置。
VirtualSite建立:
建立VirtualSite、SSL数字证书配置。
VirtualSite认证方法配置,如配置LocalDB、Radius、Ldap等。
VirtualSite各个应用模块的配置,如WRM、ClientAPP、L3VPN。
VirtualSite用户访问策略配置,各个用户或组的访问权限设定。
管理配置,如Snmp、Log、配置文件管理等
2.Spx设备基本配置
2.1ArraySPX的配置管理方式
ArraySPX设备支持三种配置管理接入方式.
Consle接入:
SPX系列产品默认没有IP地址、路由等配置。
需要首先启动电源,通过应用随设备附带的连接线(console线),一端连接PC机的串口,一端连接SPX系列的Consle口。
SPX设备有专用的Consle线和Consle口,通过管理者的PC机串口接入,仿真终端:
VT100;
BaudRateto9600;
DataBitsto8;
NOParity;
StopBitsto1;
NOFlowControl。
登陆进入后可以采用命令行方式。
SSH接入:
通过SSH终端可以接入SPX设备上的任一个接口IP地址,典型的,你可以使用Putty,SecureCRT等软件,SSH2协议,端口22来接入,登陆进入后可以采用命令行方式。
图形化配置:
在通过命令行配置webuion命令启动图形化管理方式后,使用或Netscape浏览器通过访问,指示灯分为以下三种:
Power:
表示系统是否处在加电运行状态
Run:
表示系统运行负载情况,当此灯经常闪烁时,表示系统负载较高。
Fault:
表示设备是否发生故障,当此灯始终亮时,表示设备硬件故障。
具体状态指示灯的位置如下图所示:
2.2SPX的几种配置模式
ArrayOS的配置管理模式具有三个级别,登陆模式,管理模式和配置模式,在命令行中体现为hostname加上“>
”、“#”或者是“(config)#”。
第一个级别登陆模式“AN>
”:
配置好超级终端后,回车登陆。
TMX系列产品默认需要认证,才能进行管理配置,默认的用户名为array,口令为admin。
此时将进入登陆模式,登陆模式的符号是一个大于号“>
”,在此模式下可以实现基本的状态查看功能,通过问号
AN>
可以查看此状态下所有可操作的命令。
第二个级别管理模式“AN#”:
从第一个级别进入第二个级别,是在第一个级别输入
enable
命令即可进入第二个级别,缺省的口令为空。
第二个级别的能够进行所有状态信息的查看,同一时刻允许有多个管理员处在此模式下。
第三个级别配置模式“AN(config)#”:
AN#configterminal
命令即可进入配置模式,同一时刻只允许一个人进入此模式。
只有在此模式下才能够进行设备的配置。
当长时间不敲入命令,系统会自动退出。
从后一个级别回到上一个级别使用exit命令,如果直接关闭终端软件,没有从config模式exit到管理模式,会有缺省三分钟的等待时间才能再次进入config模式。
无论是在那种模式下都可以输入“”来了解当前模式下可以执行的命令,或者是某条命令的信息如:
AN(config)#show
AN(config)#ipaddress
图形界面为输入,缺省的webui是关闭的,必须在命令行的模式下先输入:
AN(config)#webuion
系统缺省是没有IP地址的,所以要使用图形界面也要先配置设备的端口IP地址。
2.3设备硬件信息、OS版本及License管理
拿到Array的设备,你最先作的是通过LED查看设备硬件运行情况,若Fault灯总是亮的,请联系供应商解决设备硬件故障。
其次,您要登陆到设备上,最好用命令行方式,查看设备的系统信息:
SP-Demo1(config)#showversion
ArraySPP.7.3.3Build16-builtonThuMay1117:
50:
182006
Hostname:
SP-Demo1
SystemModule:
P4DPE
SystemRAM:
493MB
Systemboottime:
ThuJul2018:
37:
05CST(+0800)2006
Currenttime:
ThuAug0311:
07:
34CST(+0800)2006
Systemuptime:
13days,16:
30
PlatformBldDate:
ThuMay1117:
14PDT2006
SSLHW:
HW(4D)Initialized
CompressionHW:
NoHWAvailable
NetworkInterface:
2xFastEthernetCopper
Model:
ArraySP-C,RAMLimit:
1024MB
SerialNumber:
0414A6542
MaximumSessions:
500
MaximumVBlades:
128
LicensedFeatures:
WebWallClusteringSLBSSLL3VPNHostCheckCacheCleanerVirtualDesktopURLAliasingServiceMgmtWebAppsClientAppTCSMailProxyAppFilter
LicenseKey:
eb90e60a-6c6c9661-428d00ec-3a025f8f-3131ce10-27ea070e-9
ArraySPP.7.3.3Build16:
是指当前运行的ArrayOS版本
SSLHW:
是指ssl硬件加速卡的信息。
CompressionHW:
是指硬件压缩卡的信息
MaximumSessions:
指设备license允许的最大并发用户数
MaximumVBlades:
指设备License允许的最多virtualsite数量
LicensedFeatures:
指设备license允许的功能模块
LicenseKey:
Array颁发的设备的LicenseKey,最后的几位数字是license截止的日期,以上例子是无限期的licnese
如果您拿到Array的SPX设备是新的,设备的licnese是invalidlicense,您需要向供应商申请License,您需要向他提供以上的showversion信息,最主要的是设备的serialnumber。
拿到新的licensekey后,您需要输入:
SP-Demo1(config)#systemlicense<
licensekey>
即可使新的license生效,输入后您可以通过showversion查看license信息。
2.4SPX设备的基本信息配置
本文以如下的拓扑结构为例作配置说明,双臂结构,以/24来模拟公网,以10.1.0.0/16来模拟内网。
VirtualsietIP地址为:
/24。
设备的outsideIP_address:
/24,inside地址为:
/16
图1
1、配置主机名:
AN(config)#hostname<
hostname>
:
其中主机名长度最长为64字节
实例:
例如需要配置设备的名称为TMX2000,则命令如下。
AN(config)#hostnamesp-demo
Sp-demo(config)#
2、配置端口IP地址:
AN(config)#ipaddress{outside|inside}<
ip-address>
<
netmask>
实例:
例如需要对设备的Outside端口和Inside端口进行配置
AN(config)#ipaddressinside10.1.1.2
AN(config)#ipaddressoutside
查看当前端口IP地址命令:
AN(config)#showipaddress
3、配置路由:
配置默认路由命令:
AN(config)#iproutedefault<
nexthop-gateway-address>
配置静态路由命令:
AN(config)#iproutestatic<
dest-IP>
dest-mask>
增加一条默认路由和一条静态路由
AN(config)#iproutedefault10.1.1.1
AN(config)#iproutestatic
图形界面配置:
4、测试网络联通情况
SPX系列产品提供了Ping和traceroute来检查网路的联通状况
ping命令示例:
AN(config)#ping
Traceroute命令示例:
AN(config)#traceroute
5、配置域名服务器
SPX需要指明DNS服务器以提供域名解析服务,尤其使当需要内部域名服务器解析内部域名时。
命令行:
AN(config)#ipdnsnameserverserver_ip
AN(config)#ipdnsnameserver10.1.10.33
注意图形界面配置时,Dns服务器选择external那个选项,最上面的local选项是指SPX自己可以作为DNS服务器,当一些特殊情况下才会用到。
6、时区、时间配置
时区、时间的设置对于sslvpn配置来讲非常重要,这主要是何数字证书的验证有关,数字证书一般是有期限设定的。
时区设定
AN(config)#systemtimezone"
Asia/China/Chinacoast"
时间设定
AN(config)#systemdate<
year>
month>
date>
AN(config)#systemtime<
hour>
minute>
second>
举例:
AN(config)#systemdate200288
AN(config)#systemtime16280
7、保存配置
TMX系列产品默认有两种配置,一是runningconfig配置,一是startup配置。
Runningconfig配置是系统当前正在应用生效的配置文件,而startup配置文件是系统启动时使用的配置文件。
保存配置命令有以下几种:
AN(config)#writememory
作用:
使用runningconfig覆盖startupconfig
保存配置,联通各个virtualsite的配置,这时需要各个站点不再config模式。
AN(config)#writefile<
filename>
将当前的runningconfig以文件的形式保存在系统中,待以后应用
AN(config)#writenetscp<
scp-server-ip-address>
user-name>
filepath>
AN(config)#writenettftp<
tftp-ip-address>
[filename]
将当前的runningconfig以文件的形式保存第三方的scp或tftp服务器上,待以后应用。
8、查看配置
AN(config)#showrunning
显示出所有runningconfig的配置内容
AN(config)#showstartup
显示出所有startupconfig的配置内容
AN(config)#showconfigfile[filename]
显示出所有保存的文件列表,或文件中的所有配置内容
9、清除配置
AN(config)#clearconfigall
清除所有配置,恢复到出厂状态
AN(config)#no…
清除特定配置命令行
10、导入配置
AN(config)#configurememory
应用startupconfig覆盖runningconfig
AN(config)#configurefile<
应用保存的文件中的配置覆盖当前runningconfig
AN(config)#configurenetscp<
scp-ip-address>
AN(config)#configurenettftp<
应用保存在第三方scp或tftp服务器上配置文件覆盖当前runningconfig
11、升级系统版本
AN(config)#systemupdate<
HTTP/FTP-URL>
升级系统版本,以满足应用需求
AN(config)#systemupdate
AN(config)#systemcomponentupdate
给系统打相应patch
12、重新启动设备、系统关机
AN(config)#systemreboot
系统重新启动(此时不自动保存配置)
AN(config)#systemshutdown
关闭系统(此时不自动保存配置)
13、更改用户口令和enable口令
AN(config)#passwdenable
更改enable口令,做为runningconfig并立即生效,但不对startup配置有影响
AN(config)#passwduser<
user_name>
更改登陆用户口令
AN(config)#passwdenableabcd
将enable的口令更改为abcd
AN(config)#passwduserarrayabcd
将用户名array的口令更改为abcd
3.SSLVPN门户(VirtualSite)的建立
3.1加入新的VirtualSite
基于上一章图1的拓扑结构,我们建立一个virtualsite,IP地址为,Array的SSLVPN门户的地址不能使用设备端口地址。
上图时图形界面方式,此时需要在右上角GlobalMode为config状态下加入新的sslvpn门户,即virtualsite。
其中
sitename:
为站点的英文表示,取较易记忆的名字,如:
testvpn1
FQDN:
fullqualifieddomainname,在IE等浏览器中输入的域名。
如果使用域名登陆,此项输入域名,如:
;
如果使用IP地址登陆,此项需输入IP地址,如:
,如果使用NAT,则此项输入NAT之后的公网地址。
IPAddress:
指virtualsite的IP地址。
Port:
virtualsite的https访问的端口地址,缺省为443。
Type:
缺省为Exclusive,指没有子站点,也可以配成share方式,使用别名。
命令行方式:
用两条命令完成上面图形方式下的操作。
AN(config)#virtualsitehost<
virtual_site_id>
domain_name>
vip>
[port][(shared|exclusive)]
Virtualsiteid:
即sitename
Domain_name:
即FQDN。
Vip:
即virtualsiteipaddress
AN(config)#sslhostvirtual<
SSL_host>
Ssl_host:
采用何FQDN相同的名字。
Virtual_site_id:
sitename
举例:
AN(config)#virtualsitehost“tes
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- arraysslvpn 简明 配置 手册 v1