华为AR-G3系列路由器SSL-VPN交付指南-V11-C课件

ARG3系列路由器SSLVPN交付指南V1.1_C企业网络技术服务部V1.1ARG3系列路由器SSLVPN交付指南V1.1_C企业Page2SSL

VPN前言SSLVPN前言Page3学习指南SSL

VPN技术原理SSL

VPN交付准备SSL

VPN典型配置应用SSL

VPN故障处理学习指南SSLVPN技术原理Page4学习完此课程，您将会：具有AR

G3路由器SSLVPN业务典型场景交付能力具有AR

G3路由器SSLVPN业务典型问题故障处理能力目标学习完此课程，您将会：目标Page5内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理内容介绍第1章SSLVPN技术原理Page6第1章SSL

VPN技术原理SSLVPN（SecureSocketsLayerVPN）是以HTTPS为基础的安全接入的VPN技术，它利用SSL协议提供的数据加密、身份验证和消息完整性验证机制，为用户远程访问公司内部网络提供安全保障。SSLPKIHTTPS业务模块构成资源访问流程第1章SSLVPN技术原理SSLVPN（SecurePage7SSL

VPN远程维护合作伙伴移动办公分支机构WEB服务器数据库Email企业总部加密的内外连接标准的内部连接NFSERP客户VPN网关远程维护：HTTPS远程维护，对维护操作的数据加密传送功能应用：WEB代理、远程桌面/telnet等TCP应用、基于IP的应用认证方式：用户接入企业内部网络前先要进行认证，支持Local、RADIUS、TACACS等多种认证方式加密方式：用户访问企业内部网络的数据需要经过加密处理，支持DES、RC4、AES、RSA、MD5、SHA-1等密码算法SSLVPN远程维护合作伙伴移动办公分支机构WEB服务器数Page8SSL协议概述安全套接层SSL（SecureSocketsLayer）协议是在Internet基础上提供的一种保证私密性的安全协议。它能使客户端与服务器之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户端进行认证。SSL协议与应用层协议相互独立，应用层协议（例如：HTTP，FTP）能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。SSL协议结构和位置如右图:SSL协议概述安全套接层SSL（SecureSocketsSSL协议安全机制连接的私密性：SSL利用对称加密算法对传输数据进行加密，并利用密钥交换算法—RSA（RivestShamirandAdleman，非对称密钥算法的一种）加密传输对称密钥算法中使用的密钥。身份验证机制：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证是可选的。SSL服务器和客户端通过公钥基础设施PKI（PublicKeyInfrastructure）提供的机制从认证机构CA（CertificateAuthority，）获取证书。内容的可靠性：消息传输过程中使用基于密钥的消息验证码MAC（MessageAuthenticationCode）来检验消息的完整性。Page9SSL协议安全机制连接的私密性：SSL利用对称加密算法对传输PKI公钥基础设施PKI（PublicKeyInfrastructure），是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系应用场景: VPN/安全电子邮件/Web安全Web安全：为了透明地解决Web的安全问题，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通信。此外，服务器端和浏览器端通信时

双方可以通过数字证书确认对方的

身份。Page10PKI公钥基础设施PKI（PublicKeyInfrasPKI工作机制配置PKI的目的就是为指定的实体向CA申请一个本地证书，并由设备对证书的有效性进行验证数字证书CA:数字证书是一个经认证机构CA（CertificateAuthority）签名的，包含实体公开密钥及相关身份信息的文件，它建立了实体身份信息与其公钥的关联，是使用PKI系统的用户建立安全通信的信任基础。CA对数字证书的签名保证了证书的合法性和权威性。PKI工作过程:实体向注册机构RA提出证书申请。RA审核实体身份，将实体身份信息和公开密钥以数字签名的方式发送给CA。CA验证数字签名，同意实体的申请，颁发证书。RA接收CA返回的证书，通知实体证书发行成功。实体获取证书，利用该证书可以与其它实体使用加密、数字签名进行安全通信。实体希望撤消自己的证书时，向CA提交申请。CA批准实体撤消证书，并更新CRL。Page11PKI工作机制配置PKI的目的就是为指定的实体向CA申请一个HTTPSHTTPS将HTTP和SSL结合，通过SSL对客户端和服务器进行身份验证，对传输的数据进行加密，保证通信的安全性。对于支持Web网管功能的设备，开启HTTP服务后，设备可以作为Web服务器，允许用户通过HTTP协议登录，并利用Web页面实现对设备的访问和控制。但是HTTP协议本身不能对Web服务器的身份进行验证，也不能保证数据传输的私密性，无法提供安全性保证。为此，可在设备上部署HTTPS功能，通过SSL对客户端和服务器进行身份验证，对传输的数据进行加密，从而实现了对设备的安全管理。在作为HTTP服务器的设备上部署SSL策略，并使能HTTPS服务器功能后，用户可以在终端通过浏览器登录HTTPS服务器，利用Web页面安全管理设备或者访问设备所属网络的资源Page12HTTPSHTTPS将HTTP和SSL结合，通过SSL对客户业务模块构成Page13远程终端SSLVPN网关企业内网服务器CA认证服务器业务模块构成远程终端资源访问流程Page141.终端向AR提出身份审核申请2.

AR审核身份，将身份信息和公开密钥以数字签名的方式发送给CA。3.CA验证数字签名，同意终端实体的申请，颁发证书。4.AR接收CA返回的证书，通知终端证书发行成功。5.终端获取证书，利用该证书可以与其它终端使用加密、数字签名进行安全通信。6.终端希望撤消自己的证书时，向CA提交申请。CA批准终端撤消证书，并更新CRL。资源访问流程1.终端向AR提出身份审核申请2.AR审核身份Page15内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理内容介绍第1章SSLVPN技术原理Page16第2章AR中SSLVPN的License管理AR的License结构AR各型号支持的SSL

VPN

License特性License下载和激活第2章AR中SSLVPN的License管理AR的LiAR的License结构Page17License软件体系按照业务类型可以分为数据、语音和安全特性，按照业务的层级可以分为基础、增值和进阶特性，如下图。SSLVPN属于安全增值特性，购买安全增值包后即具备SSL

VPN功能,此时默认支持2个用户同时在线,如需要更多用户同时在线,需要购买资源性SSL

VPN

License.虚拟网关允许接入的最大在线用户数目通过客户购买License包实现功能型License资源型LicenseAR的License结构License软件体系按照业务类型可AR各型号支持的SSL

VPN

License特性Page18设备支持的最大在线用户数（具体参考产品手册） AR150/200系列：10 AR1200系列、AR2201、AR2202、AR2204：50 AR2220、AR2220L、AR2240：100 AR3200系列：200SSLVPN属于资源型License，此License功能生效的前提是已购买安全增值业务包，同一个资源型License支持多次选择，用户可以任意组合，最终获得的资源数目为所有资源型License的资源之和，以下是AR全系列可购买的License包 SSLVPNlicense-接入10用户数 SSLVPNlicense-接入25用户数 SSLVPNlicense-接入100用户数AR各型号支持的SSLVPNLicense特性设备支持的License下载和激活Page19通过企业业务FNO系统提供自助服务端获取License/flexnet/operationsportalLicense申请指导可参考附件：License下载和激活通过企业业务FNO系统提供自助服务端License下载和激活Page20选择、购买License。获取License授权证书。提取设备的ESN。查看设备的ESN，用户需要登录设备后，执行命令displayesn。使用License激活码方式或用户名&密码方式登录FNO，绑定ESN，生成唯一的License文件。下载License文件。用户可以通过FTP或者移动存储等方式将获取的License文件上传至存储器的默认根目录下。上传License文件到设备，执行命令dirdevice-name，查看是否有足够存储空间存放License文件，确保有足够的存储空间后，通过FTP或者TFTP方式，将License文件上传至存储器的默认根目录下，License文件后缀为*.dat文件。激活License文件，执行命令licenseactivefile-name，获取相应授权检查License状态，使用displaylicense命令查看当前系统中License文件信息，使用displaylicensestate命令查看主控板License状态License下载和激活选择、购买License。Page21内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理内容介绍第1章SSLVPN技术原理Page22第3章AR中SSL

VPN配置-基础配置配置流程图PKI配置HTTPS配置SSL

VPN配置准备创建虚拟网关并绑定内网接口和AAA域使能SSL

VPN基本功能配置用户（本地/Radius）检查配置结果第3章AR中SSLVPN配置-基础配置配置流程图Page23配置流程图PKISSLHTTPSAAA域虚拟网关内网接口SSL

VPNPKIAR自签名证书通过CA服务器获取证书带外本地导入证书手动在线注册证书自动注册证书配置流程图PKISSLHTTPSAAA域虚拟网关内网接口SSPKI配置-实体Page24PKI实体

一份证书是一个公开密钥与一个身份的绑定，而身份必须与一个特定的PKI实体相关联。PKI实体标识了一个证书的申请者。PKI实体的通用名称Common-name与合格域名FQDN,两者唯一标识了一个PKI实体，可任配其一，也可两者都配。

执行命令system-view，进入系统视图。

执行命令pkientity

entity-name，创建PKI实体并进入PKI实体视图。

执行如下命令，配置PKI实体标识。

执行命令common-name

common-name，配置PKI实体通用名。

执行命令fqdn

fqdn-name，配置PKI实体合格域名。例

<Huawei>pkientitysslvpn

创建PKI实体

<Huawei>countryCN

<Huawei>statebeijing

<Huawei>organizationhuawei

<Huawei>organization-unitinfo

<Huawei>common-namehello

设置通用名PKI配置-实体PKI实体PKI配置-本地证书(通过带外方式导入)Page25PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]caidca_root配置PKI域信任的CA[Huawei-pki-realm-sslvpn]entitysslvpn绑定PKI实体[Huawei-pki-realm-sslvpn]certificate-checknone配置验证证书状态的检查方式{crl|none|ocsp}通过PKCS10生成证书申请文本(或申请文件) [Huawei]pkienroll-certificatesslvpnpkcs10pkcs10为申请文本,pkcs10

filename

xxx为申请文件.

此时需要输入两个密码:1.出现”Pleaseenterthefilenameofprivatekey<length1-127>”提示时输入的密码为证书注销密码;2.出现”The

currentpasswordofprivatekeyisrequired,pleaseenteryourpassword<length1-31>”提示时输入的密码为后续倒入证书时的密码,需记住.在CA服务器上生成证书文件,例如server.pem.将CA证书上传到AR的FLASH中,导入证书文件(本地导入)[Huawei]pkiimport-certificatelocal

sslvpn

pem本地导入证书文件,格式为PEMPleaseenterthenameofcertificatefile<length1-127>:server.pem

Youareimportingalocalcertificate,thecurrentprivatekeyisrequired.Pleaseenterthenameofprivatekeyfile<length1-127>:prikey.pem

Pleaseenterthetypeofprivatekeyfile(pem,p12):pem

Thecurrentpasswordisrequired,pleaseenteryourpassword<length1-31>:***（密码为privatekey生成时的密钥)

PKI配置-本地证书(通过带外方式导入)PKI域PKI配置-手动在线注册Page26PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]caidca_root配置PKI域信任的CA[Huawei-pki-realm-sslvpn]entitysslvpn绑定PKI实体

[Huawei-pki-realm-sslvpn]enrollment-url58:8080/certsrv/mscep/mscep.dllra--证书服务器URL[Huawei-pki-realm-sslvpn]certificate-checknone配置验证证书状态的检查方式{crl|none|ocsp}手工注册证书

[Huawei]pkienroll-certificatesslvpn手工注册证书AR在线从CA服务器上下载证书,不需要本地导入

PKI配置-手动在线注册PKI域PKI配置-自动注册Page27PKI域

[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]caidca_root配置PKI域信任的CA[Huawei-pki-realm-sslvpn]entitysslvpn绑定PKI实体[Huawei-pki-realm-sslvpn]auto-enroll使能实体证书自动注册和更新功能

[Huawei-pki-realm-sslvpn]enrollment-url58:8080/certsrv/mscep/mscep.dllra--证书服务器URL[Huawei-pki-realm-sslvpn]fingerprintsha17A34D94624B1C1BCBF6D763C4A67035D5B578EAF--配置验证CA证书时使用的指纹,自动注册必配,手动注册选配{md5|sha1}[Huawei-pki-realm-sslvpn]certificate-checknone配置验证证书状态的检查方式{crl|none|ocsp}配置证书自动注册和更新功能后，则不需要手工下载证书。当有外部应用需要CA证书或者设备证书时，将自动触发下载CA证书和本地证书

PKI配置-自动注册PKI域PKI配置-自签名证书Page28用户通过PKI设备生成自签名证书或设备本地证书，实现简单的证书颁发功能,此时不需要CA证书服务器.执行命令system-view，进入系统视图。执行命令pkicreate-certificate[self-signed]{filename

file-name}，配置自签名证书或设备本地证书

PKI配置-自签名证书用户通过PKI设备生成自签名证书或设备HTTPS配置Page29创建SSL

POLICY并引用PKI域

作为SSL服务器的Router基于PKI域从认证机构CA获取数字证书，以便SSL客户端可以根据数字证书对Router进行身份验证. [HUAWEI]sslpolicyuserstypeserver

创建SSL

POLICY,类型为服务器 [HUAWEI-ssl-policy-users]pki-realmsslvpn绑定PKI域关联SSL

POLICY并使能HTTPS功能

利用SSL协议的数据加密、身份验证和消息完整性验证机制，保证用户和设备之间数据传输的安全性，这样用户可以利用Web页面安全访问远程的设备 [HUAWEI]httpsecure-serverssl-policyusersHTTPS服务器类型为SSL [HUAWEI]httpsecure-serverenable使能HTTPS功能

HTTPS配置SSL

VPN配置准备Page30组网拓扑

允许SSL

VPN用户使用的企业内网服务器IP地址和端口需要实现桌面共享或远程登陆的主机IP地址段（可选）网络扩展业务使用的IP地址段（可选）配置内外网接口IP地址配置AAA域（本地/Radius/hwtacas）SSLVPN配置准备组网拓扑Page31通过虚拟网关提供SSLVPN服务，一台AR设备可以配置成多个虚拟网关；每个虚拟网关都是独立可管理的，可以配置各自的资源、用户、认证方式等；当企业有多个部门时，可以为每个部门或者用户群体分配不同的虚拟网关，从而形成完全隔离的访问体系。SSL

VPN虚拟网关通过虚拟网关提供SSLVPN服务，一台AR设备可以配置成多创建虚拟网关并绑定接口和AAA域Page32创建虚拟网关

[HUAWEI]sslvpngatewaymarket创建虚拟网关

[HUAWEI-sslvpn-market]intranetinterfaceGigabitEthernet0/0/1绑定内网接口 [HUAWEI-sslvpn-market]binddomaindefault绑定AAA域修改监听端口号

出于安全考虑，一般需要修改监听端口号。修改前需要确保设备上所有的SSLVPN虚拟网关都处于去使能状态。当管理员修改SSLVPN业务的端口号后，后续用户登录SSLVPN网关时，输入的URL地址携带的端口号必须为修改后的端口号。 [HUAWEI]sslvpnserver

port

1025默认为443使能SSL

VPN功能

[HUAWEI-sslvpn-market]enable使能SSL

VPN业务创建虚拟网关并绑定接口和AAA域创建虚拟网关配置SSL

VPN用户-本地认证授权Page33本地认证用户执行命令system-view，进入系统视图。执行命令aaa，进入AAA视图。执行命令local-user

user-name

service-type

sslvpn，配置用户类型为SSLVPN虚拟网关用户。执行命令local-user

user-name

password

cipher

password，配置SSLVPN虚拟网关用户的密码。（可选）执行命令local-user

user-name

privilege

level

level，配置本地用户的优先级执行命令authentication-scheme

authentication-scheme-name，创建一个认证方案，并进入认证方案视图或直接进入一个已存在的认证方案视图。执行命令authentication-mode

local，配置认证模式为本地认证。执行命令quit，返回AAA视图。执行命令authorization-scheme

authorization-scheme-name，创建授权方案，并进入授权方案视图或直接进入一个已存在的授权方案视图。执行命令authorization-mode

local[none]配置授权模式。执行命令quit，返回AAA视图。执行命令domain

domain-name，创建域并进入域视图或进入一个已存在的域视图。执行命令authentication-scheme

authentication-scheme-name，配置域的认证方案。执行命令authorization-scheme

authorization-scheme-name，配置域的授权方案。配置SSLVPN用户-本地认证授权本地认证用户配置SSL

VPN用户-Radius认证授权Page34Radius认证用户执行命令system-view，进入系统视图。执行命令radius-servertemplatetemplate-name，进入RADIUS服务器模板视图。执行命令radius-serverauthenticationip-addressport[vpn-instancevpn-instance-name][source{loopbackinterface-number|ip-addressip-address}]，配置RADIUS主用认证服务器。（可选）执行命令radius-servershared-key[cipher|simple]key-string，配置RADIUS共享密钥。执行命令quit，返回系统视图。执行命令aaa，进入AAA视图。执行命令authentication-schemeauthentication-scheme-name，创建一个认证方案，并进入认证方案视图或直接进入一个已存在的认证方案视图。执行命令authentication-moderadius[none]，配置认证模式为RADIUS认证。执行命令quit，返回AAA视图。执行命令domaindomain-name，创建域并进入域视图或进入一个已存在的域视图。执行命令authentication-schemeauthentication-scheme-name，配置域的认证方案。执行命令radius-servertemplate-name，配置域的RADIUS服务器模板。配置SSLVPN用户-Radius认证授权Page35配置检查查看虚拟网关users的配置信息<Huawei>displaysslvpngatewayusersGatewayname:usersStatus:enableIntranetinterface:Ethernet1/0/0IntranetIP:Domain:defaultMax-user:200Max-onlinetime(minute):120Web-proxyresources:2Port-forwardingresources:1Ip-forwardingresources:1Totalonlineusers:15查看SSLVPN业务的监听端口号<Huawei>displaysslvpnserverportsslvpnserverport:443(default:443)配置检查查看虚拟网关users的配置信息Page36内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理内容介绍第1章SSLVPN技术原理Page37第4章AR中SSL

VPN配置-三种业务应用场景配置WEB代理业务配置端口转发业务配置网络扩展业务检查配置结果第4章AR中SSLVPN配置-三种业务应用场景配置WEPage38管理员先在VPN网关上设置好用户允许访问的WEB站点，用户访问时先登陆VPN网关，认证通过后网关将把允许用户访问的站点资源列表显示给用户。用户点击内网服务器链接（https），VPN网关将该页面请求转发给内部web服务器（http），然后将服务器的响应回传给终端用户。Web代理有两种实现方式：Web-tunnel和URL改写。Web-tunnel利用端口转发原理实现，用户登录VPN网关后，客户端自动安装JAVA插件，显示给用户的内部网站资源的URL链接是内网真实的URL，例如00。用户点击该网站连接后，JAVA插件会自动为该报文增加一个目的地址是VPN网关的外层隧道，并通过HTTPS协议发送给网关，网关还原成原始的HTTP请求发送给内部WEB服务器。URL改写方式用户不需要JAVA插件，VPN网关显示给用户的内部网站资源链接是经过改写后的URL，例如上述服务器的URL可能会被改写成0/sslvpn/dynamic/4/2/0/9/http/00。VPN服务器需要对内部服务器响应远端用户的每个页面中的URL进行改写，其它内容不变。VPN网关WEB服务器远程用户000WEB代理业务流程管理员先在VPN网关上设置好用户允许访问的WEB站点，用户访配置WEB代理业务Page39组网拓扑

用户使用浏览器以HTTPS方式，通过SSLVPN网关对内网Web服务器提供的资源进行访问。在这个过程中，SSLVPN网关利用Web代理业务，代理用户对内网Web服务器的访问，为用户访问内网Web服务器提供了安全的连接配置

[HUAWEI]sslvpngatewaymarket

[HUAWEI-sslvpn-market]service-typeweb-proxyresourcemarket_web-proxy创建Web代理业务 [HUAWEI-sslvpn-market-wp-res-market_web-proxy]link:80-web服务器配置WEB代理业务组网拓扑Page40VPN网关TCP3389TCP25TCP21TCP23应用请求应用代理CLIENTSERVERSSLInternet提供对内网TCP应用的安全接入！管理员先设置好允许用户使用的端口转发应用对应的服务器IP地址、端口号；用户端自动安装运行JAVA插件，获取到端口转发资源列表（目的服务器IP、端口）；用户在本地计算机上打开对应的应用程序，插件将客户端发起的TCP报文与资源列表进行比对，当发现报文的目的IP/Port与资源列表中的表项匹配，则截获报文。对该报文加密封装，添加隧道报文头，将目的地址设为VPN网关的IP地址，发往VPN网关。VPN网关收到报文进行解密，发往真实的目的服务器端口。VPN网关收到服务器的响应后，再加密封装回传给用户终端的侦听端口。端口转发业务流程VPN网关TCP3389TCP25TCP21TCP配置端口转发业务Page41组网拓扑

通过端口转发业务，用户可以访问内网中基于TCP的服务，包括远程访问服务（如Telnet）、桌面共享服务、邮件服务等配置

[HUAWEI]sslvpngatewaymarket

[HUAWEI-sslvpn-market]service-typeport-forwardingresourcemarket_port-forwarding创建端口转发业务 [HUAWEI-sslvpn-market-pf-res-market_port-forwarding]serverip-address1port3389

可以与企业内部主机（IP地址：1）实现桌面共享,或访问某应用服务器配置端口转发业务组网拓扑网络拓展业务流程Page42用户登录网关后，在客户端自动运行JAVA插件，安装虚拟网卡，VPN网关给虚拟网卡分配一个可被内网识别的IP地址；客户端发起基于IP的内网应用（JAVA插件安装后会生成一条内网的路由，指向虚拟网卡），虚拟网关截获报文后增加IP隧道封装，进行SSL加密后发往VPN网关；VPN网关对报文解密剥掉IP隧道头后发往内网服务器；内网服务器的响应报文发到VPN网关，由VPN网关进行封装加密，发往客户端。^源IP目的IP原始报文54源IP目的IP虚拟网卡封装后0054Client:0虚拟网卡:540Server:网络拓展业务流程用户登录网关后，在客户端自动运行JAVA插件配置网络扩展业务Page43组网拓扑

网络扩展业务，可以使远程终端与内网服务器在网络层实现安全通信，比如：在远处终端与内网服务器之间实现文件共享,配置

[HUAWEI]ippoolmarket_pool创建网络扩展业务使用的IP地址池 [HUAWEI-ip-pool-market_pool]networkmask24 [HUAWEI-ip-pool-market_pool]gateway-list [HUAWEI]sslvpngatewaymarket

[HUAWEI-sslvpn-market]service-typeip-forwardingresourcemarket_ip-forwarding创建ip转发业务 [HUAWEI-sslvpn-market-if-res-market_ip-forwarding]bindip-poolmarket_pool绑定网络扩展业务使用的IP地址池 [HUAWEI-sslvpn-market-if-res-market_ip-forwarding]route-modesplit配置网络扩展业务使用的路由模式为隧道分离模式 [HUAWEI-sslvpn-market-if-res-market_ip-forwarding]route-splitipaddress4mask27配置隧道分离模式下的用户路由,即用户可以Ping通企业内网部分主机（网段：4～5）配置网络扩展业务组网拓扑配置检查Page44业务资源检查

执行命令displaysslvpngateway

gateway-name

resource

class{web-proxy|port-forwarding|ip-forwarding}，查看虚拟网关的资源信息。WEB代理资源检查

<Huawei>displaysslvpngatewayusersresourceclassweb-proxy

Thetotalnumberofresourcesis:2

ResourcenameUrlType

liyue5/web-proxy test5/web-proxy

配置检查业务资源检查Page45端口转发资源检查

<Huawei>displaysslvpngatewayusersresourceclassport-forwarding

Thetotalnumberofresourcesis:1

ResourcenameServerPortType

liyue53389port-forwarding

网络扩展资源检查

<Huawei>displaysslvpngatewayusersresourceclassip-forwarding

Resourcename:liyue Poolname:liyue Route-mode:full Acl:3001 Type:ip-forwarding

端口转发资源检查用户登录Page46用户登录

终端（比如PC）打开IE浏览器，输入网址“:1025/market”，即AR外部接口.进入SSLVPN登录页面。输入用户名和密码认证成功后，用户在Web访问页面上查看可以访问的资源列表，包括Web服务器资源、邮箱服务器资源和共享桌面主机资源，并且可以Ping通企业内网部分主机登等。登陆页面

用户登录用户登录Page47内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理内容介绍第1章SSLVPN技术原理Page48第4章AR中SSL

VPN典型问题故障处理用户无法登陆SSLVPN网关设备SSLVPN客户端软件无法使用第4章AR中SSLVPN典型问题故障处理用户无法登陆SPage49用户无法登陆SSLVPN网关设备常见原因AR上的虚拟网关的配置不完整。用户与AR之间路由有故障，无法互相ping通。远程终端的浏览器不是IE或Firefox、浏览器的版本低、浏览器不支持Javascript或者浏览器没有启用cookie功能。AR没有加载包含SSLVPN网页的zip压缩包。AR上的HTTPS的配置不完整。用户输入的用户名、密码不正确。

用户无法登陆SSLVPN网关设备常见原因Page50用户无法登陆SSLVPN网关设备故障处理步骤:1.检查虚拟网关的配置是否完整如果显示Web登录页面，但用户没有可选择的虚拟网关，请执行displaysslvpngateway

[gateway-name

]检查虚拟网关是否使能。2.通过ping检查用户与设备之间的路由是否有故3.检查远程终端的浏览器(IE6.0或Firefox3.0以上),浏览器支持Javascript并启用cookie功能4.检查设备是否加载了含有SSLVPN网页的zip压缩包,如果设备没有加载含有SSLVPN网页的zip压缩包，执行httpserverload命令加载5.检查设备上的HTTPS的配置是否完整6.用户进入Web登录页面，点击“登录”按钮，如果浏览器提示在线用户数已满，说明在线用户数已达到整机或者虚拟网关所支持的最大在线用户数7.执行displaysslvpngatewaygateway-nameaccess-user[user-name]命令检查输入的用户名、密码是否与虚拟网关所配置的用户信息一致用户无法登陆SSLVPN网关设备故障处理步骤:Page51SSLVPN客户端软件无法使用常见原因PC的操作系统不支持安装SSLVPN客户端软件。PC没有安装Java运行环境JRE（JavaRuntimeEnvironment）。PC的浏览器（IE或FireFox）禁用了Java插件。Java控制台设置有误。没有加载CA证书或CA证书加载错误。

SSLVPN客户端软件无法使用常见原因Page52SSLVPN客户端软件无法使用故障处理步骤:1.检查PC的操作系统,确认操作系统版本为WindowsXP、WindowsVista或Windows7,另外注意SSL

VPN不支持安装64位操作系统的PC2.PC没有安装Java运行环境JRE（JavaRuntimeEnvironment）,在控制面板的<添加/删除程序>里查找.3.PC的浏览器（IE或FireFox）禁用了Java插件,打开InternetExplorer浏览器，依次单击“工具”->“Intetnet选项”，然后在“安全”选项卡中单击“自定义级别”按钮,拖动滚动条，向下滚动到“脚本”->“Java小程序脚本”，确认“启用”选项被选中4.检查Java控制台设置有误,进入到控制面板的经典视图,双击“Java”图标,在“高级”选项卡中单击“浏览器的默认Java”，确认“MicrosoftInternetExplorer”或“Mozilla系列”的选项被选中

SSLVPN客户端软件无法使用故障处理步骤:Page53SSLVPN客户端软件无法使用故障处理步骤:5.改变Java控制台的设置,进入到控制面板的经典视图,双击“Java”图标,在“高级”选项卡单击“Java控制台”，选中“显示控制台”，单击“应用”按钮.6.检查浏览器是否正确加载CA证书,在InternetExplorer浏览器的网页上依次单击“工具”->“Intetnet选项”，然后在“内容”选项卡中单击“证书”按钮,单击“受信任的根证书颁发机构”选项卡，查看浏览器是否已加载CA证书.7.检查Java控制台是否导入CA证书,进入到控制面板的经典视图,双击“Java”图标,在“Java控制面板”中单击“安全”选项卡，然后单击“证书”按钮，弹出“证书”窗口,在“证书类型”下拉菜单中选择“签名者CA”，然后在“用户”选项卡中查看Java控制台是否导入CA证书.

SSLVPN客户端软件无法使用故障处理步骤:Page54小结在实现安全接入VPN技术中，SSLVPN以HTTPS为基础，利用SSL协议提供的数据加密、身份验证和消息完整性验证机制，为用户远程访问企业内部网络提供了安全保证。SSLVPN网关部署在企业网等内部网络的边缘，与安装在远程终端上的浏览器以及可以从浏览器自动下载的客户端软件配合，通过SSL协议保护在Internet上传输的用户数据，并代理用户对内网服务器的访问小结在实现安全接入VPN技术中，SSLVPN以HTTPS为华为AR_G3系列路由器SSL_VPN交付指南_V11_C课件ARG3系列路由器SSLVPN交付指南V1.1_C企业网络技术服务部V1.1ARG3系列路由器SSLVPN交付指南V1.1_C企业Page57SSL

VPN前言SSLVPN前言Page58学习指南SSL

VPN技术原理SSL

VPN交付准备SSL

VPN典型配置应用SSL

VPN故障处理学习指南SSLVPN技术原理Page59学习完此课程，您将会：具有AR

G3路由器SSLVPN业务典型场景交付能力具有AR

G3路由器SSLVPN业务典型问题故障处理能力目标学习完此课程，您将会：目标Page60内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理内容介绍第1章SSLVPN技术原理Page61第1章SSL

VPN技术原理SSLVPN（SecureSocketsLayerVPN）是以HTTPS为基础的安全接入的VPN技术，它利用SSL协议提供的数据加密、身份验证和消息完整性验证机制，为用户远程访问公司内部网络提供安全保障。SSLPKIHTTPS业务模块构成资源访问流程第1章SSLVPN技术原理SSLVPN（SecurePage62SSL

VPN远程维护合作伙伴移动办公分支机构WEB服务器数据库Email企业总部加密的内外连接标准的内部连接NFSERP客户VPN网关远程维护：HTTPS远程维护，对维护操作的数据加密传送功能应用：WEB代理、远程桌面/telnet等TCP应用、基于IP的应用认证方式：用户接入企业内部网络前先要进行认证，支持Local、RADIUS、TACACS等多种认证方式加密方式：用户访问企业内部网络的数据需要经过加密处理，支持DES、RC4、AES、RSA、MD5、SHA-1等密码算法SSLVPN远程维护合作伙伴移动办公分支机构WEB服务器数Page63SSL协议概述安全套接层SSL（SecureSocketsLayer）协议是在Internet基础上提供的一种保证私密性的安全协议。它能使客户端与服务器之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户端进行认证。SSL协议与应用层协议相互独立，应用层协议（例如：HTTP，FTP）能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。SSL协议结构和位置如右图:SSL协议概述安全套接层SSL（SecureSocketsSSL协议安全机制连接的私密性：SSL利用对称加密算法对传输数据进行加密，并利用密钥交换算法—RSA（RivestShamirandAdleman，非对称密钥算法的一种）加密传输对称密钥算法中使用的密钥。身份验证机制：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证是可选的。SSL服务器和客户端通过公钥基础设施PKI（PublicKeyInfrastructure）提供的机制从认证机构CA（CertificateAuthority，）获取证书。内容的可靠性：消息传输过程中使用基于密钥的消息验证码MAC（MessageAuthenticationCode）来检验消息的完整性。Page64SSL协议安全机制连接的私密性：SSL利用对称加密算法对传输PKI公钥基础设施PKI（PublicKeyInfrastructure），是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系应用场景: VPN/安全电子邮件/Web安全Web安全：为了透明地解决Web的安全问题，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通信。此外，服务器端和浏览器端通信时

双方可以通过数字证书确认对方的

身份。Page65PKI公钥基础设施PKI（PublicKeyInfrasPKI工作机制配置PKI的目的就是为指定的实体向CA申请一个本地证书，并由设备对证书的有效性进行验证数字证书CA:数字证书是一个经认证机构CA（CertificateAuthority）签名的，包含实体公开密钥及相关身份信息的文件，它建立了实体身份信息与其公钥的关联，是使用PKI系统的用户建立安全通信的信任基础。CA对数字证书的签名保证了证书的合法性和权威性。PKI工作过程:实体向注册机构RA提出证书申请。RA审核实体身份，将实体身份信息和公开密钥以数字签名的方式发送给CA。CA验证数字签名，同意实体的申请，颁发证书。RA接收CA返回的证书，通知实体证书发行成功。实体获取证书，利用该证书可以与其它实体使用加密、数字签名进行安全通信。实体希望撤消自己的证书时，向CA提交申请。CA批准实体撤消证书，并更新CRL。Page66PKI工作机制配置PKI的目的就是为指定的实体向CA申请一个HTTPSHTTPS将HTTP和SSL结合，通过SSL对客户端和服务器进行身份验证，对传输的数据进行加密，保证通信的安全性。对于支持Web网管功能的设备，开启HTTP服务后，设备可以作为Web服务器，允许用户通过HTTP协议登录，并利用Web页面实现对设备的访问和控制。但是HTTP协议本身不能对Web服务器的身份进行验证，也不能保证数据传输的私密性，无法提供安全性保证。为此，可在设备上部署HTTPS功能，通过SSL对客户端和服务器进行身份验证，对传输的数据进行加密，从而实现了对设备的安全管理。在作为HTTP服务器的设备上部署SSL策略，并使能HTTPS服务器功能后，用户可以在终端通过浏览器登录HTTPS服务器，利用Web页面安全管理设备或者访问设备所属网络的资源Page67HTTPSHTTPS将HTTP和SSL结合，通过SSL对客户业务模块构成Page68远程终端SSLVPN网关企业内网服务器CA认证服务器业务模块构成远程终端资源访问流程Page691.终端向AR提出身份审核申请2.

AR审核身份，将身份信息和公开密钥以数字签名的方式发送给CA。3.CA验证数字签名，同意终端实体的申请，颁发证书。4.AR接收CA返回的证书，通知终端证书发行成功。5.终端获取证书，利用该证书可以与其它终端使用加密、数字签名进行安全通信。6.终端希望撤消自己的证书时，向CA提交申请。CA批准终端撤消证书，并更新CRL。资源访问流程1.终端向AR提出身份审核申请2.AR审核身份Page70内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理内容介绍第1章SSLVPN技术原理Page71第2章AR中SSLVPN的License管理AR的License结构AR各型号支持的SSL

VPN

License特性License下载和激活第2章AR中SSLVPN的License管理AR的LiAR的License结构Page72License软件体系按照业务类型可以分为数据、语音和安全特性，按照业务的层级可以分为基础、增值和进阶特性，如下图。SSLVPN属于安全增值特性，购买安全增值包后即具备SSL

VPN功能,此时默认支持2个用户同时在线,如需要更多用户同时在线,需要购买资源性SSL

VPN

License.虚拟网关允许接入的最大在线用户数目通过客户购买License包实现功能型License资源型LicenseAR的License结构License软件体系按照业务类型可AR各型号支持的SSL

VPN

License特性Page73设备支持的最大在线用户数（具体参考产品手册） AR150/200系列：10 AR1200系列、AR2201、AR2202、AR2204：50 AR2220、AR2220L、AR2240：100 AR3200系列：200SSLVPN属于资源型License，此License功能生效的前提是已购买安全增值业务包，同一个资源型License支持多次选择，用户可以任意组合，最终获得的资源数目为所有资源型License的资源之和，以下是AR全系列可购买的License包 SSLVPNlicense-接入10用户数 SSLVPNlicense-接入25用户数 SSLVPNlicense-接入100用户数AR各型号支持的SSLVPNLicense特性设备支持的License下载和激活Page74通过企业业务FNO系统提供自助服务端获取License/flexnet/operationsportalLicense申请指导可参考附件：License下载和激活通过企业业务FNO系统提供自助服务端License下载和激活Page75选择、购买License。获取License授权证书。提取设备的ESN。查看设备的ESN，用户需要登录设备后，执行命令displayesn。使用License激活码方式或用户名&密码方式登录FNO，绑定ESN，生成唯一的License文件。下载License文件。用户可以通过FTP或者移动存储等方式将获取的License文件上传至存储器的默认根目录下。上传License文件到设备，执行命令dirdevice-name，查看是否有足够存储空间存放License文件，确保有足够的存储空间后，通过FTP或者TFTP方式，将License文件上传至存储器的默认根目录下，License文件后缀为*.dat文件。激活License文件，执行命令licenseactivefile-name，获取相应授权检查License状态，使用displaylicense命令查看当前系统中License文件信息，使用displaylicensestate命令查看主控板License状态License下载和激活选择、购买License。Page76内容介绍第1章SSL

VPN技术原理第2章AR中SSL

VPN的License管理第3章AR中SSL

VPN配置-基础配置第4章AR中SSL

VPN配置-三种业务应用场景第5章AR中SSL

VPN典型问题故障处理内容介绍第1章SSLVPN技术原理Page77第3章AR中SSL

VPN配置-基础配置配置流程图PKI配置HTTPS配置SSL

VPN配置准备创建虚拟网关并绑定内网接口和AAA域使能SSL

VPN基本功能配置用户（本地/Radius）检查配置结果第3章AR中SSLVPN配置-基础配置配置流程图Page78配置流程图PKISSLHTTPSAAA域虚拟网关内网接口SSL

VPNPKIAR自签名证书通过CA服务器获取证书带外本地导入证书手动在线注册证书自动注册证书配置流程图PKISSLHTTPSAAA域虚拟网关内网接口SSPKI配置-实体Page79PKI实体

一份证书是一个公开密钥与一个身份的绑定，而身份必须与一个特定的PKI实体相关联。PKI实体标识了一个证书的申请者。PKI实体的通用名称Common-name与合格域名FQDN,两者唯一标识了一个PKI实体，可任配其一，也可两者都配。

执行命令system-view，进入系统视图。

执行命令pkientity

entity-name，创建PKI实体并进入PKI实体视图。

执行如下命令，配置PKI实体标识。

执行命令common-name

common-name，配置PKI实体通用名。

执行命令fqdn

fqdn-name，配置PKI实体合格域名。例

<Huawei>pkientitysslvpn

创建PKI实体

<Huawei>countryCN

<Huawei>statebeijing

<Huawei>organizationhuawei

<Huawei>organization-unitinfo

<Huawei>common-namehello

设置通用名PKI配置-实体PKI实体PKI配置-本地证书(通过带外方式导入)Page80PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]caidca_root配置PKI域信任的CA[Huawei-pki-realm-sslvpn]entitysslvpn绑定PKI实体[Huawei-pki-realm-sslvpn]certificate-checknone配置验证证书状态的检查方式{crl|none|ocsp}通过PKCS10生成证书申请文本(或申请文件) [Huawei]pkienroll-certificatesslvpnpkcs10pkcs10为申请文本,pkcs10

filename

xxx为申请文件.

此时需要输入两个密码:1.出现”Pleaseenterthefilenameofprivatekey<length1-127>”提示时输入的密码为证书注销密码;2.出现”The

currentpasswordofprivatekeyisrequired,pleaseenteryourpassword<length1-31>”提示时输入的密码为后续倒入证书时的密码,需记住.在CA服务器上生成证书文件,例如server.pem.将CA证书上传到AR的FLASH中,导入证书文件(本地导入)[Huawei]pkiimport-certificatelocal

sslvpn

pem本地导入证书文件,格式为PEMPleaseenterthenameofcertificatefile<length1-127>:server.pem

Youareimportingalocalcertificate,thecurrentprivatekeyisrequired.Pleaseenterthenameofprivatekeyfile<length1-127>:prikey.pem

Pleaseenterthetypeofprivatekeyfile(pem,p12):pem

Thecurrentpasswordisrequired,pleaseenteryourpassword<length1-31>:***（密码为privatekey生成时的密钥)

PKI配置-本地证书(通过带外方式导入)PKI域PKI配置-手动在线注册Page81PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]caidca_root配置PKI域信任的CA[Huawei-pki-realm-sslvpn]entitysslvpn绑定PKI实体

[Huawei-pki-realm-sslvpn]enrollment-url58:8080/certsrv/mscep/mscep.dllra--证书服务器URL[Huawei-pki-realm-sslvpn]certificate-checknone配置验证证书状态的检查方式{crl|none|ocsp}手工注册证书

[Huawei]pkienroll-certificatesslvpn手工注册证书AR在线从CA服务器上下载证书,不需要本地导入

PKI配置-手动在线注册PKI域PKI配置-自动注册Page82PKI域

[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]caidca_root配置PKI域信任的CA[Huawei-pki-realm-sslvpn]entitysslvpn绑定PKI实体[Huawei-pki-realm-sslvpn]auto-enroll使能实体证书自动注册和更新功能

[Huawei-pki-realm-sslvpn]enrollment-url58:8080/certsrv/mscep/mscep.dllra--证书服务器URL[Huawei-pki-realm-sslvpn]fingerprintsha17A34D94624B1C1BCBF6D763C4A67035D5B578EAF--配置验证CA证书时使用的指纹,自动注册必配,手动注册选配{md5|sha1}[Huawei-pki-realm-sslvpn]certificate-checknone配置验证证书状态的检查方式{crl|none|ocsp}配置证书自动注册和更新功能后，则不需要手工下载证书。当有外部应用需要CA证书或者设备证书时，将自动触发下载CA证书和本地证书

PKI配置-自动注册PKI域PKI配置-自签名证书Page83用户通过P