Array ssl vpn 简明配置手册v1.docx

Array ssl vpn 简明配置手册v1.docx

《Array ssl vpn 简明配置手册v1.docx》由会员分享，可在线阅读，更多相关《Array ssl vpn 简明配置手册v1.docx（57页珍藏版）》请在冰点文库上搜索。

Arraysslvpn简明配置手册v1

SPX简明配置手册

ArrayNetworks

目录

1.概述3

1.1前言：

3

1.2SSLVPN简介3

1.3SSLVPN网络拓扑3

1.4ArraySPX设备配置概述5

2.Spx设备基本配置5

2.1ArraySPX的配置管理方式5

2.2SPX系列产品外观指示灯介绍6

2.3SPX的几种配置模式6

2.4设备硬件信息、OS版本及License管理7

2.5SPX设备的基本信息配置8

3.SSLVPN门户（VirtualSite）的建立16

3.1加入新的VirtualSite16

3.2配置virtualsite的ssl协议及数字证书17

3.2.1GlobalMode与VirtualsiteMode17

3.2.2SSL协议部分配置概述18

3.2.3生成CSR18

3.2.4导入virtualsite数字证书19

3.2.5客户端数字证书验证配置21

3.2.6LocalDB用户认证配置23

4.VirtualSite各个应用模块的配置25

4.1WRMPortal配置25

4.2FileSharing配置27

4.3ApplicationManager配置28

4.3.1JavaApplet方式29

4.3.2WindowsRedirect方式30

4.4隧道式VPNL3vpn配置32

5.sslvpn门户VirtalSite认证配置34

5.1Radius认证服务配置35

5.2LDAP认证服务配置36

5.3AD认证服务配置38

5.4SecurID动态口令认证配置38

6.sslvpn门户VirtalSite授权配置39

6.1LocalDB的授权41

6.2Ldap服务器的授权42

6.3Radius服务器的授权43

6.4GroupMap授权方式44

7.Cluster方式配置46

8.设备管理及排错48

8.1Syslog设置48

8.2SNMP配置49

8.3系统管理49

8.4troubleshooting50

概述

前言：

SSLVPN是当前发展非常迅速的一种VPN技术，Array是一个主要的sslvpn厂家，其产品有专门的操作手册，本文是一个快速入门的中文手册，力图简洁明了地介绍arraysslvpn的主要部署结构，建立sslvpn的大致流程以及主要操作命令。

如果您需要详细了解arrayspx设备的操作以及详细的命令，请参阅arrayspx设备操作手册。

SSLVPN简介

SSLVPN是采用SSL技术的一种VPN技术，适用于ClienttoSite的安全接入方式。

SSL技术是位于TCP之上的协议，具有数字证书身份验证，数据加密等安全手段。

在实现VPN访问内部应用时主要采用Proxy、ApplicationTranslation、NetworkExtention等技术手段实现。

用户通过SSLVPN访问内部应用系统，必须先用https协议登陆SSLVPN网关提供的sslvpn门户站点，我们称之为VirtualSite，Array的SPX系列单台设备可以配置多个VirtualSite，具体数量视License而定。

一般情况下，在数据中心的网络边缘放置SSLVPN网关，如ArrayNetworksSPX系列产品。

客户端要访问内部应用服务器，必须通过SSLVPN网关，其过程是先用标准浏览器如IE、Netscape等登陆SSLVPN网关，登陆使用的协议是HTTPS，底层是采用了具有加密算法的SSL协议。

登陆SSLVPN是需要经过用户认证、授权、审计的。

登陆完成之后，客户端既可以访问内部的各种应用了，无论是B/S结构还是C/S结构，都能够支持，访问过程中的数据传输都是经过加密处理的，同时是经过sslvpn授权允许和审计的。

SSLVPN网络拓扑

SSLVPN网关设备，Array称之为SPX系列产品，她的位置在数据中心的边缘，具体来讲一般放置在防火墙后面，入侵检测设备的前面，这样和其他安全产品一起为数据中心提供安全防护。

Array的sslvpn网关支持双臂结构和单臂结构。

单臂结构一般不改变企业的网络拓扑结构，只需一个接口接道防火墙或交换机上，具有易部署的特点。

双臂结构，一般是指连接两个接口，如一个连接内网，一个连接外网，双臂结构具有良好的网络吞吐。

SSLVPN的工作流程是一个Proxy架构，所以考虑拓扑结构时，要满足两点：

客户端机器要能构访问VirtualSiteIP地址，SPX设备要能够访问内部各个服务器各个应用。

若中间有防火墙等过滤设备，一定要打开相应端口。

如在客户端和VirtualSite之间的防火墙要打开Https访问，典型如TCP443端口。

SPX和服务器之间的防火墙要对SPX设备的网络接口打开各个应用的端口。

上图是一个典型的双臂结构，outside端口连接外网路由器或防火墙，端口地址为10.1.1.1；inside接口连接内部交换机，端口地址为10.1.2.1。

在SPX设备上的VirtualSite地址为10.1.1.2，为内部IP地址，在internet上的客户端要能构访问，前面的防火墙或路由器还要做NAT转换，如202.22.2.2－10.1.1.2。

当然，VirtualSite地址也可以直接配置成公网地址，这时只需客户端到VirtualsiteIP的路由可达与Https能够访问即可。

上图是典型的单臂结构，SPX设备只需一个接口连接防火墙、路由器或者是交换机。

接口IP为10.1.1.1，Virtualsite地址为10.1.1.2，需要NAT设备作转换：

如202.22.2.2－10.1.1.2。

当然，VirtualSite地址也可以直接配置成公网地址，这时只需客户端到VirtualsiteIP的路由可达与Https能够访问即可。

重复一下，无论是单臂还是双臂，无论多么复杂的拓扑结构，中间有什么样的网络设备，都需要满足两点：

客户端机器要能构访问VirtualSiteIP地址，SPX设备要能够访问内部各个服务器各个应用。

ArraySPX设备配置概述

拿到Array的一台新的设备，一般要经过如下几个过程来配置成一个可以工作的sslvpn系统。

⏹查看设备的license，如没有licnese许可，需向总代、Array申请购买的license。

⏹了解用户的拓扑结构，DNS系统、应用的大概情况，和用户协商SSLVPN拓扑结构、路由结构、DNS配置、防火墙策略、各个应用通过SSLVPN实现的方式。

⏹对SPX设备进行基本配置，包括License输入、接口IP地址配置、路由配置、时间配置、DNS配置。

⏹VirtualSite建立：

建立VirtualSite、SSL数字证书配置。

⏹VirtualSite认证方法配置，如配置LocalDB、Radius、Ldap等。

⏹VirtualSite各个应用模块的配置，如WRM、ClientAPP、L3VPN。

⏹VirtualSite用户访问策略配置，各个用户或组的访问权限设定。

⏹管理配置，如Snmp、Log、配置文件管理等

Spx设备基本配置

ArraySPX的配置管理方式

ArraySPX设备支持三种配置管理接入方式.

Consle接入：

SPX系列产品默认没有IP地址、路由等配置。

需要首先启动电源，通过应用随设备附带的连接线（console线），一端连接PC机的串口，一端连接SPX系列的Consle口。

SPX设备有专用的Consle线和Consle口，通过管理者的PC机串口接入，仿真终端：

VT100；BaudRateto9600；DataBitsto8；NOParity；StopBitsto1；NOFlowControl。

登陆进入后可以采用命令行方式。

SSH接入：

通过SSH终端可以接入SPX设备上的任一个接口IP地址，典型的，你可以使用Putty，SecureCRT等软件，SSH2协议，端口22来接入，登陆进入后可以采用命令行方式。

图形化配置：

在通过命令行配置webuion命令启动图形化管理方式后，使用IE6.0或Netscape7.0浏览器通过访问https:

//:

8888的方式登陆并进行远程管理控制。

SPX系列产品外观指示灯介绍

在SPX系列产品的前面板中具有显示设备运行状态的指示灯，指示灯分为以下三种：

●Power:

表示系统是否处在加电运行状态

●Run:

表示系统运行负载情况，当此灯经常闪烁时，表示系统负载较高。

●Fault:

表示设备是否发生故障，当此灯始终亮时，表示设备硬件故障。

具体状态指示灯的位置如下图所示：

SPX的几种配置模式

ArrayOS的配置管理模式具有三个级别，登陆模式，管理模式和配置模式，在命令行中体现为hostname加上“>”、“#”或者是“（config）#”。

第一个级别登陆模式“AN>”：

配置好超级终端后，回车登陆。

TMX系列产品默认需要认证，才能进行管理配置，默认的用户名为array，口令为admin。

此时将进入登陆模式，登陆模式的符号是一个大于号“>”，在此模式下可以实现基本的状态查看功能,通过问号

AN>?

可以查看此状态下所有可操作的命令。

第二个级别管理模式“AN#”:

从第一个级别进入第二个级别，是在第一个级别输入

AN>enable

命令即可进入第二个级别，缺省的口令为空。

第二个级别的能够进行所有状态信息的查看，同一时刻允许有多个管理员处在此模式下。

第三个级别配置模式“AN（config）#”:

从第一个级别进入第二个级别，是在第一个级别输入

AN#configterminal

命令即可进入配置模式，同一时刻只允许一个人进入此模式。

只有在此模式下才能够进行设备的配置。

当长时间不敲入命令，系统会自动退出。

从后一个级别回到上一个级别使用exit命令，如果直接关闭终端软件，没有从config模式exit到管理模式，会有缺省三分钟的等待时间才能再次进入config模式。

无论是在那种模式下都可以输入“?

”来了解当前模式下可以执行的命令，或者是某条命令的信息如：

AN（config）#show?

AN（config）#ipaddress?

图形界面为输入https:

//IP_address:

8888,缺省的webui是关闭的，必须在命令行的模式下先输入：

AN（config）#webuion

系统缺省是没有IP地址的，所以要使用图形界面也要先配置设备的端口IP地址。

设备硬件信息、OS版本及License管理

拿到Array的设备，你最先作的是通过LED查看设备硬件运行情况，若Fault灯总是亮的，请联系供应商解决设备硬件故障。

其次，您要登陆到设备上，最好用命令行方式，查看设备的系统信息：

SP-Demo1（config）#showversion

ArraySPRel.SP.7.3.3.14Build16-builtonThuMay1117:

50:

182006

Hostname:

SP-Demo1

SystemModule:

P4DPE

SystemRAM:

493MB

Systemboottime:

ThuJul2018:

37:

05CST（+0800）2006

Currenttime:

ThuAug0311:

07:

34CST（+0800）2006

Systemuptime:

13days,16:

30

PlatformBldDate:

ThuMay1117:

50:

14PDT2006

SSLHW:

HW（4D）Initialized

CompressionHW:

NoHWAvailable

NetworkInterface:

2xFastEthernetCopper

Model:

ArraySP-C,RAMLimit:

1024MB

SerialNumber:

0414A2960000010003011012436542

MaximumSessions:

500

MaximumVBlades:

128

LicensedFeatures:

WebWallClusteringSLBSSLL3VPNHostCheckCacheCleanerVirtualDesktopURLAliasingServiceMgmtWebAppsClientAppTCSMailProxyAppFilter

LicenseKey:

eb90e60a-6c6c9661-428d00ec-3a025f8f-3131ce10-27ea070e-00010128-00000500-99999999

ArraySPRel.SP.7.3.3.14Build16：

是指当前运行的ArrayOS版本

SSLHW：

是指ssl硬件加速卡的信息。

CompressionHW：

是指硬件压缩卡的信息

MaximumSessions：

指设备license允许的最大并发用户数

MaximumVBlades：

指设备License允许的最多virtualsite数量

LicensedFeatures：

指设备license允许的功能模块

LicenseKey：

Array颁发的设备的LicenseKey，最后的几位数字是license截止的日期，以上例子99999999是无限期的licnese

如果您拿到Array的SPX设备是新的，设备的licnese是invalidlicense，您需要向供应商申请License，您需要向他提供以上的showversion信息，最主要的是设备的serialnumber。

拿到新的licensekey后，您需要输入：

SP-Demo1（config）#systemlicense

即可使新的license生效，输入后您可以通过showversion查看license信息。

SPX设备的基本信息配置

本文以如下的拓扑结构为例作配置说明，双臂结构，以192.168.1.0/24来模拟公网，以10.1.0.0/16来模拟内网。

VirtualsietIP地址为：

192.168.1.2/24。

设备的outsideIP_address：

192.168.1.1/24，inside地址为：

10.1.40.2/16

图1

1、配置主机名：

AN（config）#hostname

：

其中主机名长度最长为64字节

实例：

例如需要配置设备的名称为TMX2000，则命令如下。

AN（config）#hostnamesp-demo

Sp-demo（config）#

2、配置端口IP地址:

AN（config）#ipaddress{outside|inside}

实例：

例如需要对设备的Outside端口和Inside端口进行配置

AN（config）#ipaddressinside10.1.1.2255.255.255.0

AN（config）#ipaddressoutside192.168.1.1255.255.255.0

查看当前端口IP地址命令：

AN（config）#showipaddress

3、配置路由：

配置默认路由命令：

AN（config）#iproutedefault

配置静态路由命令：

AN（config）#iproutestatic

实例：

增加一条默认路由和一条静态路由

AN（config）#iproutedefault10.1.1.1

AN（config）#iproutestatic192.168.20.0255.255.255.0192.168.1.1

图形界面配置：

4、测试网络联通情况

SPX系列产品提供了Ping和traceroute来检查网路的联通状况

ping命令示例：

AN（config）#ping192.168.10.1

Traceroute命令示例：

AN（config）#traceroute192.168.10.1

5、配置域名服务器

SPX需要指明DNS服务器以提供域名解析服务，尤其使当需要内部域名服务器解析内部域名时。

命令行：

AN（config）#ipdnsnameserverserver_ip

AN（config）#ipdnsnameserver10.1.10.33

注意图形界面配置时，Dns服务器选择external那个选项，最上面的local选项是指SPX自己可以作为DNS服务器，当一些特殊情况下才会用到。

6、时区、时间配置

时区、时间的设置对于sslvpn配置来讲非常重要，这主要是何数字证书的验证有关，数字证书一般是有期限设定的。

时区设定

AN（config）#systemtimezone"Asia/China/Chinacoast"

时间设定

AN（config）#systemdate

AN（config）#systemtime

举例：

AN（config）#systemdate200288

AN（config）#systemtime16280

7、保存配置

TMX系列产品默认有两种配置，一是runningconfig配置，一是startup配置。

Runningconfig配置是系统当前正在应用生效的配置文件，而startup配置文件是系统启动时使用的配置文件。

保存配置命令有以下几种：

AN（config）#writememory

作用：

使用runningconfig覆盖startupconfig

AN（config）#writememory

保存配置，联通各个virtualsite的配置，这时需要各个站点不再config模式。

AN（config）#writefile

作用：

将当前的runningconfig以文件的形式保存在系统中，待以后应用

AN（config）#writenetscp

AN（config）#writenettftp[filename]

作用：

将当前的runningconfig以文件的形式保存第三方的scp或tftp服务器上，待以后应用。

8、查看配置

AN（config）#showrunning

作用：

显示出所有runningconfig的配置内容

AN（config）#showstartup

作用：

显示出所有startupconfig的配置内容

AN（config）#showconfigfile[filename]

作用：

显示出所有保存的文件列表，或文件中的所有配置内容

9、清除配置

AN（config）#clearconfigall

作用：

清除所有配置，恢复到出厂状态

AN（config）#no…

作用：

清除特定配置命令行

10、导入配置

AN（config）#configurememory

作用：

应用startupconfig覆盖runningconfig

AN（config）#configurefile

作用：

应用保存的文件中的配置覆盖当前runningconfig

AN（config）#configurenetscp

AN（config）#configurenettftp

作用：

应用保存在第三方scp或tftp服务器上配置文件覆盖当前runningconfig

11、升级系统版本

AN（config）#systemupdate

作用：

升级系统版本，以满足应用需求

AN（config）#systemupdatehttp:

//192.168.1.101/ArrayOS_Re7.3.3.15.click

AN（config）#systemcomponentupdate

给系统打相应patch

12、重新启动设备、系统关机

AN（config）#systemreboot

作用：

系统重新启动（此时不自动保存配置）

AN（config）#systemshutdown

作用：

关闭系统（此时不自动保存配置）

13、更改用户口令和enable口令

AN（config）#passwdenable

作用：

更改enable口令,做为runningconfig并立即生效，但不对startup配置有影响

AN（config）#passwduser

作用：

更改登陆用户口令

AN（config）#passwdenableabcd

作用：

将enable的口令更改为abcd

AN（config）#passwduserarrayabcd

作用：

将用户名array的口令更改为abcd

SSLVPN门户（VirtualSite）的建立

加入新的VirtualSite

基于上一章图1的拓扑结构，我们建立一个virtualsite，IP地址为192.168.1.2，Array的SSLVPN门户的地址不能使用设备端口地址。

上图时图形界面方式，此时需要在右上角GlobalMode为config状态下加入新的sslvpn门户，即virtualsite。

其中

sitename：

为站点的英文表示，取较易记忆的名字，如：

testvpn1

FQDN：

fullqualifie