SPX简明配置手册
ArrayNetworks
目录
1. 概述 .............................................................................................................................................................. 2
1.1 前言: .............................................................................................................................................. 2 1.2 SSL VPN简介 ................................................................................................................................. 3 1.3 SSL VPN 网络拓扑 ........................................................................................................................ 3 1.4 Array SPX设备配置概述 ............................................................................................................... 5 2. Spx 设备基本配置 ...................................................................................................................................... 5
2.1 Array SPX的配置管理方式 ........................................................................................................... 5 2.2 SPX系列产品外观指示灯介绍 ...................................................................................................... 6 2.3 SPX 的几种配置模式 ..................................................................................................................... 6 2.4 设备硬件信息、OS版本及License管理 .................................................................................... 7 2.5 SPX设备的基本信息配置 .............................................................................................................. 8 3. SSL VPN门户(Virtual Site)的建立 .................................................................................................... 19
3.1 新建Virtual Site ............................................................................................................................ 19 3.2 配置virtual site 的ssl 协议及数字证书 .................................................................................... 21
3.2.1 Global Mode 与 Virtual site Mode ................................................................................ 21 3.2.2 SSL 协议部分配置概述 ................................................................................................... 22
4. Virtual Site 各个应用模块的配置 ........................................................................................................... 23
4.1 隧道式VPN L3vpn配置 .............................................................................................................. 24 5. ssl vpn门户Virtal Site认证配置 ............................................................................................................ 28
基于Hardware ID绑定的配置 ................................................................................................................ 28 6. ssl vpn门户Virtal Site授权配置 ............................................................................................................ 30 7. 设备管理 .................................................................................................................................................... 31
7.1 Syslog 设置 .................................................................................................................................. 31 7.2 SNMP配置 .................................................................................................................................... 32 7.3 系统管理 ........................................................................................................................................ 32 7.4 troubleshooting ............................................................................................................................. 33
1. 概述 1.1
前言:
SSL VPN是当前发展非常迅速的一种VPN技术,Array是一个主要的ssl vpn厂家,其产品有专
门的操作手册,本文是一个快速入门的中文手册,力图简洁明了地介绍array ssl vpn的主要部署结构,建立ssl vpn的大致流程以及主要操作命令。如果您需要详细了解array spx设备的操作以及详细的命令,请参阅array spx设备操作手册。
2
1.2
SSL VPN简介
SSL VPN是采用SSL 技术的一种VPN技术,适用于Client to Site的安全接入方式。SSL 技术
是位于TCP之上的协议,具有数字证书身份验证,数据加密等安全手段。在实现VPN访问内部应用时主要采用 Proxy 、Application Translation 、Network Extention 等技术手段实现。
用户通过SSL VPN访问内部应用系统,必须先用https协议登陆SSL VPN 网关提供的ssl vpn
门户站点,我们称之为Virtual Site,Array 的SPX系列单台设备可以配置多个Virtual Site ,具体数量视License而定。
一般情况下,在数据中心的网络边缘放置SSL VPN网关,如ArrayNetworks SPX 系列产品。客
户端要访问内部应用服务器,必须通过SSL VPN网关,其过程是先用标准浏览器如IE、Netscape等登陆SSL VPN网关,登陆使用的协议是HTTPS,底层是采用了具有加密算法的SSL 协议。登陆SSL VPN是需要经过用户认证、授权、审计的。登陆完成之后,客户端既可以访问内部的各种应用了,无论是B/S结构还是C/S结构,都能够支持,访问过程中的数据传输都是经过加密处理的,同时是经过ssl vpn授权允许和审计的。
1.3
SSL VPN 网络拓扑
SSL VPN网关设备,Array 称之为SPX系列产品,她的位置在数据中心的边缘,具体来讲一般放
置在防火墙后面,入侵检测设备的前面,这样和其他安全产品一起为数据中心提供安全防护。
Array 的ssl vpn网关支持双臂结构和单臂结构。单臂结构一般不改变企业的网络拓扑结构,只需
一个接口接道防火墙或交换机上,具有易部署的特点。双臂结构,一般是指连接两个接口,如一个连接内网,一个连接外网,双臂结构具有良好的网络吞吐。
SSL VPN的工作流程是一个Proxy架构,所以考虑拓扑结构时,要满足两点:1.客户端机要能通
过https访问Virtual Site IP地址;2.SPX设备要能够访问内部各个服务器各个应用。
3
双臂结构网络拓扑示意图
上图是一个典型的双臂结构,outside 端口连接外网路由器或防火墙,端口地址为10.1.1.1;inside
接口连接内部交换机,端口地址为10.1.2.1。在SPX设备上的Virtual Site地址为 10.1.1.2,为内部IP地址,在internet上的客户端要能构访问,前端的防火墙要做地址映射,如202.22.2.2 的443端口映射到10.1.1.2。
单臂结构拓扑示意图
上图是典型的单臂结构,SPX设备只需一个接口连接防火墙、路由器或者是交换机。接口IP为
10.1.1.1,Virtual site 地址为10.1.1.2,需要前端防火墙做如下地址映射:如202.22.2.2的443端口映射到 10.1.1.2。
4
重复一下,无论是单臂还是双臂,无论多么复杂的拓扑结构,中间有什么样的网络设备,都需要满
足两点:客户端机器要能构访问Virtual Site IP地址,SPX设备要能够访问内部各个服务器各个应用。 在百丽的SSL项目实施上,除非特殊情况,我们尽量采用单臂模式部署。
1.4
Array SPX设备配置概述
拿到Array的一台新的设备,一般要经过如下几个过程来配置成一个可以工作的ssl vpn系统。 ? 查看设备的license,如没有,请向信德远致公司咨询申请。
? 了解现有拓扑结构,DNS系统、应用的大概情况,决定SSL 设备的部署(单臂或者双臂)、
路由结构、DNS配置、防火墙策略、各个应用通过SSL VPN实现的方式。
? 对SPX设备进行基本配置,包括License输入、接口IP地址配置、路由配置、时间配置、
DNS配置。
? Virtual Site 建立:建立Virtual Site、SSL 数字证书配置。 ? Virtual Site 认证方法配置,如配置LocalDB、Radius、Ldap等。 ? Virtual Site 各个应用模块的配置,如WRM、ClientAPP、L3VPN。 ? Virtual Site 用户访问策略配置,各个用户或组的访问权限设定。 ? 管理配置,如Snmp、Log、配置文件管理等
2. Spx 设备基本配置 2.1
Array SPX的配置管理方式
Array SPX设备支持三种配置管理接入方式.
Consle接入:SPX系列产品默认没有IP地址、路由等配置。需要首先启动电源,通过应用随设备
附带的连接线(console线),一端连接PC机的串口,一端连接SPX系列的Consle口。SPX设备有
5