Array ssl vpn 简明配置手册v1

PAGEPAGE51PAGEPAGE51SPX简明配置手册ArrayNetworks

目录1. 概述 31.1 前言： 31.2 SSLVPN简介 31.3 SSLVPN网络拓扑 31.4 ArraySPX设备配置概述 52. Spx设备基本配置 52.1 ArraySPX的配置管理方式 52.2 SPX系列产品外观指示灯介绍 62.3 SPX的几种配置模式 62.4 设备硬件信息、OS版本及License管理 72.5 SPX设备的基本信息配置 83. SSLVPN门户（VirtualSite）的建立 163.1 加入新的VirtualSite 163.2 配置virtualsite的ssl协议及数字证书 173.2.1 GlobalMode与VirtualsiteMode 173.2.2 SSL协议部分配置概述 183.2.3 生成CSR 183.2.4 导入virtualsite数字证书 193.2.5 客户端数字证书验证配置 213.2.6 LocalDB用户认证配置 234. VirtualSite各个应用模块的配置 254.1 WRMPortal配置 254.2 FileSharing配置 274.3 ApplicationManager配置 284.3.1 JavaApplet方式 294.3.2 WindowsRedirect方式 304.4 隧道式VPNL3vpn配置 325. sslvpn门户VirtalSite认证配置 345.1 Radius认证服务配置 355.2 LDAP认证服务配置 365.3 AD认证服务配置 385.4 SecurID动态口令认证配置 386. sslvpn门户VirtalSite授权配置 396.1 LocalDB的授权 416.2 Ldap服务器的授权 426.3 Radius服务器的授权 436.4 GroupMap授权方式 447. Cluster方式配置 468. 设备管理及排错 488.1 Syslog设置 488.2 SNMP配置 498.3 系统管理 498.4 troubleshooting 50概述 SSLVPN是当前发展非常迅速的一种VPN技术，Array是一个主要的sslvpn厂家，其产品有专门的操作手册，本文是一个快速入门的中文手册，力图简洁明了地介绍arraysslvpn的主要部署结构，建立sslvpn的大致流程以及主要操作命令。如果您需要详细了解arrayspx设备的操作以及详细的命令，请参阅arrayspx设备操作手册。 SSLVPN是采用SSL技术的一种VPN技术，适用于ClienttoSite的安全接入方式。SSL技术是位于TCP之上的协议，具有数字证书身份验证，数据加密等安全手段。在实现VPN访问内部应用时主要采用Proxy、ApplicationTranslation、NetworkExtention等技术手段实现。 用户通过SSLVPN访问内部应用系统，必须先用https协议登陆SSLVPN网关提供的sslvpn门户站点，我们称之为VirtualSite，Array的SPX系列单台设备可以配置多个VirtualSite，具体数量视License而定。 一般情况下，在数据中心的网络边缘放置SSLVPN网关，如ArrayNetworksSPX系列产品。客户端要访问内部应用服务器，必须通过SSLVPN网关，其过程是先用标准浏览器如IE、Netscape等登陆SSLVPN网关，登陆使用的协议是HTTPS，底层是采用了具有加密算法的SSL协议。登陆SSLVPN是需要经过用户认证、授权、审计的。登陆完成之后，客户端既可以访问内部的各种应用了，无论是B/S结构还是C/S结构，都能够支持，访问过程中的数据传输都是经过加密处理的，同时是经过sslvpn授权允许和审计的。 SSLVPN网关设备，Array称之为SPX系列产品，她的位置在数据中心的边缘，具体来讲一般放置在防火墙后面，入侵检测设备的前面，这样和其他安全产品一起为数据中心提供安全防护。 Array的sslvpn网关支持双臂结构和单臂结构。单臂结构一般不改变企业的网络拓扑结构，只需一个接口接道防火墙或交换机上，具有易部署的特点。双臂结构，一般是指连接两个接口，如一个连接内网，一个连接外网，双臂结构具有良好的网络吞吐。 SSLVPN的工作流程是一个Proxy架构，所以考虑拓扑结构时，要满足两点：客户端机器要能构访问VirtualSiteIP地址，SPX设备要能够访问内部各个服务器各个应用。若中间有防火墙等过滤设备，一定要打开相应端口。如在客户端和VirtualSite之间的防火墙要打开Https访问，典型如TCP443端口。SPX和服务器之间的防火墙要对SPX设备的网络接口打开各个应用的端口。 上图是一个典型的双臂结构，outside端口连接外网路由器或防火墙，端口地址为；inside接口连接内部交换机，端口地址为。在SPX设备上的VirtualSite地址为，为内部IP地址，在internet上的客户端要能构访问，前面的防火墙或路由器还要做NAT转换，如－。当然，VirtualSite地址也可以直接配置成公网地址，这时只需客户端到VirtualsiteIP的路由可达与Https能够访问即可。 上图是典型的单臂结构，SPX设备只需一个接口连接防火墙、路由器或者是交换机。接口IP为，Virtualsite地址为，需要NAT设备作转换：如－。当然，VirtualSite地址也可以直接配置成公网地址，这时只需客户端到VirtualsiteIP的路由可达与Https能够访问即可。 重复一下，无论是单臂还是双臂，无论多么复杂的拓扑结构，中间有什么样的网络设备，都需要满足两点：客户端机器要能构访问VirtualSiteIP地址，SPX设备要能够访问内部各个服务器各个应用。 拿到Array的一台新的设备，一般要经过如下几个过程来配置成一个可以工作的sslvpn系统。查看设备的license，如没有licnese许可，需向总代、Array申请购买的license。了解用户的拓扑结构，DNS系统、应用的大概情况，和用户协商SSLVPN拓扑结构、路由结构、DNS配置、防火墙策略、各个应用通过SSLVPN实现的方式。对SPX设备进行基本配置，包括License输入、接口IP地址配置、路由配置、时间配置、DNS配置。VirtualSite建立：建立VirtualSite、SSL数字证书配置。VirtualSite认证方法配置，如配置LocalDB、Radius、Ldap等。VirtualSite各个应用模块的配置，如WRM、ClientAPP、L3VPN。VirtualSite用户访问策略配置，各个用户或组的访问权限设定。管理配置，如Snmp、Log、配置文件管理等Spx设备基本配置 ArraySPX设备支持三种配置管理接入方式. Consle接入：SPX系列产品默认没有IP地址、路由等配置。需要首先启动电源，通过应用随设备附带的连接线（console线），一端连接PC机的串口，一端连接SPX系列的Consle口。SPX设备有专用的Consle线和Consle口，通过管理者的PC机串口接入，仿真终端：VT100；BaudRateto9600；DataBitsto8；NOParity；StopBitsto1；NOFlowControl。登陆进入后可以采用命令行方式。 SSH接入：通过SSH终端可以接入SPX设备上的任一个接口IP地址，典型的，你可以使用Putty，SecureCRT等软件，SSH2协议，端口22来接入，登陆进入后可以采用命令行方式。 图形化配置：在通过命令行配置webuion命令启动图形化管理方式后，使用IE6.0或Netscape7.0浏览器通过访问https://<Interface_IP_address>:8888的方式登陆并进行远程管理控制。在SPX系列产品的前面板中具有显示设备运行状态的指示灯，指示灯分为以下三种：Power:表示系统是否处在加电运行状态Run:表示系统运行负载情况，当此灯经常闪烁时，表示系统负载较高。Fault:表示设备是否发生故障，当此灯始终亮时，表示设备硬件故障。具体状态指示灯的位置如下图所示：ArrayOS的配置管理模式具有三个级别，登陆模式，管理模式和配置模式，在命令行中体现为hostname加上“>”、“#”或者是“(config)#”。第一个级别登陆模式“AN>”：配置好超级终端后，回车登陆。TMX系列产品默认需要认证，才能进行管理配置，默认的用户名为array，口令为admin。此时将进入登陆模式，登陆模式的符号是一个大于号“>”，在此模式下可以实现基本的状态查看功能,通过问号AN>?可以查看此状态下所有可操作的命令。第二个级别管理模式“AN#”:从第一个级别进入第二个级别，是在第一个级别输入AN>enable 命令即可进入第二个级别，缺省的口令为空。第二个级别的能够进行所有状态信息的查看，同一时刻允许有多个管理员处在此模式下。第三个级别配置模式“AN(config)#”:从第一个级别进入第二个级别，是在第一个级别输入AN#configterminal 命令即可进入配置模式，同一时刻只允许一个人进入此模式。只有在此模式下才能够进行设备的配置。 当长时间不敲入命令，系统会自动退出。从后一个级别回到上一个级别使用exit命令，如果直接关闭终端软件，没有从config模式exit到管理模式，会有缺省三分钟的等待时间才能再次进入config模式。 无论是在那种模式下都可以输入“?”来了解当前模式下可以执行的命令，或者是某条命令的信息如： AN(config)#show? AN(config)#ipaddress? 图形界面为输入https://IP_address:8888,缺省的webui是关闭的，必须在命令行的模式下先输入： AN(config)#webuion 系统缺省是没有IP地址的，所以要使用图形界面也要先配置设备的端口IP地址。 拿到Array的设备，你最先作的是通过LED查看设备硬件运行情况，若Fault灯总是亮的，请联系供应商解决设备硬件故障。 其次，您要登陆到设备上，最好用命令行方式，查看设备的系统信息：SP-Demo1(config)#showversionArraySPRel.SP.4Build16-builtonThuMay1117:50:182006Hostname:SP-Demo1SystemModule:P4DPESystemRAM:493MBSystemboottime:ThuJul2018:37:05CST(+0800)2006Currenttime:ThuAug0311:07:34CST(+0800)2006Systemuptime:13days,16:30PlatformBldDate:ThuMay1117:50:14PDT2006SSLHW:HW(4D)InitializedCompressionHW:NoHWAvailableNetworkInterface:2xFastEthernetCopperModel:ArraySP-C,RAMLimit:1024MBSerialNumber:0414A2960000010003011012436542MaximumSessions:500MaximumVBlades:128LicensedFeatures:WebWallClusteringSLBSSLL3VPNHostCheckCacheCleanerVirtualDesktopURLAliasingServiceMgmtWebAppsClientAppTCSMailProxyAppFilterLicenseKey:eb90e60a-6c6c9661-428d00ec-3a025f8f-3131ce10-27ea070e-00010128-00000500-99999999ArraySPRel.SP.4Build16：是指当前运行的ArrayOS版本SSLHW： 是指ssl硬件加速卡的信息。CompressionHW： 是指硬件压缩卡的信息MaximumSessions： 指设备license允许的最大并发用户数MaximumVBlades： 指设备License允许的最多virtualsite数量LicensedFeatures： 指设备license允许的功能模块LicenseKey： Array颁发的设备的LicenseKey，最后的几位数字是license截止的日期，以上例子99999999是无限期的licnese 如果您拿到Array的SPX设备是新的，设备的licnese是invalidlicense，您需要向供应商申请License，您需要向他提供以上的showversion信息，最主要的是设备的serialnumber。 拿到新的licensekey后，您需要输入：SP-Demo1(config)#systemlicense<licensekey> 即可使新的license生效，输入后您可以通过showversion查看license信息。 本文以如下的拓扑结构为例作配置说明，双臂结构，以/24来模拟公网，以/16来模拟内网。VirtualsietIP地址为：/24。设备的outsideIP_address：/24，inside地址为：/16图1配置主机名：AN(config)#hostname<hostname>：其中主机名长度最长为64字节实例：例如需要配置设备的名称为TMX2000，则命令如下。 AN(config)#hostnamesp-demo Sp-demo(config)#配置端口IP地址: AN(config)#ipaddress{outside|inside}<ip-address><netmask>实例：例如需要对设备的Outside端口和Inside端口进行配置 AN(config)#ipaddressinside AN(config)#ipaddressoutside查看当前端口IP地址命令： AN(config)#showipaddress 配置路由： 配置默认路由命令： AN(config)#iproutedefault<nexthop-gateway-address> 配置静态路由命令： AN(config)#iproutestatic<dest-IP><dest-mask><nexthop-gateway-address> 实例：增加一条默认路由和一条静态路由 AN(config)#iproutedefault AN(config)#iproutestatic 图形界面配置：测试网络联通情况 SPX系列产品提供了Ping和traceroute来检查网路的联通状况 ping命令示例： AN(config)#ping Traceroute命令示例： AN(config)#traceroute配置域名服务器 SPX需要指明DNS服务器以提供域名解析服务，尤其使当需要内部域名服务器解析内部域名时。 命令行： AN(config)#ipdnsnameserverserver_ip AN(config)#ipdnsnameserver10.1.10 注意图形界面配置时，Dns服务器选择external那个选项，最上面的local选项是指SPX自己可以作为DNS服务器，当一些特殊情况下才会用到。时区、时间配置 时区、时间的设置对于sslvpn配置来讲非常重要，这主要是何数字证书的验证有关，数字证书一般是有期限设定的。 时区设定AN(config)#systemtimezone"Asia/China/Chinacoast" 时间设定 AN(config)#systemdate<year><month><date> AN(config)#systemtime<hour><minute><second> 举例： AN(config)#systemdate200288 AN(config)#systemtime16280保存配置 TMX系列产品默认有两种配置，一是runningconfig配置，一是startup配置。Runningconfig配置是系统当前正在应用生效的配置文件，而startup配置文件是系统启动时使用的配置文件。 保存配置命令有以下几种： AN(config)#writememory 作用：使用runningconfig覆盖startupconfig AN(config)#writememory保存配置，联通各个virtualsite的配置，这时需要各个站点不再config模式。 AN(config)#writefile<filename> 作用：将当前的runningconfig以文件的形式保存在系统中，待以后应用 AN(config)#writenetscp<scp-server-ip-address><user-name><filepath> AN(config)#writenettftp<tftp-ip-address>[filename] 作用：将当前的runningconfig以文件的形式保存第三方的scp或tftp服务器上，待以后应用。查看配置 AN(config)#showrunning 作用：显示出所有runningconfig的配置内容 AN(config)#showstartup 作用：显示出所有startupconfig的配置内容 AN(config)#showconfigfile[filename] 作用：显示出所有保存的文件列表，或文件中的所有配置内容清除配置 AN(config)#clearconfigall 作用：清除所有配置，恢复到出厂状态 AN(config)#no… 作用：清除特定配置命令行导入配置 AN(config)#configurememory 作用：应用startupconfig覆盖runningconfig AN(config)#configurefile<filename> 作用：应用保存的文件中的配置覆盖当前runningconfig AN(config)#configurenetscp<scp-ip-address><user-name><filename> AN(config)#configurenettftp<tftp-ip-address><filename> 作用：应用保存在第三方scp或tftp服务器上配置文件覆盖当前runningconfig升级系统版本 AN(config)#systemupdate<HTTP/FTP-URL> 作用：升级系统版本，以满足应用需求 AN(config)#systemupdate01/ArrayOS_Re5.click AN(config)#systemcomponentupdate 给系统打相应patch重新启动设备、系统关机 AN(config)#systemreboot 作用：系统重新启动（此时不自动保存配置） AN(config)#systemshutdown 作用：关闭系统（此时不自动保存配置）更改用户口令和enable口令 AN(config)#passwdenable 作用：更改enable口令,做为runningconfig并立即生效，但不对startup配置有影响 AN(config)#passwduser<user_name> 作用：更改登陆用户口令 AN(config)#passwdenableabcd 作用：将enable的口令更改为abcd AN(config)#passwduserarrayabcd 作用：将用户名array的口令更改为abcdSSLVPN门户（VirtualSite）的建立 基于上一章图1的拓扑结构，我们建立一个virtualsite，IP地址为，Array的SSLVPN门户的地址不能使用设备端口地址。 上图时图形界面方式，此时需要在右上角GlobalMode为config状态下加入新的sslvpn门户，即virtualsite。 其中 sitename：为站点的英文表示，取较易记忆的名字，如：testvpn1 FQDN：fullqualifieddomainname，在IE等浏览器中输入的域名。如果使用域名登陆，此项输入域名，如：；如果使用IP地址登陆，此项需输入IP地址，如：，如果使用NAT，则此项输入NAT之后的公网地址。 IPAddress：指virtualsite的IP地址。 Port：virtualsite的https访问的端口地址，缺省为443。 Type：缺省为Exclusive，指没有子站点，也可以配成share方式，使用别名。命令行方式：用两条命令完成上面图形方式下的操作。AN(config)#virtualsitehost<virtual_site_id><domain_name><vip>[port][(shared|exclusive)] Virtualsiteid:即sitename Domain_name:即FQDN。 Vip:即virtualsiteipaddressAN(config)#sslhostvirtual<SSL_host><virtual_site_id> Ssl_host：采用何FQDN相同的名字。 Virtual_site_id：sitename举例：AN(config)#virtualsitehost“testvpn1”“2”2443exclusiveAN(config)#sslhostvirtual“2”“testvpn1”或者：AN(config)#virtualsitehost“testvpn1”“”2443exclusiveAN(config)#sslhostvirtual“”“testvpn1”我们可以用命令查看virtualsite的建立情况：AN(config)#showvirtualsitehostGlobalMode与VirtualsiteMode 对于spx设备两将，存在两中配置方式： GlobalMode：配置spx的全局设置，如上一章所述的基本配置，加站点配置等。 Virtualsitemode：配置各个站点，每个站点可以进入自己的配置模式而不互相干扰，可以为每个virtualsite分配管理员，global管理员array可以进入每个站点配置。 从globalmode进入virtualsitemode命令为： AN#switch<virtual_site_id>[<mode>] 如：AN#switchtestvpn1 配置virtualsite的ssl部分需要进入virtualsite的config模式。SSL协议部分配置概述 建议您在作此配置之前阅读一些关于PKI、数字证书、CA、SSL协议的相关材料，这样您就非常容易理解这些配置了。 首先需要为virtualsite配置一个数字证书，供客户端进行检验，让客户端检查访问的是否信任的SSlVPN网关。需要在spx上先生成一个CSR(certificatesignrequest)，即数字证书签名申请供CA(认证中心)生成数字证书。 如果您有CA，您可以将CSR提交给他，并由他生成VirtualSite的数字证书，然后将数字证书import到spx内。 如果您没有CA，SPX会为您自动签名一个证书。 对于客户端的数字证书验证是可选的，在一些对客户端有较高安全验证的情况下会使用，这时您需要一个CA来进行客户端数字证书的颁发管理。同时，需要将CA的信任证书链导入的SPX内部作客户端数字证书的签名验证。生成CSR命令行为：AN(config)#switchtestvpn1Testvpn1(config)$sslcsrWewillnowgathersomerequiredinformationaboutyoursslvirtualhost,Thisinformationisencodedintoyourcertificate.Twocharactercountrycodeforyourorganization(eg.US):CNStateorprovince:beijinglocationorlocalcity:bjOrganizationName:arraynetworksOrganizationalUnit:Trainingemailaddressofadministrator:admin@Doyouwanttheprivatekeytobeexportable[Yes/(No)]:No图形界面为：使用如下命令查看csr的生成：Testvpn1(config)$showsslcsrtestvpn1(config)$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ENDCERTIFICATEREQUESTtestvpn1(config)$导入virtualsite数字证书 这时您可以将上面生成的csr提交给CA生成数字证书，如过您没有CA，spx会为您签名一个数字证书，您只需要Testvpn1(config)$sslstart即可使用virtualsite了。 如果您有CA并为您的virtualsite签名了一个数字证书，您可以导入到virtualsite里面了。命令行为：Testvpn1(config)$sslimportcertificateYoumayoverwriteanexistingcertificatefile,type"YES"withoutquotestocontinue:YESEntercertificate,use"..."onasingleline,withoutquotes,toterminateimportBEGINCERTIFICATEMIICnjCANgcANgEUMA0GCSqGSIb3DQEBBAUAMIG5MQswCQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTERMA8GA1UEBxMIU2FuIEpvc2UxHDAaBgNVBAoTE0NsaWNrQXJyYXkgTmV0d29yK4RHM11OClXVjm3xRhqKQnjzNboExIvkZsKIBbfLkBrM1eBnEaiYWXmsYGfxPkwdhKlQCLQgN+G3IKu2cRQLU=ENDCERTIFICATE...注意要以“…”结尾。上面使用的是数字证书的PEM格式，如果您用其他格式，可以使用TFTP方式倒入。Testvpn1(config)$sslimportcertificate<host_name>[tftp_ip]这时您需要在tftp服务器上存在<host_name>.crt这个数字证书文件。图形界面为：通过如下命令可以查看sslcertificate:Testvpn1(config)$showsslcertificate客户端数字证书验证配置 如果您需要认证客户端的数字证书，否则您可以越过本小节。需要将CA的证书输入SP.Testvpn1(config)$sslimportrootcaThiscommandisusedtoimportthecertificateofatrustedCertificateAuthority.Thiswillbeutilizedfortheverificationofclientcertificates.Itmustbepresentwhenclientauthenticationisenabledforavirtualsite.将客户端证书验证功能打开：Testvpn1(config)$sslsettingsclientauthThiscommandallowstheusertoestablishclientauthorizationforthehost.AllSSLclientsconnectingtothespecifiedvirtualsitewillberequiredtopresentaclientcertificatebeforecommunicationwillbeallowedtocontinue.LocalDB用户认证配置 SSLVPN的用户认证是sslvpn的比较复杂配置部分，我们会在下一章详细叙述各种认证方法，我们在本节主要叙述系统的缺省认证方法LocalDB，以使我们的sslvpn门户virtualsite的基本配置工作是否配置成功。testvpn1(config)$shrunaaa#aaaconfigurationaaaonaaaradiusaccountingoffaaamethodlocaldb1 但要让localdb成功工作，您还需要建立一个用户数据库，并为这个数据库分配一个关联的virtualsite，之后您可以加入新的用户或者组。建立一个新的用户数据库,使用globalmode：AN(config)#localdbdatabase<virtual_databasename>如：AN(config)#localdbdatabasetestvpn1_db将这个数据库与virtualsitetestvpn1相关联：AN(config)#localdbassociate<virtual_site_id><virtual_databasename>AN(config)#localdbassociatetestvpn1testvpn1_db加入新的用户登陆帐号testvpn1(config)$localdbaccountusernamepasswordtestvpn1(config)$localdbaccountuser1pass1 其中UID和GID是使用NFS时用到的选项，internalipaddress和internalipmask是指作L3vpn时静态地址分配时，这个用户使用的L3vpn地址。这是您可以通过，使用user1/pass1来登陆验证sslvpn门户的建立情况。VirtualSite各个应用模块的配置 Sslvpn不同于Ipsecvpn、Mplsvpn等不同的地方之一便是对于用户内部应用实现方式可以是多种方式，在不同的层次上实现。我们以其中主要的几个模块为例来介绍其配置过程。各个模块的详细功能介绍请见sslvpn产品介绍文档。 WRM模块是访问用户内部WEB服务器的一种方法，我们成为L7访问模式。这里主要介绍Portal的客户化配置。 如果您不想用ArraySpx提供的缺省Portal界面，可以采用您内部WEB服务器作的精美的Portal界面，即usecustompage选项。不过要使用sslvpn提供的各个应用模块，注意需要将相应的link指向SPX。命令行为testvpn1(config)$portalcustom<url>如：testvpn1(config)$portalcustom3/webpage.html如果您使用SPX提供的缺省Portal界面，您不需要配置portalcustomer选项，这是您可以配置一些欢迎信息，即standardportalpagesettings:testvpn1(config)$portalmessagewelcome<message>Administratorsemploythiscommandtocreateacustom“welcome”messagefortheportalpage.testvpn1(config)$portaltitle<title>Thiscommandcreatesatitlethatwillbeplacedontheportalpage.如：testvpn1(config)$portaltitle"WelcomeToVsTepco"testvpn1(config)$portalmessagewelcome"welcometoarraynetworks"建立快速连接，您可以在portal上列上几个快速连接的站点，只需要鼠标点击相应link即可访问：命令行为：testvpn1(config)$portallink<url><link_text>[<link_position>]如：testvpn1(config)$portallink"/""web2"1您可以将Array的logo换成您自己的logo图片命令为：portallogo<url>testvpn1(config)$portallogo3/images/h_anlogo.gif您可以将Portal配置成中文界面testvpn1(config)$portallanguage"chinese-GB2312" 通过这个模块，您可以通过sslvpn的门户安全访问内部的文件共享服务器。我们window文件服务器为例。为了安全，可以选择不显示导航工具栏。注意：为了保证文件共享功能的正常，请保证SPX与文件服务器之间的通讯。如果是微软的WINDOWS文件服务器，请保证SPX可以访问其TCP445（MicrosoftDS）端口。命令行为：testvpn1(config)$filesharecifs{on|off}testvpn1(config)$filesharecifslink<link_text><service><workgroup>]如：testvpn1(config)$filesharecifsontestvpn1(config)$filesharenavbartestvpn1(config)$filesharecifslink"soft1""///soft"testvpn1(config)$filesharecifslink"soft2""//3/sp_train" ClientApp是实现用户内部TCPC/S结构应用的一种方法，其核心思想是TCPForwardingProxy机制，我们成为L4方式。这里又分为JavaApplet方式和WindowsRedirect方式两种。JavaApplet方式 这种方式客户端需要从SPX上下载一个javaapplet，他工作在客户端起到一个TCPforwardingproxy作用，监听特定的域名和特定TCP端口范围的应用访问，转换到SSLVPN访问。 例如，用户内部有邮件服务器，Smtp服务，TCP25端口，域名：，服务器IP：3。clientapponclientappautohostmap会在客户端自动修改hosts文件，改变域名映射关系。clientapphost<local_host>[<local_ip>]Local_host：指映射的域名，如，客户端访问的域名，客户端的hosts文件会修改映射关系，将指向本机Local_ip。Local_IP：指映射的本机IP，可以是127.0.0.X，如。clientappservice<local_host><local_port><description><server_ip>[server_port][server_port_last]local_host：指映射的域名，如，同上。Local_port：TCP服务器监听的TCP端口，本例指25端口。Description：简单的服务描述，会显示在客户端。Server_ip：邮件服务器的IP地址。Server_port：运行在客户端的javaapplet监听的端口，可以和服务器的相同，也可以不同。若不同于服务器端的，需要改变客户端应用所指的服务端口。举例：testvpn1(config)$clientappontestvpn1(config)$clientappautohostmaptestvpn1(config)$clientapphost""testvpn1(config)$clientappservice""25"smtpservices"3图形界面：WindowsRedirect方式 这种方式只能运行在Windows的客户端，并且是使用IE浏览器的系统里，需要客户端支持Java和ActiveX。具体又分为两种模式，基于目标IP方式，基于客户端应用程序名字方式。1.基于目标IP地址方式： 当使用sslvpn的客户端访问特定的IP地址和特定TCP端口范围时，客户端下载的插件会将应用direct到sslvpn里面。这里有个限制，客户端的访问是基于IP地址的。 我们还是以访问内部应用服务器为例，服务器地址为：3，端口范围为25－8888。这里包括smtp服务，pop3服务等很多端口。命令为：clientappwinredir{on|off}clientappwinredirip<description><localip>[server_port][server_port_last] Localip：内部服务器的IP地址，这里指3 Server_port：监听的其实TCP端口 Server_port_last：监听的末TCP端口举例：testvpn1(config)$clientappwinredirontestvpn1(config)$clientappwinredirip"test4"42588882.基于客户端应用程序方式： 当使用sslvpn的客户端运行特定的应用程序时，客户端下载的插件会将应用direct到sslvpn里面。也同样必须是windows，使用IE浏览器的客户端系统。 我们还是以客户端使用secureCRT.exe客户端应用程序为例。clientappwinredir{on|off}clientappwinredirexe<exe_name>[md5_hash] exe_name：客户端应用程序的名字，这里指secureCRT.exe md5_hash：经常用0将所有这些可以执行程序direct到sslvpn。举例：testvpn1(config)$clientappwinredirontestvpn1(config)$clientappwinredirexe“crtexeservice""SecureCRT.exe""0"图形界面： 这个模块会在sslvpn客户端生成一个虚拟网卡，在客户端与spx之间形成一个隧道，这要求客户端具有Administrator权限并且支持ActiveX插件。目前可以在Windows、Linux操作系统上运行。当使用隧道VPN时，客户端就好像已经连接到企业内网，所以建议使用L3vpn时通过ACL控制列表加以权限控制。 大致的配置过程为，使能L3VPN功能，建立L3vpn地址池，同时确定使用splittunnel还是Fulltunnel模式。Splittunnel模式可以让客户端只有访问企业内网（特定地址范围）才走l3vpn，而fulltunnel将所有的流都导入l3vpn。在相应地址池内建立客户端IP地址分配规则，如果采用split模式，还要确定授权l3vpn访问的地址段。命令行为：vpn{on|off}vpnautolaunchvpnnetpoolname<netpool_name>{split|nosplit} 建立一个地址池并确定采用splittunnel还是fulltunnel。vpnnetpooldefault<netpool_name> 确定使用哪个地址池时缺省地址池，此项一定要选。vpnnetpooliprangedynamic<netpool_name><first_ip><last_ip> 确定地址池的IP地址范围vpnnetpoolzonenetpool_nameIP_addressNetmask 使用splittunnel时授权l3vpn访问的地址范围举例说明：建立名为gzpool的地址池，采用splittunnel模式，使用动态地址分配方式，地址持为到6,当访问/16网段时走l3vpn。testvpn1(config)$vpnontestvpn1(config)$vpnnetpoolname"gzpool""split"testvpn1(config)$vpnnetpooldefault"gzpool"testvpn1(config)$vpnnetpooliprangedynamic"gzpool"6testvpn1(config)$vpnnetpoolzone"gzpool"图形界面：sslvpn门户VirtalSite认证配置 ArraySSLVPN设备VirtualSite的接入支持多种认证方法，包括LocalDB，LDAP、AD、Radius、SecurID等多种方式。门户认证也可以关掉，这是用户登陆就不需要认证了，当然，也丧失了很大的安全性。每个virtualsite最多可以配置四种认证方法，用户登陆时，按照顺序查找认证服务，当第一种认证方法失败会使用第二种认证方法，直到成功或完全失败为止。对于AD、LDAP、Radius认证，每种方法最多可以配置3个认证服务器。由于上一章已经介绍了localdb的配置方法，如果您只使用localdb，您可以越过本章。本章我们主要介绍其他几种认证方式的配置。如下图：命令行：aaamethod<authenticationmethod>rank[authorizationmethod] authenticationmethod：指采用的认证方法 rank：是virtualsite的第几种认证方法 authorizationmethod：定义了使用这种认证方法时采用的授权方法，下章祥述。举例：testvpn1(config)$aaamethodlocaldb1 第一种认证方法采用Localdb，授权使用localdb授权。testvpn1(config)$aaamethodldap2ldap 第二种认证方法采用ldap服务器，授权也使用ldap服务器。 Radius认证是业界普遍采用的认证协议，virtualsite采用Radius作认证服务器，需要配置相应参数及端口，当然在SPX与Radius服务器中间的通信要保持畅通，如果有防火墙需要打开相应端口。在配置radius认证前，先要和用户的管理员询问一些Radius服务器的情况，包括：Radius服务认证端口，一般采用UDP1812或者是UDP1645，当然用户也可能使用别的端口。另外还要询问服务器使用的通信密钥。命令行：aaamethodradius<rank>[authorizationmethod]aaaradiushost<ip><port><secret><timeout><retries> ip：指radius服务器的ip地址 Port：radius服务所使用的端口 Secret：spx与radius服务器之间使用的通信密钥 Timeout：超时设定 Retries：重试次数举例：testvpn1(config)$Aaamethodradius2testvpn1(config)$aaaradiushost61812"radius_secret"203图形界面： Ldap是一种轻型目录访问协议，具有结构清晰，查找速度较快的特点。Virtualsite采用ldap作认证，同样需要配置一些参数。所以在作此项配置之前，先和用户的ldap管理员作一下沟通，获得一些参数信息，并用ldapbrowser等客户端工具验证一下，把他的ldap结构清晰化。Ldap服务一般采用TCP389端口，基于ssl的协议一般采用636端口。命令行方式：Aaamethodldap<rank>[authorizationmethod]aaaldaphost<ip><port><user_name><password><”base”><timeout>[tls] ip：ldap服务器IP地址。 Port：ldap服务端口 User_name：有相应ldapsearch权限的用户名 Password：查找时上面用户的口令 Base：从哪一级目录进行查找aaaldapsearchfilter<filter> Ldap查找的search规则，如：某属性＝<user>，其中<user>代表用户在登陆sslvpnvirtualsite输入的字符串，是参数传递。接下来配置绑定规则，可以选择动态绑定，也可以选择静态绑定，bind是指用户DN的构成规则。动态绑定：aaaldapbinddynamic LDAP查找时根据completeDistinguishedName，Base信息与searchfilter在上面命令种定义静态绑定：aaaldapbindstatic<dn_prefix><dn_suffix>dn_prefix：前缀dn_suffix：后缀<dn_prefix><user><dn_suffix>一起构成了用户DN举例testvpn1(config)$aaamethodldap4testvpn1(config)$aaaldaphost6389"cn=manager,dc=arraytsd,dc=com""secret""dc=arraytsd,dc=com"20testvpn1(config)$aaaldapsearchfilter"cn=<user>"testvpn1(config)$aaaldapbinddynamic图形界面： 采用ActiveDirectory作认证服务器，需要配置相应参数及TCP端口，当然在SPX与AD服务器中间的通信要保持畅通，如果有防火墙需要打开相应端口。AD的底层也是一个LDAP，所以也同样可以通过LDAP的配置方法配置他。1．按AD方式配置命令行：aaamethodad<rank>[authorizationmethod]aaaadhost<ip><port><mail_domain_name>testvpn1(config)$aaamethodad2testvpn1(config)$aaaadhost389“@”2．按LDAP服务来配置testvpn1(config)$aaaontestvpn1(config)$aaamethodldap1ldaptestvpn1(config)$aaaldaphost389"wuyp""wuyppassword""dc=arraydemo,dc=com"30testvpn1(config)$aaaldapauthorizehost389"wuyp""wuyppassword""dc=arraydemo,dc=com"30testvpn1(config)$aaaldapbindstatic"""@"testvpn1(config)$aaaldapsearchfilter"sAMAccountName=<USER>" Virtualsite用securID认证，重要的配置工作在SecurID服务器上，详见SPX手册，在SecurID服务器上生成一个文件，将这个文件导入spx即可，另外，SecurID认证一定要选择rank1，并且是全局生效。 AceServer和SPX的主机名与IP地址的对应关系一定要在两台设备上都能够正确的互访到。使用SPX的默认路由所指向的interface，作为ACEServer所指定的primaryinterface.，如果其他端口也配置了IP地址，需要将其IP地址作为secondaryinterface，这样采用能够在SPX和aceserver上正确加密数据流。命令：aaasecuridimport<url>例子：AN(config)#aaasecuridimport3/ace/sdconf.rectestvpn1(config)$aaamethodsecured[authorizationmethod] 一般SecurID服务器也同样支持radius协议，如果那您把他看作radius服务器，也可以按照Radius服务认证的方法配置他，详见前面章节。sslvpn门户VirtalSite授权配置 授权是sslvpn的一个主要的安全功能，Array的授权机制是设置用户或组享有的特定权限，授权是和认证方法高度相关的，不同的认证采用不同的授权方法。如用ldap认证，可以通过ldap服务器授权，也可以通过LocalDB或者是radius服务器授权。 Localdb：即可认证，同时可授权。 Radius：即可认证，同时可授权，需扩展dictionary。 LDAP： 即可认证，同时可授权,需扩展schema。 AD : 可以认证，授权采用groupmap，或localdb来进行。 SecurID： 只能认证。 Arrayspx授权权限分为几类： ACL：定义了用户或组享有的权限列表。 SourceNet：定义了登陆的原地址范围。 Netpool：定义了l3vp所使用的地址池。 Uid,Gid：定义了用户使用NFS功能时用到的UID和GID信息 其中最主要的授权规则时ACL，ACL分为两大类，一类规定了WRM、FileSharing的控制规则，另一类定义了ClientAPP和L3vpn的控制规则。一个用户登陆sslvpn时他的权限可以通过ACL作仔细的授权。 Arrayspx缺省是没有ACL配置的，这时所有的资源对所有的用户开放，一旦对某个用户或组配置了一个ACL，则对他需要访问的内容权限一定要显示的配置成PERMIT，否则不允许访问。对WRM、FileSharing生效的ACL<priority><scheme>:<host><path>[AND<virtual>](PERMIT|DENY) Priority：优先级 Scheme:是针对http还是filesharing Host：目标服务器，支持通配符“*”。 Path：路径ANDvirtual：在globalmode配置时只施加在那个virtuailsite，在virtualsiteconfig模式时，不需要此参数 举例：0http:/exchangeANDintraDENY1http:*ANDintraPERMIT2file:/demoANDintraDENY3file:*ANDintraPERMIT我们会在LocalDB授权时给出具体针对不同用户的配置方法。2．针对ClientAPP、L3vpn的ACL<priority>ip<protocol>:<host_ip>[/<netmask>][:port][AND<virtual_site_id>]{PERMIT|DENY} Priority–优先级 Protocol–针对那种IP协议，可以时tcp、udp或protocolnumber，*代表所有协议。 Host_ip：目标服务器 Netmask：掩码 Port：端口号 ANDvirtual：在globalmode配置时只施加在那个virtuailsite，在virtualsiteconfig模式时，不需要此参数举例0ip*:/ANDpartnerPERMIT1ip*:/0ANDpartnerDENY同样，我们会在LocalDB授权时给出具体针对不同用户的配置方法。用localdb授权比较简单，只需对相应用户或组配置相应ACL即可。Global模式：localdbaclaccount<virtual_database_name><account_name><ACL>localdbaclgroup<virtual_database_name><group_name><ACL>virtualsite模式localdbaclaccount<account_name><ACL>localdbaclgroup<group_name><ACL>举例：testvpn1(config)$aaaontestvpn1(config)$aaamethodlocaldb1testvpn1(config)$localdbaccount"test"“pass“testvpn1(config)$localdbaclaccount"test""0http:/exchangeANDtestvpn1DENY"testvpn1(config)$localdbaclaccount"test""1http:*ANDtestvpn1PERMIT"testvpn1(config)$localdbaclaccount"test""0file:/demoANDtestvpn1DENY"testvpn1(config)$localdbaclaccount"test""1file:*ANDtestvpn1PERMIT"testvpn1(config)$localdbaclaccount"test""2ip*:/ANDtestvpn1PERMIT"testvpn1(config)$localdbaclaccount"test""3ip*:/0ANDtestvpn1DENY“关于组的策略还有localdbnetpoolgroup<group_name><pool_id> 地址池分配localdbsourcenetgroup<groupname><ip><netmask> 登陆原地址限制 很多种认证方法都可以通过Localdb授权，不过这时一般需要用户名一一对应。如采用ldap认证，localdb授权，要求ldap服务器上的帐号和localdb上的帐号对应，如果localdb上没有这个帐号，需要用defaultgroup作在localdb上没有的帐号的授权。命令举例：testvpn1(config)$aaaontestvp