2022-09-20 网工进阶（三十二） 基于安全套接层的虚拟专用网络技术-概述、业务支持（网络扩展、端口转发、Web代理）、AAA的基本使用

概述

SSL VPN（Secure Sockets Layer VPN）是以HTTPS为基础的安全接入的VPN技术，它利用SSL协议提供的数据加密、身份验证和消息完整性验证机制，为远程用户访问企业内部网络提供安全保障。 

设备作为SSL VPN网关，可以划分为多个虚拟网关，设备以虚拟网关为单位进行远程用户管理和业务配置。

部署SSL VPN功能时，需要先创建虚拟网关，然后在虚拟网关视图下配置SSL VPN虚拟网关基本功能、配置SSL VPN业务、管理SSL VPN远程用户和配置个性化定制页面元素。

相关命令

基本配置命令

配置SSL VPN的侦听端口号（缺省值443）

[R1]sslvpn server port ?
  INTEGER<443,1025-51200>  Port number must be equal 443 or greater than 1025   
                           and less than 51200

查看SSL VPN的侦听端口号

<R1>display  sslvpn server port

创建一个虚拟网关并进入虚拟网关视图，或者进入一个已创建的虚拟网关视图

[R1]sslvpn gateway ceshi1

配置虚拟网关对应的内网接口

[R1-sslvpn-ceshi1]intranet interface GigabitEthernet 0/0/0

配置虚拟网关绑定AAA域

[R1-sslvpn-ceshi1]bind domain ?
  STRING<1-64>  AAA domain name

开启虚拟网关的基本功能（配置后SSL VPN才能生效）

[R1-sslvpn-ceshi1]enable

用户相关命令

查看指定虚拟网关下远程接入用户的信息

<R1>display sslvpn gateway ceshi1 access-user 

配置虚拟网关支持的远程用户最大在线数目

[R1-sslvpn-ceshi1]max-user ?
  INTEGER<0-100>  Number

配置虚拟网关支持的远程用户最大在线时间（缺省值120分钟）

[R1-sslvpn-ceshi1]max-online-time ?
  INTEGER<5-480>  Max online time(Unit:minute)

配置将虚拟网关下的远程用户强制下线

[R1-sslvpn-ceshi1]cut user name xxx

查看远程用户数历史统计信息

<R1>display sslvpn user statistics

清除远程用户数历史统计信息

[R1]reset sslvpn user statistics

Web页面相关命令

配置虚拟网关Web页面的企业名称

[R1-sslvpn-ceshi1]organization ?
  TEXT<"...">  Organization name<1-200>

配置虚拟网关Web访问页面的欢迎语

[R1-sslvpn-ceshi1]login-message ?
  TEXT<"...">  Welcoming words<1-128>

配置虚拟网关Web访问页面的底部帮助信息

[R1-sslvpn-ceshi1]login-help ?
  TEXT<"...">  Help information<1-200>

配置虚拟网关Web页面的企业Logo

[R1-sslvpn-ceshi1]logo flash:/xxx.gif

配置虚拟网关Web登录页面的登录框背景图片（缺省情况为浅灰色图片）

[R1-sslvpn-ceshi1]login-photo flash:/xxx.gif

配置虚拟网关Web访问页面的表格头部颜色（缺省值#CDCDCD）

[R1-sslvpn-ceshi1]table-color #00eeff

配置虚拟网关Web访问页面的文字颜色（缺省值#333333）

[R1-sslvpn-ceshi1]text-color #00eeff

配置虚拟网关Web访问页面的横幅颜色（缺省值#EEEEEE）

[R1-sslvpn-ceshi1]banner-color #000011

配置虚拟网关Web访问页面的背景颜色（缺省值#F6F6F6）

[R1-sslvpn-ceshi1]background-color #EE0000

业务支持

设备作为SSL VPN网关支持三种业务类型：Web代理、端口转发和网络扩展。用户使用SSL VPN网关的具体业务访问企业内网各种资源。

相关命令

创建虚拟网关的业务并进入相应的业务视图，或者直接进入一个已创建的虚拟网关业务视图

[R1-sslvpn-ceshi1]service-type ?
  ip-forwarding    Ip-forwarding       //网络扩展
  port-forwarding  Port-forwarding     //端口转发
  web-proxy        Web-proxy           //Web代理

查看虚拟网关的资源信息

<R1>display sslvpn gateway ceshi1 resource class ?
  ip-forwarding    Ip-forwarding
  port-forwarding  Port-forwarding
  web-proxy        Web-proxy

配置虚拟网关业务的描述信息

[R1-sslvpn-ceshi1-pf-res-test]description ?
  TEXT<"...">  Port-forwarding resource description<1-80>

网络扩展（ip-forwarding）

SSL VPN网关通过网络扩展业务，可以使远程终端与内网服务器在网络层实现安全通信，比如在远程终端与内网服务器之间实现文件共享。 

远程用户启动网络扩展业务时，远程终端会自动从Web访问页面下载Java插件，该Java插件会在主机上安装一个虚拟网卡。Java插件负责与SSL VPN网关建立SSL连接，为虚拟网卡申请内网IP地址，并设置以虚拟网卡为出接口的路由。

相关命令

配置网络扩展业务绑定的IP地址池

[R1-sslvpn-ceshi1-if-res-test]bind ip-pool ?
  STRING<1-64>  Ip-forwarding pool name

配置网络扩展业务使用的ACL

[R1-sslvpn-ceshi1-if-res-test]bind acl 3000

网络扩展模式

网络扩展有全路由和隧道分离两种路由模式。

相关命令

配置网络扩展业务使用的路由模式（缺省模式为全路由模式）

[R1-sslvpn-ceshi1-if-res-test]route-mode ?
  full   Full route mode
  split  Tunnel split mode

全路由模式

在远程终端的路由表里添加一条缺省路由，下一跳为虚拟网卡的IP地址（SSL VPN网关为虚拟网卡分配的企业内网IP地址）。远程用户通过SSL VPN网关可以访问网络扩展业务中开放的网段。

隧道分离模式

将配置的隧道分离模式下的远程用户路由添加到远程终端的路由表里，远程用户通过SSL VPN网关只能访问指定的内网资源，能更细致地控制远程用户的访问范围。

相关命令

配置隧道分离模式下的远程用户路由（在同一个网络扩展业务视图下，最多能配置10条隧道分离模式下的远程用户路由）

[R1-sslvpn-ceshi1-if-res-test]route-split ip address 1.1.1.0 mask 24

端口转发（port-forwarding）

通过端口转发业务，远程用户可以访问企业内网中基于TCP的服务，包括远程访问服务（如Telnet）、桌面共享服务、邮件服务等。在设备上配置端口转发业务时，需要指定企业内网应用服务器的地址/域名和端口号，以指定远程用户可以访问的企业内网应用服务器。 

相关命令

配置端口转发业务可用的域名和端口号

[R1-sslvpn-ceshi1-pf-res-test]server name www.baidu.com port 23

配置端口转发业务可用的IP地址和端口号

[R1-sslvpn-ceshi1-pf-res-test]server ip-address 1.1.1.1 port 23

Web代理（web-proxy）

远程用户使用浏览器以HTTPS方式，通过SSL VPN网关对企业内网Web服务器提供的资源进行访问。SSL VPN网关利用Web代理业务，代理远程用户对企业内网Web服务器的访问，为远程用户访问企业内网Web服务器提供了安全的连接。 

配置Web代理业务时，需要指定内网Web服务器URL地址，以便指定可以访问的内网Web服务器。

实现方式

URL改写（较为常用的方式）

SSL VPN网关显示给远程用户的内部网站资源链接是经过SSL VPN网关改写后的URL。远程用户点击该网站资源链接后，SSL VPN网关将远程用户访问的URL修改为指向SSL VPN网关的URL。SSL VPN网关需要对Web服务器响应远程用户的每个页面中的URL进行改写，其它内容不变。 

Web-tunnel（通过端口转发原理实现）

远程终端需要安装Java插件，SSL VPN网关显示给远程用户的内部网站资源链接是内网真实的URL。远程用户点击该网站资源链接后，Java插件会自动为该报文增加一个目的地址是SSL VPN网关的外层隧道，并通过HTTPS协议发送给SSL VPN网关，SSL VPN网关还原成原始的HTTP请求并将HTTP请求发送给内部Web服务器。 

PS：
一个Web代理业务只能配置一个URL地址，如果存在多个内网Web服务器，则可配置多个Web代理业务。
如果在同一个Web代理业务视图下重复执行link命令时，则新配置将覆盖老配置。

相关命令

配置内网Web服务器的URL地址

[R1-sslvpn-ceshi1-wp-res-test]link http://10.1.0.1/ ?
  web-tunnel  Web tunnel
  <cr>        Please press ENTER to execute command 

AAA的基本使用

AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称，是网络安全中进行访问控制的一种安全管理机制，提供认证、授权和计费三种安全服务。

认证(Authentication)

对用户的身份进行验证，判断其是否为合法用户。

首先，认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么对用户认证通过。如果不符合，则拒绝提供网络连接。

授权(Authorization)

对通过认证的用户，授权其可以使用哪些服务。

其次，用户要通过授权来获得操作相应任务的权限。比如，登录系统后，用户可能会执行一些命令来进行操作。这时，授权过程会检测用户是否拥有执行这些命令的权限。简单而言，授权过程是一系列强迫策略的组合，包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中，一旦用户通过了认证，他们也就被授予了相应的权限。

计费(Accounting)

记录用户使用网络服务的资源情况，这些信息将作为计费的依据。

最后，计费这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志、用户信息、授权控制、账单、趋势分析、资源利用以及容量计划活动来执行计费过程。

相关命令

进入AAA视图

[R1]aaa

创建认证方案，并进入认证方案视图

[R1-aaa]authentication-scheme test

配置当前认证方案使用的认证模式

[R1-aaa-authen-test]authentication-mode ?
  hwtacacs  HWTACACS 
  local     Local 
  none      None 
  radius    RADIUS 

参数	参数说明
hwtacacs	指定认证模式为HWTACACS认证。如果需要使用HWTACACS方式进行认证，则必须配置HWTACACS服务器模板中的认证服务器。
local	指定认证模式为本地认证。
radius	指定认证模式为RADIUS认证。如果需要使用RADIUS方式进行认证，则必须配置RADIUS服务器模板中的认证服务器。
haca	指定认证模式为HACA认证。
none	指定认证模式为不进行认证，即直接让用户通过认证。

创建用户组或直接进入用户组视图

[R1]user-group ?
  STRING<1-64>   User group name

创建本地用户，并配置本地用户的各项参数

[R1-aaa]local-user UserName ?
  access-limit   Set access limit of user(s)
  ftp-directory  Set user(s) FTP directory permitted
  idle-timeout   Set the timeout period for terminal user(s)
  password       Set password 
  privilege      Set admin user(s) level
  service-type   Service types for authorized user(s)
  state          Activate/Block the user(s)
  user-group     User group

access-limit：设置最大连接数
ftp-directory：设置可访问的FTP目录
idle-timeout：设置闲置超时时间
password：设置密码
privilege：设置管理员等级
service-type：设置允许访问的服务
state：设置用户状态（激活/堵塞）
user-group：设置加入用户组

配置本地帐号锁定功能并配置用户的重试时间间隔、连续输入错误密码的限制次数及帐号锁定时间（缺省情况下重试时间间隔为5分钟、连续输入错误密码的限制次数为3次，帐号锁定时间为5分钟）

[R1-aaa]local wrong-password retry-interval 10 retry-time 15 block-time 5 

AAA域

设备对用户的管理可以通过域来实现，域是用户管理的最小单位，通常可以是某个ISP的名字或ISP的某种业务名字，域下可以实现缺省授权属性配置、RADIUS模板配置、认证和计费方案的配置等。

域在创建时处于激活状态。在创建域时，如果同名的域已经存在，将直接进入该域视图。

当属于该域的用户在线时，不能使用undo domain命令删除该域。

所有用户的认证、授权、计费都是在域视图下引用认证方案、授权方案、计费方案来实现的，因此在配置域之前，需要先在AAA视图下分别配置相应的认证方案、授权方案、计费方案。

“default”域为全局默认普通域，用于接入用户，如NAC。缺省情况下处于激活状态，默认绑定认证方案“radius”和计费方案“default”，未绑定授权方案。

“default_admin”域为全局默认管理域，用于Login用户，即管理员用户，如HTTPS、SSH、Telnet、WEB网管等。缺省情况下处于激活状态，默认绑定认证方案“default”和计费方案“default”，未绑定授权方案。

在设备最多可以配置256个域，包括default域和default_admin域。
 

相关命令

创建域，并进入域视图

[R1-aaa]domain test

绑定认证方案

[R1-aaa-domain-test]authentication-scheme test

绑定用户组

[R1-aaa-domain-test]user-group test