NO1ARRAYSPX工程安装配置手册和基本功能配置部分.docx

NO1ARRAYSPX工程安装配置手册和基本功能配置部分.docx

《NO1ARRAYSPX工程安装配置手册和基本功能配置部分.docx》由会员分享，可在线阅读，更多相关《NO1ARRAYSPX工程安装配置手册和基本功能配置部分.docx（7页珍藏版）》请在冰豆网上搜索。

NO1ARRAYSPX工程安装配置手册和基本功能配置部分

No1ArraySPX工程安装配置手册XX和根本功能配置局部

ArraySPX工程配置手册简介和根本功能配置局部一、

（一）概述21.前言22.SSLVPN简介23.SSLVPN网络拓扑24.ArraySPX设备配置概述4二、

（二）SPX设备根本配置51.ArraySPX的配置管理方式52.SPX系列产品外观指示灯介绍53.SPX的几种配置模式64.webUI根本介绍71.1浏览器的版本71.2登陆webUI的过程75.设备硬件信息、OS版本及Linse管理96.SPX设备根本信息配置101.3配置主机名：

111.4配置端口IP地址:

111.5配置路由：

121.6测试网络情况141.7配置域名效劳器141.8时区、时间配置151.9保存配置161.10查看配置171.11去除配置181.12导入配置191.13升级系统版本201.14重新启动设备、系统关机211.15更改用户口令和enable口令22

（一）概述前言在目前各类VPN产品中，SSLVPN正以它的独特优势占据了市场中的主导位置，ArrayNetworks公司是一家专注于SSLVPN的厂商。

本文力图简洁明了的介绍ArrayNetworks公司的SSLVPN产品：

SPX系列的主要部署结构，建立SPX的大致流程以及它的根本配置命令。

SSLVPN简介SSLVPN是采用SSL技术的一种VPN产品，适用于ClienttoSite的平安接入方式。

SSL技术是位于TCP之上的协议，具有数字证书身份验证，数据加密等平安手段。

在实现VPN访问内部应用时主要采用Proxy、ApplicationTranslation、NetworkExtension等技术手段实现。

用户通过SSLVPN访问内部应用系统，必须先用S协议登陆到SSLVPN提供的SSLVPN门户站点，我们称之为VirtualSite，Array的SPX系列单台设备可以配置多个VirtualSite，具体数量视linse而定。

一般情况下，在数据中心的网络边缘放置SSLVPN，如ArrayNetworksSPX系列产品。

客户端要访问内部应用效劳器，必须通过SSLVPN，其过程是先用标准浏览器如IE、Netscape等登陆SSLVPN，登陆使用的协议是S，底层是采用了具有加密算法的SSL协议。

登陆SSLVPN是需要经过用户认证、授权、审计的。

登陆完成之后，客户端既可以访问内部的各种应用了，无论是B/S还是C/S结构，都能够得到非常好的支持，访问过程中的数据传输都是经过加密处理的，同时是经过SSLVPN授权允许和审计的。

SSLVPN网络拓扑SSLVPN设备，Array称之为SPX系列产品，她的位置在数据中心的边缘，具体来讲一般放置在防火墙后面，入侵检测设备的前面，这样和其他平安产品一起为数据中心提供平安防护。

Array的SSLVPN支持双臂结构和单臂结构。

单臂结构一般不改变企业的网络拓扑结构，只需一个接口接到防火墙或交换机上，具有方便部署的特点。

双臂结构，一般是指连接两个接口，如一个连接内网，一个连接外网，双臂结构具有良好的网络吞吐量。

SSLVPN的工作流程是一个Proxy架构，所以考虑拓扑结构时，要满足两点：

1）客户端机器要能访问VirtualSiteIP地址；2）SPX设备要能够访问内部各个效劳器各个应用。

假设中间有防火墙等过滤设备，一定要翻开相应端口。

如在客户端和VirtualSite之间的防火墙要翻开S访问，典型如TCP443端口。

SPX和效劳器之间的防火墙要对SPX设备的网络接口翻开各个应用的端口。

上图是一个典型的双臂结构，outside端口连接外网路由器或防火墙，端口地址为10.1.1.1；inside接口连接内部交换机，端口地址为10.1.2.1。

在SPX设备上的VirtualSite地址为10.1.1.2，为内部IP地址，在inter上的客户端要能访问，前面的防火墙或路由器还要做NAT转换，如202.22.2.2－10.1.1.2。

当然，VirtualSite地址也可以直接配置成公网地址，这时只需客户端到VirtualSiteIP的路由可达与S能够访问即可。

上图是典型的单臂结构，SPX设备只需一个接口连接防火墙、路由器或者是交换机。

接口IP为10.1.1.1，VirtualSite地址为10.1.1.2，需要NAT设备作转换：

如202.22.2.2－10.1.1.2。

当然，VirtualSite地址也可以直接配置成公网地址，这时只需客户端到VirtualSiteIP的路由可达与S能够访问即可。

重复一下，无论是单臂还是双臂，无论多么复杂的拓扑结构，中间有什么样的网络设备，都需要满足两点：

1）客户端机器要能访问到VirtualSiteIP地址；2）SPX设备要能够访问内部各个效劳器各个应用。

ArraySPX设备配置概述拿到ArrayNetworks一台新的设备，一般要经过如下几个过程来配置成一台可以工作的SSLVPN系统。

1.查看设备的linse，如没有linse许可，需向总代、Array申请新的linse。

2.了解用户的拓扑结构，DNS系统、应用的大概情况，和用户协商SSLVPN拓扑结构、路由结构、DNS配置、防火墙策略、各个应用通过SSLVPN实现的方式。

3.对SPX设备进行根本配置，包括Linse输入、接口IP地址配置、路由配置、时间配置、DNS配置。

4.VirtualSite建立：

建立VirtualSite、SSL数字证书配置。

5.VirtualSite认证方法配置，如配置LocalDB、Radius、LDAP等。

6.VirtualSite各个应用模块的配置，如WRM、ClientApp、L3VPN。

7.VirtualSite用户访问策略配置，各个用户或组的访问权限设定。

8.管理配置，如SNMP、Log、配置文件管理等。

（二）SPX设备根本配置ArraySPX的配置管理方式ArraySPX设备支持三种配置管理接入方式.Console接入：

SPX系列产品默认没有IP地址、路由等配置。

需要首先启动电源，通过随设备附带的连接线（console线），一端连接PC机的串口，一端连接SPX系列的Console口。

SPX设备有专用的Console线和Console口，通过管理者的PC机串口接入，仿真终端：

VT100；BaudRateto9600；DataBitsto8；NOParity；StopBitsto1；NOFlowControl。

登陆进入后可以采用命令行方式。

SSH接入：

通过SSH终端可以接入SPX设备上的任意一个接口IP地址，典型的，你可以使用Putty，SecureCRT等软件，SSH2协议，端口22来接入，登陆进入后可以采用命令行方式。

图形化配置：

在通过命令行配置webUIon命令启动图形化管理方式后，使用浏览器通过访问S:

//:

8888的方式登陆并进行远程管理控制。

SPX系列产品外观指示灯介绍在SPX系列产品的前面板中具有显示设备运行状态的指示灯，指示灯分为以下三种：

lPower:

表示系统是否处在加电运行状态lRun:

表示系统运行负载情况，当此灯经常闪烁时，表示系统负载较高。

lFault:

表示设备是否发生故障，当此灯始终亮时，表示设备硬件故障。

具体状态指示灯的位置如下列图所示：

SPX的几种配置模式ArrayOS的配置管理模式具有三个级别，登陆模式，管理模式和配置模式，在命令行中表达为hostname加上“>”、“#”或者是“（config）#”。

1.第一个级别登陆模式“AN>”：

配置好超级终端后，回车登陆。

SPX系列产品默认需要认证，才能进行管理配置，默认的用户名为array，口令为admin。

此时将进入登陆模式，登陆模式的符号是一个大于号“>”，在此模式下可以实现根本的状态查看功能,通过问号AN>?

可以查看此状态下所有可操作的命令。

2.第二个级别管理模式“AN#”:

从第一个级别进入第二个级别，是在第一个级别输入AN>enable命令即可进入第二个级别，缺省的口令为空。

第二个级别的能够进行所有状态信息的查看，同一时刻允许有多个处在此模式下。

3.第三个级别配置模式“AN（config）#”:

从第二个级别进入第三个级别，是在第二个级别输入AN#configterminal命令即可进入配置模式，同一时刻只允许一个人进入此模式。

只有在此模式下才能够进行设备的配置。

当长时间不敲入命令，系统会自动退出。

从后一个级别回到上一个级别使用exit命令，如果直接关闭终端软件，没有从config模式exit到管理模式，会有缺省三分钟的等待时间才能再次进入config模式。

无论是在那种模式下都可以输入“?

”来了解当前模式下可以执行的命令，或者是某条命令的信息如：

AN（config）#show?

AN（config）#ipaddress?

webUI根本介绍浏览器的版本目前ArraySP的webUI支持这些版本：

1.IE（Version6.0或者之后的版本）2.Netscape（Version7.0或者之后的版本）3.FireFox（Version1.5）登陆webUI的过程1.确认在SP的命令行中webuion2.例如你的SP系统IP地址是172.16.2.75.请在浏览器中输入S:

//172.16.2.75:

88883.你将会看到下面，默认用户名/是array/admin4.输入enable，缺省是空5.进入SP的webUI界面设备硬件信息、OS版本及Linse管理拿到Array的设备，你最先作的是通过LED查看设备硬件运行情况，假设Fault灯总是亮的，请供给商解决设备硬件故障。

其次，您要登陆到设备上，最好用命令行方式，查看设备的系统信息：

ArraySPRel.SP.8.1.0.0Build9：

是指当前运行的ArrayOS版本SSLHW：

是指SSL硬件加速卡的信息。

CompressionHW：

是指硬件压缩卡的信息MaximumSessions：

指设备linse允许的最大并发用户数MaximumVBlades：

指设备linse允许的最多VirtualSite数量LinsedFeatures：

指设备linse允许的功能模块LinseKey：

Array颁发的设备的LinseKey，最后的几位数字是linse截止的日期，以上例子99999999是无限期的linse如果您拿到Array的SPX设备是新的，设备的linse是invalidlinse，您需要向供给商申请linse，您需要向他提供以上的showversion信息，最主要的是设备的serialnumber。

SPX设备根本信息配置本文以如下的拓扑结构为例作配置说明，双臂结构，以192.168.1.0/24来模拟公网，以10.1.0.0/16来模拟内网。

VirtualSiteIP地址为：

192.168.1.2/24。

设备的outsideIPaddress：

192.168.1.1/24，insideIPaddress为：

10.1.40.2/16配置主机名：

AN（config）#hostname：

其中主机名长度最长为64字节实例：

例如需要配置设备的名称为sp-demo，那么命令如下。

AN（config）#hostnamesp-demo配置端口IP地址:

AN（config）#ipaddress{outside|inside}实例：

例如需要对设备的Outside端口和Inside端口进行配置AN（config）#ipaddressinside10.1.1.2255.255.255.0AN（config）#ipaddressoutside192.168.1.1255.255.255.0查看当前端口IP地址命令：

AN（config）#showipaddress配置路由：

配置默认路由命令：

AN（config）#iproutedefault配置静态路由命令：

AN（config）#iproutestatic实例：

增加一条默认路由和一条静态路由AN（config）#iproutedefault10.1.1.1AN（config）#iproutestatic192.168.20.0255.255.255.0192.168.1.1webUI->SystemConfiguration->BasicNetworking->Inte->OutsidewebUI->SystemConfiguration->BasicNetworking->Inte->InsidewebUI->SystemConfiguration->BasicNetworking->Routing测试网络情况SPX系列产品提供了Ping和traroute来检查网路的状况ping命令例如：

AN（config）#ping192.168.10.1Traroute命令例如：

AN（config）#traroute192.168.10.1webUI->AdminTools->Troubleshooting配置域名效劳器SPX需要指明DNS效劳器以提供域名解析效劳，尤其是当需要内部域名效劳器解析内部域名时。

命令行：

AN（config）#ipdnsnameserverserveripAN（config）#ipdnsnameserver10.1.10.33webUI->SystemConfiguration->BasicNetworking->DNS在BasicNetworking和AdvandNetworking中都有DNS的配置.Basic中的DNS只是配置一条DNSIP,所有DNS查询都会指向这个DNSServer.Advand中的DNS是SP本机做DNSServer,所有DNS解析都由SP来做,这种情况比拟少用.时区、时间配置时区、时间的设置对于SSLVPN配置来讲非常重要，这主要是和数字证书的验证有关，数字证书一般是有期限设定的。

时区设定AN（config）#systemtimezone“Asia/China/Chinacoast“时间设定AN（config）#systemdateAN（config）#systemtime举例：

AN（config）#systemdatexx88AN（config）#systemtime16280webUI->SystemConfiguration->GeneralSettings->Date/Time保存配置SPX系列产品默认有两种配置，一是runningconfig配置，一是startup配置。

Runningconfig配置是系统当前正在应用生效的配置文件，而startup配置文件是系统启动时使用的配置文件。

保存配置命令有以下几种：

AN（config）#writememoryall作用：

使用runningconfig覆盖全局的startupconfigSP-Demo（config）#writememory作用：

使用runningconfig覆盖VirtualSite的startupconfig.注意此时是在VirtualSite中AN（config）#writefileall作用：

将当前的runningconfig以文件的形式保存在系统中，待以后应用AN（config）#writescpAN（config）#writetftp[filename]作用：

将当前的runningconfig以文件的形式保存第三方的scp或tftp效劳器上，待以后应用。

webUI->AdminTools->ConfigManagement0>backup查看配置AN（config）#showrunning作用：

显示出所有runningconfig的配置内容AN（config）#showstartup作用：

显示出所有startupconfig的配置内容AN（config）#showconfigfile[filename]作用：

显示出所有保存的文件列表，或文件中的所有配置内容webUI->AdminTools->ConfigManagement0>View->StartupConfig去除配置AN（config）#clearconfigall作用：

去除所有配置，恢复到出厂状态AN（config）#no…作用：

去除特定配置命令行webUI->AdminTools->ConfigManagement0>Clear导入配置AN（config）#configurememoryall作用：

应用startupconfig覆盖runningconfigAN（config）#configurefileall作用：

应用保存的文件中的配置覆盖当前runningconfigAN（config）#configurescpAN（config）#configuretftp作用：

应用保存在第三方scp或tftp效劳器上配置文件覆盖当前runningconfigwebUI->AdminTools->ConfigManagement0>Load升级系统版本AN（config）#systemupdate作用：

升级系统版本，以满足应用需求AN（config）#systemupdate192.168.1.101/ArrayOSRe7.3.3.15.clickAN（config）#systemponentupdate给系统更新相应的patchwebUI->AdminTools->SystemManagement->Update重新启动设备、系统关机AN（config）#systemreboot作用：

系统重新启动（此时不自动保存配置）AN（config）#systemshutdown作用：

关闭系统（此时不自动保存配置）webUI->AdminTools->SystemManagement->Shutdown/Reboot更改用户口令和enable口令AN（config）#passwdenable作用：

更改enable口令,做为runningconfig并立即生效，但不对startup配置有影响AN（config）#passwduser作用：

更改登陆用户口令AN（config）#passwdenableabcd作用：

将enable的口令更改为abcdAN（config）#passwduserarrayabcd作用：

将用户名array的口令更改为abcdwebUI->AdminTools->ChangePassword->ChangePassword

模板,内容仅供参考