其中:
site name :为站点的英文表示,取较易记忆的名字,如:Belle_vpn
FQDN:full qualified domain name,在IE等浏览器中输入的域名。如果使用域名登陆,此项输入
域名,如:ssl.belle.com.cn;如果使用IP地址登陆请填入公网地址如113.106.194.239。
IP Address:指virtual site 的IP地址:192.168.0.89。
Port:virtual site 的https 访问的端口地址,缺省为443。(请尽量不要修改) Type:选择Exclusive。
3.2
3.2.1
配置virtual site 的ssl 协议及数字证书
Global Mode 与 Virtual site Mode
对于spx设备,存在两中配置方式:
Global Mode:配置spx的全局设置,如上一章所述的基本配置,加站点配置等。
Virtual site mode:配置各个站点,每个站点可以进入自己的配置模式而不互相干扰,可以为每个
virtual site 分配管理员,global 管理员 array可以进入每个站点配置。
步骤五:图形界面下的配置方式是在屏幕的左上角进行选择:选择Belle_vpn,进入虚拟站点的配置。
21
步骤六:在虚拟站点里开启L3VPN的功能
3.2.2
SSL 协议部分配置概述
LocalDB用户认证配置
我们在本节主要叙述系统的缺省认证方法LocalDB。
要让localdb成功工作,、我们还需要建立一个用户数据库,并为这个数据库分配一个关联的virtual
site ,之后您可以加入新的用户或者组。
22
您可以在新建virtual site时就选择新建一个localdb或关联一个原有的localdb,如下图: 步骤七:建立 用户和用户组,如test1 的用户,属于belle_group组
4. Virtual Site 各个应用模块的配置
23
4.1
隧道式VPN L3vpn配置
这个模块会在ssl vpn客户端生成一个虚拟网卡,在客户端与spx之间形成一个隧道,这要求客户
端具有Administrator权限并且支持ActiveX插件。目前可以在Windows、Linux操作系统上运行。当使用隧道VPN时,客户端就好像已经连接到企业内网,所以建议使用L3vpn时通过ACL控制列表加以权限控制。
大致的配置过程为,使能L3VPN功能,建立L3vpn地址池pool,同时确定使用split tunnel还是
Full tunnel模式。Split tunnel模式可以让客户端只有访问企业内网(特定地址范围)才走l3vpn,而full tunnel将所有的流都导入l3vpn。在相应地址池内建立客户端IP地址分配规则,如果采用split模式,还要确定授权l3vpn访问的地址段。
举例说明:建立名为gzpool的地址池,采用split tunnel模式,使用动态地址分配方式,地址持为172.16.1.1---172.16.1.254到 ,当访问192.168.0.0/24网段时走l3vpn。
步骤八:建立L3VPN的地址池,分配地址池为:172.16.1.0/24, tunnl的网段为192.168.0.0/24
24
25