FAQ-AR路由器配置SSL VPN-端口转发功能(命令行)

[复制链接]
发表于 : 2015-4-24 17:35:54 最新回复:2018-01-14 14:14:22
3216 5
xiaobai    

配置端口转发业务示例

组网环境

图1所示,某企业通过RouterInternet相连,企业希望处于企业外网的合作伙伴在终端配置最少的情况下随时随地安全访问企业内网基于TCP的资源。

基于TCP的资源如下:

·     与企业内网主机PC1实现桌面共享(TCP端口号:3389)。

·     通过Telnet方式远程访问企业内网的应用服务器(TCP端口号:23)。

Router上配置SSL VPN的端口转发业务,合作伙伴使用终端的普通浏览器可以安全访问以上企业内网的TCP资源。

说明:

Router所需证书通过离线方式获取,并且证书已保存在Router的存储介质上:数字证书名为rt_ca.pem,私钥文件名为rt_pri.pem

1 配置端口转发业务组网图
http://localhost:7890/pages/DZD0504R/06/DZD0504R/06/resources/dc/images/fig_dc_cfg_sslvpn_102201.png

配置思路

采用如下的配置思路:

·     配置Router与外网远程终端路由可达。

·     配置HTTPS服务器功能,使远程用户可以安全地访问SSL VPN网关。

·     为避免与其他业务冲突,修改SSL VPN的侦听端口号。

·     创建远程用户的用户信息,指定合作伙伴接入SSL VPN网关。

·     创建虚拟网关并配置虚拟网关基本参数。

·     在虚拟网关上配置端口转发业务,实现合作伙伴访问企业内网基于TCP的资源。

操作步骤

1.  配置接口的IP地址和到目的端的静态路由,假设缺省路由的下一跳地址为202.1.1.10,到达PC1和应用服务器的下一跳地址为192.168.1.10

2. <Huawei> system-view

3. [Huawei] sysname Router

4. [Router] interface GigabitEthernet 0/0/1

5. [Router-GigabitEthernet0/0/1] ip address 192.168.1.9 24

6. [Router-GigabitEthernet0/0/1] quit

7. [Router] interface GigabitEthernet 0/0/2

8. [Router-GigabitEthernet0/0/2] ip address 202.1.1.9 24

9. [Router-GigabitEthernet0/0/2] quit

10. [Router] ip route-static 0.0.0.0 0.0.0.0 202.1.1.10

11. [Router] ip route-static 192.168.3.0 24 192.168.1.10

12. [Router] ip route-static 192.168.2.0 24 192.168.1.10

13. 配置HTTPS服务器功能

# 配置PKI实体。

[Router] pki entity a

[Router-pki-entity-a] common-name hello

[Router-pki-entity-a] country CN

[Router-pki-entity-a] quit

# 配置PKI域。

[Router] pki realm admin

[Router-pki-realm-admin] entity a

[Router-pki-realm-admin] quit

# 导入证书。

[Router] pki import-certificate local admin pem

 Please enter the name of certificate file <length 1-127>: rt_ca.pem             

 You are importing a local certificate, the current private key is required.   

 Please enter the name of private key file <length 1-127>: rt_pri.pem

 Please enter the type of private key file(pem , p12): pem                     

 The current password is required, please enter your password <length 1-31 >:******

 Successfully imported the certificate. 

说明:

私钥文件导入过程中会提示输入密码,该密码是私钥文件导出时设置的。

证书导入成功后,如果设备重启,设备会自动导入数字证书和私钥文件,无需重新导入。

# 配置服务器型SSL策略,并将该SSL策略与HTTPS服务器相关联。

[Router] ssl policy adminserver type server

[Router-ssl-policy-adminserver] pki-realm admin

[Router-ssl-policy-adminserver] quit

[Router] http secure-server ssl-policy adminserver

14. 修改SSL VPN的侦听端口号为1025

[Router] sslvpn server port 1025

15. 创建远程用户的用户信息

16. [Router] aaa

17. [Router-aaa] domain domain1

18. [Router-aaa-domain-domain1] quit

19. [Router-aaa] local-user admin@domain1 password

20. Please configure the login password (8-128)                                    

21. It is recommended that the password consist of at least 2 types of characters, i

22. ncluding lowercase letters, uppercase letters, numerals and special characters.

23. Please enter password:     //输入密码Huawei@1234                                                    

24. Please confirm password:   //输入密码Huawei@1234                                                    

25. Info: Add a new user.                                                          

26. Warning: The new user supports all access modes. The management user access mode

27. s such as Telnet, SSH, FTP, HTTP, and Terminal have security risks. You are advi

28. sed to configure the required access modes only.

29. [Router-aaa] local-user admin@domain1 service-type sslvpn

30. [Router-aaa] quit

31. 创建虚拟网关gateway1并配置虚拟网关基本参数

32. [Router] sslvpn gateway gateway1

33. [Router-sslvpn-gateway1] intranet interface gigabitethernet 0/0/1

34. [Router-sslvpn-gateway1] bind domain domain1

[Router-sslvpn-gateway1] enable

35. 在虚拟网关gateway1上配置端口转发业务,实现合作伙伴访问企业内网基于TCP的资源

36. [Router-sslvpn-gateway1] service-type port-forwarding resource 1

37. [Router-sslvpn-gateway1-pf-res-1] server ip-address 192.168.3.9 port 3389

38. [Router-sslvpn-gateway1-pf-res-1] description mstsc

39. [Router-sslvpn-gateway1-pf-res-1] quit

40. [Router-sslvpn-gateway1] service-type port-forwarding resource 2

41. [Router-sslvpn-gateway1-pf-res-2] server ip-address 192.168.2.9 port 23

42. [Router-sslvpn-gateway1-pf-res-2] description Telnet

[Router-sslvpn-gateway1-pf-res-2] quit

43. 检查配置结果

合作伙伴在浏览器的地址栏输入虚拟网关地址“https://202.1.1.9:1025/gateway1”,进入SSL VPN网关登录页面。输入用户名和密码,认证成功后,在“端口转发”页签查看可以访问的TCP资源列表,单击“启动”后,通过桌面共享应用程序可访问PC1,通过Telnet应用程序可访问应用服务器。

合作伙伴通过SSL VPN访问企业内网资源的操作过程请参见远程用户接入SSL VPN网关

 

  • x
  • 常规:

点评 回复

跳转到指定楼层
员Lemon  专家   发表于 2015-4-24 18:14:37 已赞(0) 赞(0)

多谢分享。
  • x
  • 常规:

点评 回复

bobby-bruce     发表于 2015-5-21 10:01:27 已赞(0) 赞(0)

楼主 我想问下导入证书那一点,证书是从哪里获得的?

  • x
  • 常规:

点评 回复

xiaobai     发表于 2015-5-22 11:44:40 已赞(0) 赞(0)

回复 3 楼

这个证书要么自己区申请要么自己制作
  • x
  • 常规:

点评 回复

gantengjun     发表于 2018-1-14 14:04:30 已赞(0) 赞(0)

楼主 这个证书去哪申请 或者怎么制作?有链接?
  • x
  • 常规:

点评 回复

gantengjun     发表于 2018-1-14 14:14:22 已赞(0) 赞(0)

可以省去证书那一段吗
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
快速回复 返回顶部