一、拓扑:
二、简介:
1、最近发现公司的防火墙到核心交换机的静态路由(多数为回程路由)多达209条之多,每次在核心交换机上新建一个vlan或接口网段,一旦此网段需要上网的话,都需要在防火墙写一条回程路由到核心上,时间久了十分不好维护庞大的静态路由表项。遂打算测试下静态路由换OSPF方式让核心交换和FW可以相互学习彼此的路由。
2、 但换了OSPF之后发现,SSLAPN用户无法访问内网了,一时间无法定位问题点,但短暂回想此次配置之后,发现是由于删除了所有的FW-核心交换的静态路由,导致在FW上的SSLAPN网段没有被核心交换机学习到所致,通过在防火墙的OSPF进程中宣告一下SSLVPN网段后,SSLAPN用户恢复正常使用。(重要)
3、 对于OSPF基本的配置本实验不再赘述(请看另一篇博文),本文将会主要介绍H3C防火墙的SSLAPN的基本配置(仅基本逻辑或框架的配置,其他SSLAPN周边配置暂不涉及,例如结合AD、权限划分等,略。),跟做后将会成功搭建一个基本的SSLAPN环境。
实验环境介绍:
HCL版本:V 5.3.0 Windows版本:Windows11(22H2)
实验需求:防火墙设备作为出口设备,外网PC通过inode软件拨SSLAPN,认证成功后可以访问内网。
三、实验步骤:
*防火墙、核心交换如何配置使得内网几个网段可以上网相关配置略、设备各接口IP配置方法略、OSPF配置略。
1、 配置SSLAPN网关:
#SSLAPN网关IP地址填写防火墙1口地址10.10.10.67,端口号修改为8443,缺省端口为443,443端口和https端口冲突,然后使能网关配置。
<FW>sys //进入系统视图
[FW]sslApn gateway SSLAPN //创建sslvpn网关 名称SSLAPN
[FW-sslApn-gateway-SSLAPN]ip address 10.10.10.67 port 8443
// SSLAPN网关IP地址填写防火墙0口地址10.10.10.67,端口号修改为8443.
[FW-sslApn-gateway-SSLAPN]service enable //使能sslApn
[FW-sslApn-gateway-SSLAPN]quit //退出
#创建SSL APN AC接口1,配置接口IP为 8.8.8.8/24
[FW]interface SSLAPN-AC 1 //创建SSL APN AC接口1
[FW-SSLAPN-AC1] ip address 8.8.8.8 255.255.255.0 //配置接口IP为 8.8.8.8 掩码255.255.255.0
[FW-SSLAPN-AC1]quit //退出当前视图
#创建地址池名称为“ssl”,指定IP地址范围为8.8.8.10~8.8.8.100
[FW]sslApn ip address-pool ssl 8.8.8.10 8.8.8.100
#创建ACL 3000,允许SSL APN用户访问的内网资源全部网段(也可以细分,写成内网详细网段.)
[FW]acl advanced 3000 //创建ACL 3000
[FW-acl-ipv4-adv-3000]rule 0 permit ip //本实验acl允许其访问所有。
[FW-acl-ipv4-adv-3000]quit //退出当前视图
2、 配置SSL APN实例
# 配置SSL APN访问实例“SSAPN”引用SSL APN网关“SSLAPN”
[FW] sslvpn context SSLAPN //创建SSL APN访问实例“SSAPN”
[FW-sslvpn-context-SSAPN]gateway SSLAPN //引用SSL APN网关“SSLAPN”
#引用SSL APN接口1
//引用SSL APN接口1
#引用SSL APN地址池,掩码和dns
//引用SSL APN地址池,掩码
//设置客户端dns服务器,有内网DNS服务器的建议写一个内网的DNS地址。
#创建路由列表“access_lan”,添加路由表项192.168.10.0/24
[FW-sslApn-context-SSAPN] ip-route-list access_lan
//创建路由列表“access_lan”,即:允许sslApn地址池能够访问的内网网段。
[FW-sslApn-context-SSAPN-route-list-access_lan] include 2.2.2.0 255.255.255.0
[FW-sslApn-context-SSAPN-route-list-access_lan] include 3.3.3.0 255.255.255.0
[FW-sslApn-context-SSAPN-route-list-access_lan] include 4.4.4.0 255.255.255.0
[FW-sslApn-context-SSAPN-route-list-access_lan] include 5.5.5.0 255.255.255.0
# 创建SSL APN策略组“access”,引用路由列表“access_lan”,配置ACL限制,只有通过ACL检查的报文才可以访问IP资源
[FW-sslApn-context-SSAPN] policy-group access //创建SSL VPN策略组“access”
[FW-sslApn-context-SSAPN-policy-group-access]filter ip-tunnel acl 3000 //配置ACL限制,只有通过ACL检查的报文才可以访问IP资源
[FW-sslApn-context-SSAPN-policy-group-access]ip-tunnel access-route ip-route-list access_lan //引用路由列表“access_lan”
[FW-sslApn-context-SSAPN-policy-group-access]quit //退出
[FW-sslApn-context-SSAPN] service enable //使能sslvpn策略组
[FW-sslApn-context-SSAPN]quit //退出
3、 新建SSL APN用户,关联SSLAPN资源组
#创建SSLAPN本地用户,配置用户名密码xxxx,服务类型sslApn,引用之前创建的SSLAPN资源组
[FW]local-user vegeta class network //创建SSLAPN本地用户,配置用户名密码xxxx,
[FW-luser-network-vegeta]password simple xxxx //配置密码xxxx
[FW-luser-network-vegeta]service-type sslApn //服务类型sslvpn
[FW-luser-network-vegeta]authorization-attribute sslvpn-policy-group access //引用所创建的SSLVPN资源组access
[FW-luser-network-vegeta]quit //退出
4、 将SSL APN端口加入安全域
#进入安全域“Trust”,将SSL APN端口1加入到安全域“Trust”
[FW]security-zone name Trust //进入安全域“Trust”
[FW-security-zone-SSLAPN]import interface SSLAPN-AC1 //将SSL APN端口1加入到安全域“Trust”安全域。
[FW-security-zone-SSLAPN]quit //退出
5、 保存配置
[FW]save force
6、客户端拨号(右边是拨号完成的界面)
7、 配置验证,查看拨号成功的用户
至此,H3C 防火墙的SSLweiPN配置完毕!审核求放过,,我改过字母了,图都改了= =!感谢!
