天融信VPN.docx
《天融信VPN.docx》由会员分享,可在线阅读,更多相关《天融信VPN.docx(12页珍藏版)》请在冰点文库上搜索。
天融信VPN
配置天融信VPN
一.初始登录
二.天融信VPN用户和子接口升级
三.创建子接口逻辑属性并与相应子接口绑定
四.物理接口配置
五.子接口划分及IP配置
六.安全区域划分及默认权限的配置
七.针对安全区域开放相应管理服务
八.DHCP地址池的划分
九.创建用户角色
一十.创建VRC用户管理并添加到相应角色
一十一.策略路由的配置
一十二.VRC配置
一十三.0SPF配置定义
1初始登录
一.初始登录VPN安全网关在浏览器地址栏内键入管理地址,如下图所示:
二.管理地址形如:
https:
//192.168.1.254:
8080
三.默认用户名:
superman
四.默认口令:
talent
五.本地链接IP配置IP:
192.168.1.1掩码255.255.255.0网关指向192.168.1.254。
六.用网线链接到天融信VPNEth0口,0口也是它的管理口。
七.用户名口令更改后一定要劳记,天融信安全设备遗失用户名口令需要返厂清除。
2天融信VPN用户和子接口升级
一.给用户升级,IPsec-VPN和SSL-VPN用户要升级。
默认是IPsec和SSL各5个用户。
州上设备升级完是IPsec和SSL都是1000个用户。
县上的是500用户。
二.升级一定要看好产品的序列号。
如:
序列号K1107080136这个就是产品序列号。
三.把设备序列号和vpn升级用户包里的序列号一一对应,在Web里找到→系统管理→维护→系统升级→网页升级。
四.浏览到VPN升级包现在有设备序列号升级就好了,IPsec和SSL都要升级。
五.原有子接口是31个子接口,现在要升级到255个子接口。
升级方法也是在网页升级。
3创建子接口逻辑属性并与相应子接口绑定
一.天融信VPN安全网关子接口创建完毕后,尚不能正常启用。
主要表现为VPN可以PING通对端数通设备的相应子拉口,但对端设备却无法正常PING通VPN相应的子接口。
这是因为相应区域的子接口没有开通权限造成的。
需要在CLI下为相应子接口添加属性,并将所添加的属性与子接口做一对一的绑定即可。
如下脚本所示:
1、统一创建子接口属性
networkattributeaddnamevpn-subif-attribute
2、属性与子接口的绑定如一下
networkinterfaceveth2.000attributeaddvpn-subif-attribute
networkinterfaceveth2.001attributeaddvpn-subif-attribute
networkinterfaceveth2.002attributeaddvpn-subif-attribute
这里说明建立多少个子接口就要把属性与子接口绑定一起。
这里只写了三个子接口的。
二.telnet到天融信VPN就可以编写了。
下面是介绍图。
4物理接口配置
一.由于采用路由模式部署防火墙,故在本次项目测试过程中我们需要为VPN安全网关的相应物理接口配置IP地址。
Eth1外网口IP10.201.126.137/30直连R4IP10.201.126.136/30,Eth3DMZ口IP10.201.126.143/30直连SW2IP10.201.126.142/30.Eth2是内网口。
启的子接口链接的是R2-PE3。
二.每个地方IP地址不一样,这里是喀什的IP地址配置只供参考.详细当地看IP地址规划总表。
三.IP地址的配置界面及入口如下图所示:
5子接口划分及IP配置
一.天融信VPN安全网关采用子接口的形式与锐捷设备的形成对接。
用链接内网IP59.222.162.70/30直连的R2IP59.222.162.162/30在此端口划分子接口做喀什地区建立用户如:
安全生产监督管理局IP10.201.125.46/30,审计厅IP10.201.125.66/30煤矿安全监察局IP10.201.125.94等。
分配其他地州的详情IP规划-公网IP-PE-VCE子接口互连。
二.注意事项:
子接口的VLAN-ID号就是OSPF进程号,锐捷R2也要起。
如:
101.102等,详细看VRF规划OSPF进程号。
三.具体配置如下
6安全区域划分及默认权限的配置
注意事项:
内网区域不用选Eth2口,在添加区域的时候选VPN-subif-attibute就可以了。
7针对安全区域开放相应管理服务
一.管理服务是VPN安全网关对外提供的服务,除了设备自身管理所需要的基本服务如:
WEBUI、TELNET、PING、SSLVPNMGR、SNMP等之外,还有设备对于VRC远程接入所提供的服务如:
IPSECVPN、SSLVPN。
过程各针对内外网区域和外网区域我们开通的服务需要用户要求如下图所示:
8DHCP地址池的划分
一.哈密项目实施计划——地州的每一个部委对应一个VPN地址池,此处做了三个地州级单位地址池,分别喀什地州的“安全生产监督管理局”、“审计厅”、“煤矿安全监察局”具体配置如下图所示。
二.注意事项:
地址池创建完成之后必需运行在系统的LO口上方可生效。
9创建用户角色
一.用户角色的创建决定着VPN移动拨号用户(VRC用户)的归属。
依据前期规划,本次项目中创建的用户角色就是以地州的相应部委名称名称,从而在整个配置过程中达到一一对应的目的。
二.注:
所创建的用户角色必需与前一小节所创建的DHCP地址池做一对一的绑定。
用户角色的创建也为后期VRC权限配置中各部委针对角色权限的划分创造了先决条件。
角色创建及其与DHCP的绑定如下图所示:
10创建VRC用户管理并添加到相应角色
一.所谓VRC即虚拟远程客户端,其代表着一个远程移动VPN用户。
依据前期规划,VRC用户的创建必需与市县级单位的相应部委对应,而各部署委与上一小节中所创建的角色相对应,即:
所创建的角色就是与县市级的相应部委名称相对应。
二.注:
为各部委创建完用户后,必须把其添加到相应的部委角色中。
此操作的目的是为了移动气拨号用户拨入VPN后,按部委(角色)所绑定的地址池来取地址。
从而为后期通过源地址识别用户,并决定期数据包的注入方向奠定了基础。
配置如下图所示:
11策略路由的配置
一.策略路由的配置决定了不同部委的移动用户拨入VPN后的数据包走向。
二.注:
具体配置时策略路由在绑定一项中选择“全局”。
具体配置过程参见下图
四.县上需要写静态路由。
Loopback100设备管理都是。
172.16.X.X互联网服务区。
12VRC配置
一.所谓VRC配置,即移动用户在VPN安全网关上的具体配置。
项目过程中实际用到的配置点为:
权限对像的定义、角色权限的定义、在线用户的查看、虚接口的绑定。
具体配置如下图所示:
130SPF配置定义
一.州上的配置OSPF建立路由的ID区域通告IP:
route-id:
59.222.162.70
二.运行网段:
59.222.162.69/3010.201.126.142/30,10.201.126.136/30,喀什地区的。
三.区域ID为20
三.虚拟接口绑定。
虚拟专网→虚拟接口绑定。
升级会员 