一、实验目的
实验目的:在防火墙FW1上进行命令行和图形化界面配置,实现远端用户通过SSLVPN访问服务端,本实验主要实现通过SSLVPN网络扩展模式下远端用户访问服务器
二、基本配置
(一)如图所示配置接口地址
(二)将防火墙g1/0/0加入untrust区域,g1/0/1加入trust区域
(三)cloud1连接虚拟机,cloud2连接网页配置端
修改网管页面超时时间
[FW1]web-manager timeout 1440
三、详细配置
(一)新建SSLVPN网关
[FW1]v-gateway SSL_GW interface g1/0/0 private
(二)配置SSLVPN网络扩展模式,选择路由模式为手动路由模式
(三)在默认用于域中采用SSL VPN接入场景新建用户组OA和用户user(密码为Huawei@123)
(四)在SSL VPN配置角色授权用户中新建角色授权列表,新建角色role并关联新创建的默认域中OA用户组并使用网络扩展业务场景
#****BEGIN***ssl_gw**1****#
v-gateway ssl_gw
basic
ssl version tlsv11 tlsv12
ssl timeout 5
ssl lifecycle 1440
ssl ciphersuit custom aes256-sha non-des-cbc3-sha aes128-sha
service
network-extension enable
network-extension keep-alive enable
network-extension keep-alive interval 120
network-extension netpool 192.168.0.1 192.168.0.10 255.255.255.0
netpool 192.168.0.1 default
network-extension mode manual
network-extension manual-route 10.1.12.0 255.255.255.0
security
policy-default-action permit vt-src-ip
certification cert-anonymous cert-field user-filter subject cn group-filter su
bject cn
certification cert-anonymous filter-policy permit-all
certification cert-challenge cert-field user-filter subject cn
certification user-cert-filter key-usage any
undo public-user enable
hostchecker
cachecleaner
vpndb
group /default/oa
group /default
role
role default
role default condition all
#****END****#
(五)配置安全策略
[FW1-policy-security]dis th
#
security-policy
rule name LOCAL_TO_ANY
source-zone local
action permit
rule name OUT_TO_LOCAL
source-zone untrust
destination-zone local
service protocol tcp destination-port 443
action permit
rule name OUT_TO_IN
source-zone untrust
destination-zone trust
source-address 192.168.0.0 mask 255.255.255.0
destination-address 10.1.12.0 mask 255.255.255.0
action permit
#
(六)手动路由模式
(七)分离路由模式
(八)全路由模式
四、结果验证
通过虚拟机登录防火墙,自动弹出证书并安装出现如下界面,输入创建的用户名及密码
登录结果如下图所示,启动网络扩展安全相应软件
(一)手动路由模式
1、内网可以ping通
PS C:\Users\Administrator> ping 10.1.12.10
正在 Ping 10.1.12.10 具有 32 字节的数据:
请求超时。
来自 10.1.12.10 的回复: 字节=32 时间=15ms TTL=254
来自 10.1.12.10 的回复: 字节=32 时间=8ms TTL=254
2、互联网可以ping通
PS C:\Users\Administrator> ping 150.1.1.1
正在 Ping 150.1.1.1 具有 32 字节的数据:
来自 150.1.1.1 的回复: 字节=32 时间=11ms TTL=255
来自 150.1.1.1 的回复: 字节=32 时间=5ms TTL=255
3、查看虚拟机路由表
PS C:\Users\Administrator> route print
===========================================================================
接口列表
20...00 ff 65 08 54 4e ......SVN Adapter V1.0
4...00 0c 29 d2 15 1d ......Intel(R) 82574L Gigabit Network Connection
1...........................Software Loopback Interface 1
7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 路由表
===========================================================================
活动路由:
网络目标 网络掩码 网关 接口 跃点数
0.0.0.0 0.0.0.0 155.1.2.100 155.1.2.10 281
10.1.12.0 255.255.255.0 在链路上 192.168.0.1 1
10.1.12.255 255.255.255.255 在链路上 192.168.0.1 257
127.0.0.0 255.0.0.0 在链路上 127.0.0.1 331
127.0.0.1 255.255.255.255 在链路上 127.0.0.1 331
127.255.255.255 255.255.255.255 在链路上 127.0.0.1 331
155.1.2.0 255.255.255.0 在链路上 155.1.2.10 281
155.1.2.10 255.255.255.255 在链路上 155.1.2.10 281
155.1.2.255 255.255.255.255 在链路上 155.1.2.10 281
155.1.121.12 255.255.255.255 155.1.2.100 155.1.2.10 257
192.168.0.1 255.255.255.255 在链路上 192.168.0.1 257
224.0.0.0 240.0.0.0 在链路上 127.0.0.1 331
224.0.0.0 240.0.0.0 在链路上 155.1.2.10 281
224.0.0.0 240.0.0.0 在链路上 192.168.0.1 257
255.255.255.255 255.255.255.255 在链路上 127.0.0.1 331
255.255.255.255 255.255.255.255 在链路上 155.1.2.10 281
255.255.255.255 255.255.255.255 在链路上 192.168.0.1 257
===========================================================================
永久路由:
网络地址 网络掩码 网关地址 跃点数
0.0.0.0 0.0.0.0 155.1.2.100 默认
===========================================================================
(二)分离路由模式
PS C:\Users\Administrator> ping 10.1.12.10
正在 Ping 10.1.12.10 具有 32 字节的数据:
来自 10.1.12.10 的回复: 字节=32 时间=9ms TTL=254
来自 10.1.12.10 的回复: 字节=32 时间=6ms TTL=254
PS C:\Users\Administrator> ping 150.1.1.1
正在 Ping 150.1.1.1 具有 32 字节的数据:
请求超时。
请求超时。
PS C:\Users\Administrator> route print
===========================================================================
接口列表
20...00 ff 65 08 54 4e ......SVN Adapter V1.0
4...00 0c 29 d2 15 1d ......Intel(R) 82574L Gigabit Network Connection
1...........................Software Loopback Interface 1
7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 路由表
===========================================================================
活动路由:
网络目标 网络掩码 网关 接口 跃点数
0.0.0.0 0.0.0.0 在链路上 192.168.0.2
127.0.0.0 255.0.0.0 在链路上 127.0.0.1 33
127.0.0.1 255.255.255.255 在链路上 127.0.0.1 33
127.255.255.255 255.255.255.255 在链路上 127.0.0.1 33
155.1.2.0 255.255.255.0 在链路上 155.1.2.10 28
155.1.2.10 255.255.255.255 在链路上 155.1.2.10 28
155.1.2.255 255.255.255.255 在链路上 155.1.2.10 28
155.1.121.12 255.255.255.255 155.1.2.100 155.1.2.10 257
192.168.0.0 255.255.255.0 在链路上 192.168.0.2 25
192.168.0.2 255.255.255.255 在链路上 192.168.0.2 25
192.168.0.255 255.255.255.255 在链路上 192.168.0.2 25
224.0.0.0 240.0.0.0 在链路上 127.0.0.1 33
224.0.0.0 240.0.0.0 在链路上 155.1.2.10 28
224.0.0.0 240.0.0.0 在链路上 192.168.0.2 25
255.255.255.255 255.255.255.255 在链路上 127.0.0.1 33
255.255.255.255 255.255.255.255 在链路上 155.1.2.10 28
255.255.255.255 255.255.255.255 在链路上 192.168.0.2 25
===========================================================================
永久路由:
网络地址 网络掩码 网关地址 跃点数
0.0.0.0 0.0.0.0 155.1.2.100 默认
===========================================================================
(三)全路由模式
虚拟网内网可以ping通
PS C:\Users\Administrator> ping 10.1.12.10
正在 Ping 10.1.12.10 具有 32 字节的数据:
来自 10.1.12.10 的回复: 字节=32 时间=7ms TTL=254
来自 10.1.12.10 的回复: 字节=32 时间=11ms TTL=254
互联网无法ping通
PS C:\Users\Administrator> ping 150.1.1.1
正在 Ping 150.1.1.1 具有 32 字节的数据:
请求超时。
请求超时。
治理内网无法ping通
PS C:\Users\Administrator> ping 155.1.2.100
正在 Ping 155.1.2.100 具有 32 字节的数据:
请求超时。
请求超时。
5869
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
