一步一步教你如何配置SSLVPN.docx
- 文档编号:9846728
- 上传时间:2023-02-07
- 格式:DOCX
- 页数:19
- 大小:1.46MB
一步一步教你如何配置SSLVPN.docx
《一步一步教你如何配置SSLVPN.docx》由会员分享,可在线阅读,更多相关《一步一步教你如何配置SSLVPN.docx(19页珍藏版)》请在冰豆网上搜索。
一步一步教你如何配置SSLVPN
路由器配置内容:
首先将两个证书(sslvpn_ca.crt,sslvpn_local.pfx)倒入到路由器的FLASH里面,(有CF卡的倒入到CF卡里面)
在路由器上配置如下命令(红色字体为命令):
#
version5.20,Release1808,Standard
#
sysnameH3C
#
domaindefaultenablesystem
#
darp2psignature-filecfa0:
/p2p_default.mtd
#
port-securityenable
#
vlan1
#
domainsystem
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
#
pkientityssl
common-namessl
organization-unith3c-800
organizationh3c
localitybeijing
statebeijing
countrycn
#
pkidomainssl
caidentifierssl
certificaterequestfromra
certificaterequestentityssl
crlcheckdisable
#
user-groupsystem
#
local-useradmin
passwordcipher.]@USE=B,53Q=^Q`MAF4<1!
!
authorization-attributelevel3
service-typetelnet
#
sslserver-policysslvpn
pki-domainssl
#
interfaceAux0
asyncmodeflow
link-protocolppp
#
interfaceEthernet0/0
portlink-moderoute
ipaddress192.168.1.1255.255.255.0
#
interfaceEthernet0/1
portlink-moderoute
ipaddress2.2.2.222255.255.255.0
#
interfaceNULL0
#
ssl-vpnserver-policysslvpn
ssl-vpnenable
#
loadtr069-configuration
#
user-interfacecon0
user-interfaceaux0
user-interfacevty04
#
return
配置完以上命令后,再输入:
[H3C]pkiimport-certificatecadomainsslderfilenamesslvpn_ca.crt
ThetrustedCA'sfingerprintis:
MD5fingerprint:
FB5290D5822C2BACDB5024997B884B59
SHA1fingerprint:
6FFBE756DC460739A2F548CB0D8AB18602582888
Isthefingerprintcorrect?
(Y/N):
y
%Oct1616:
49:
59:
6832009H3CPKI/4/Verify_CA_Root_Cert:
CArootcertificateofthedomainsslistrusted.
ImportCAcertificatesuccessfully.
[H3C]
%Oct1616:
49:
59:
6992009H3CPKI/4/Update_CA_Cert:
UpdateCAcertificatesoftheDomainsslsuccessfully.
%Oct1616:
49:
59:
6992009H3CPKI/4/Import_CA_Cert:
ImportCAcertificatesofthedomainsslsuccessfully.
[H3C]pkiimport-certificatelocaldomainsslp12filenamesslvpn_local.pfx
Pleaseinputchallengepassword:
(这里输入的密码为123456)
ThetrustedCA'sfingerprintis:
MD5fingerprint:
FB5290D5822C2BACDB5024997B884B59
SHA1fingerprint:
6FFBE756DC460739A2F548CB0D8AB18602582888
Isthefingerprintcorrect?
(Y/N):
y
%Oct1616:
50:
15:
222009H3CPKI/4/Verify_CA_Root_Cert:
CArootcertificateofthedomainsslistrusted.
ImportCAcertificatesuccessfully.
%Oct1616:
50:
15:
542009H3CPKI/4/Update_CA_Cert:
UpdateCAcertificatesoftheDomainsslsuccessfully.
%Oct1616:
50:
15:
542009H3CPKI/4/Import_CA_Cert:
ImportCAcertificatesofthedomainsslsuccessfully.
%Oct1616:
50:
15:
552009H3CPKI/4/Verify_Cert:
VerifycertificateCN=sslvpn,OU=secpath,O=h3c,C=cn,emailAddress=h3c@ofthedomainsslsuccessfully.
Importlocalcertificatesuccessfully.
Importkeypairsuccessfully.
[H3C]
%Oct1616:
50:
15:
702009H3CPKI/4/Import_Local_Cert:
Importlocalcertificateofthedomainsslsuccessfully.
%Oct1616:
50:
15:
1712009H3CPKI/4/Import_Local_Key:
Importlocalprivatekeyofthedomainsslsuccessfully.
安装完后,在FLASH里面(或CF卡)能看到生成两个文件(ssl_ca.cer,ssl_local.cer)
Directoryofcfa0:
/
0-rw-18767056Oct13200914:
30:
16msr3016-cmw520-r1808-si.bin
1-rw-553Oct13200914:
30:
32sslvpn_ca.crt
2-rw-2668Oct13200914:
30:
44sslvpn_local.pfx
3drw--Oct13200914:
30:
52logfile
4-rw-16256Oct13200914:
32:
50p2p_default.mtd
5-rw-200Oct13200915:
02:
48svpn.cfg
6drw--Oct13200914:
48:
42domain0
7-rw-806Oct13200914:
49:
04ssl_ca.cer
8-rw-1127Oct13200914:
49:
04ssl_local.cer
9-rw-11803Oct13200914:
57:
14config.cwmp
10-rw-1157Oct13200914:
57:
16startup.cfg
11drw--Oct13200915:
02:
34domain1
路由器配置完成后,用https:
//2.2.2.222/svpn登陆,(2.2.2.222路由器的地址)初始超级用户名为:
administrator@local.root密码为administrator
登陆后,选择域管理——域策略管理,
里面点创建,进入创建域界面
创建域名称,域管理员登陆密码,别忘了在“允许域管理员创建资源”打上对勾。
在域管理------配置管理-------点击保存(如不保存,配置丢失)
点左下角退出,退到登陆界面。
用新创建的域帐号,登陆管理员权限,将超级用户的后面root改成你新创建的域名称就可以了,在这里改成800,登陆用户名为administrator@local.800,密码为自己设置的。
登陆进去后,就能正常配置了,如下图为管理员登陆的界面,所有客户端权限的配置全在里面,
IP网络管理配置步骤:
选择左边工具栏IP网络管理—全局配置打开全局配置界面,配置IP地址池,其它参数全是默认值,配置完后点击应用,如下:
全局配置完毕后,选择主机配置—点击创建,在创建主机配置资源里面输入资源名称,
在这里创建的资源名称为h3c,点击应用,
进去后,点击创建,进入主机基本配置界面,里面有三个内容,允许访问的网络服务,路由信息表,快捷方式列表,三个内容必须都要配置,
在允许访问的网络服务下面点击创建,创建网络服务,添加访问的目的地址和协议,(类似于ACL)点击应用,如下:
选择路由信息表,点击创建,进入创建路由信息界面,输入访问的目的地址和子网掩码,占(类似静态路由),点击应用,如果不配置此选项,客户端登陆后,访问不了IP资源,如下:
在快捷方式列表上,点击创建,进入创建网络访问快捷方式界面,快捷方式名称:
随便输入一个名字,快捷方式命令:
前面需添加explorer,后面再添加访问的命令,如:
http:
//2.2.2.222/,点击应用,如图:
IP资源已经创建完毕,下面该添加用户和资源组了。
选择资源管理—资源组管理—创建,进入创建资源组界面,添加资源组名称,将资源列表中的新创建的IP资源添加到资源组内资源列表里面,这里创建资源组名称为h3c-800,点击应用,如下:
选择用户管理—用户组—创建,进入创建用户组界面,添加用户组名称,将资源组列表中的h3c-800添加到右边资源组里面,(注:
用户列表不需要添加,新创建用户后,会自动添加到右边列表里面)点击应用,如下:
选择用户管理—本地用户—创建,进入创建用户界面,添加帐号名称,密码,将新创建的用户组列表里的h3c800添加到右边所属用户组列表里面,点击应用,如下:
添加完用户后,再回来看下用户组,就看到新创建的用户3047就被添加到右边列表里面了,
配置完后,点击域管理—配置管理—保存,退出
退到登陆界面上,下载ActiceX控件,安装客户端,
再点击
将SSLVPNActiceX控件保存到桌面上,
双击打开压缩文件,双击Setup.exe文件,安装此插件,
提示安装成功
退回到登陆主界面,使用新创建的用户和密码,身份选择普通用户,点击登陆,如下:
选择应用程序管理—客户端——客户端管理,点击IP启动,如下:
启动安装的SSLVPN客户端软件,右下角会显示一个图标,双击就能查看连接状态,如下:
查看IP地址,就能看到从IP资源地址池里获得了一个地址,如下:
查看客户端PC上路由表,会产生两条静态路由,
选择IP网络访问—网络服务访问,点击资源名称,这里为h3c,如下:
进入后,就看到了创建的快捷方式链接名称,如下:
点击快捷命令的链接名称,就能正常访问资源了,(这里以路由器的WEB登陆界面做的实例)如下:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 一步一步 如何 配置 SSLVPN