配置典型配置
SSL VPN 典型配置举例-5W102
典型配置举例
关键词：SSL、VPN、HTTPS、Web、TCP、IP
摘& 要：本文简单描述了H3C SSL VPN的特点，详细描述了H3C SSL VPN配置的基本方法和详细步骤，给出H3C SSL VPN的基本配置案例。
Security Socket Layer
安全套接层
Virtual Private Network
虚拟专有网络
Hypertext Transfer Protocol Secure&
安全超文本传输协议&
Transfer Control Protocol
传输控制协议
Internet Protocol
H3C SSL VPN分为H3C SecPath SSL VPN和H3C SecBlade SSL VPN插卡两类形态的设备。下文中的配置无特殊说明则表示该配置两类设备均支持。如果该配置只有一类设备支持，会通过括号标注（如SecPath SSL VPN/ SecBlade SSL VPN)或不同的标题来区分。
1.1& 特性简介
SSL通信的工作原理：SSL（Security
Socket Layer，安全套接层）协议的主要用途是在两个通信应用程序之间提供私密性和可靠性，这个过程通过握手协议、记录协议、警告协议来完成。
VPN（虚拟专用网）比租用专线更加便宜、灵活，越来越多的公司开始通过互联网等公共网络，采用VPN将公司总部和在家工作、出差在外、分公司员工以及合作伙伴连接到一起。
SSL VPN是一种新兴的VPN技术。SSL VPN指的是以SSL协议建立加密连接的VPN网络。SSL
VPN考虑的是应用软件的安全性，其协议工作在传输层之上，保护的是应用程序与应用程序之间的安全连接，更多应用在Web的远程安全接入方面。
SSL VPN系统用于实现对网络资源的细粒度的访问控制。在SSL VPN系统中，用户有三种方式可以访问资源：Web接入方式、TCP接入方式和IP接入方式。同时SSL VPN系统采用基于角色的权限管理方法，可以根据用户登录的身份，限制用户可以访问的资源。另外，SSL VPN系统通过安全策略的检查，来检测接入PC的安全性，进而实现动态分配用户可访问权限。SSL VPN网关支持Web管理，管理员可以使用Web浏览器来配置和管理SSL VPN系统。
H3C SSL VPN系统是一款采用SSL连接建立的安全VPN系统，该系统为企业移动办公人员提供了便捷的远程接入服务。H3C SSL VPN设备是面向企业用户开发的新一代专业SSL VPN设备，可以作为企业的入口网关，也可以作为企业内部服务器群组的代理网关。SecPath SSL VPN主要面向中小型企业，而SecBlade SSL VPN主要面向大中型企业。
1.2& 特性关键技术点
SSL VPN与传统VPN系统相比，有更好的易用性，无需用户配置、客户端免安装免维护、部署简单、安全性高、安全控制粒度大，极大地方便了企业的移动办公用户和网络管理。
2& 特性使用指南
2.1& 使用场合
随着Internet的普及，在家办公和移动办公也开始兴起，大量的应用程序也迅速从C/S
结构向基于Web的B/S 结构迁移；公司员工、客户以及合作伙伴在外出实时安全地访问公司的内部信息和应用程序。SSL VPN实现了在任何地方灵活远程访问内部网络和应用程序。
2.2& 配置指南
H3C SSL VPN系统有以下三类用户角色：
(1)超级管理员：系统域的管理员。可以创建新的域，并初始化域的管理员密码，给域授予资源组，并授权域是否能够创建新的资源。(仅SecBlade
SSL VPN支持)。
(2)域管理员：SSL VPN域管理员。主要是对一个域的所有用户进行权限访问限制。域管理员可创建和删除域的本地用户、用户组、资源、资源组和安全策略等。
(3)SSL VPN用户：使用SSL VPN访问网络资源的用户。SSL VPN用户登录时，需要通过SSL VPN网关对其进行认证。用户认证通过后，SSL VPN用户可以访问SSL VPN网关根据用户的安全状况、用户所属的用户组授权给用户的内网资源。
在配置之前需要先理清上面各角色之间，以及本地用户、用户组、资源、资源组之间的关系，关系图如下：
图1 角色关系图
设备默认存在一个ROOT域，超级管理员可以创建域和资源。对于资源，一方面：超级管理员创建资源，指定资源属于哪个资源组，并把自己创建的ROOT域资源组授予某个域；另一方面：超级管理员授予域管理员是否能够创建新的资源的权限。（仅SecBlade SSL VPN支持）。
对于能够创建新的资源的域管理员，可以创建并维护自己的资源、资源组、本地用户及用户组，资源和资源组之间以及用户和用户组之间为多对多关系，即一个资源可以属于多个组，一个组可以拥有多个资源。通过配置关联资源组和用户组，指定哪些用户组可以访问哪些资源组，
两组之间同样是多对多关系。
l根域（ROOT域）和超级管理员只在SecBlade SSL
VPN上支持，SecPath
SSL VPN仅支持一个域。
lSecBlade SSL VPN支持多域。除默认存在的根域外，系统允许创建的普通域的最大数目参见产品规格。
l当前SecBlade
SSL VPN 共有三款设备，分别应用于S7500E、S9500和SR6600；这几款设备的主要区别仅在于：S7500E的SSL VPN插卡使用4个GE口与75E背板进行通信，而S9500/SR6600的SSL VPN插卡则使用1个XGE口与S9500/SR6600背板进行通信。软件功能上没有区别。手册的以下关于SecBlade SSL VPN部分均以S7500E插卡为例进行说明。
2.3& 配置步骤
VPN，需要配置以下内容：
l命令行基本配置。
l超级管理员界面相关功能配置（仅SecBlade SSL VPN支持）。
l域管理员界面相关功能配置。
l普通用户界面配置。
后面三种配置皆为Web配置，此处就不列出配置步骤，直接举实例。
命令行基本配置
用户可在命令行进行基本配置，主要包括启动Web服务器和SSL
VPN服务。默认情况下系统会自动启动Web服务器和SSL VPN服务，而无需用户手动输入命令进行启动。
设备上需要做如下配置：
l启动Web服务器。
l启动SSL VPN服务。
2.4& 注意事项
图2 配置管理
l在Web页面上进行的相关配置，配置完成后必须将“配置文件”保存，否则设备重启后，配置丢失；
l可以把当前配置保存到“配置文件”和“备份文件”中；
l如果想把“备份文件”替换为“配置文件”，选择“恢复”；
l选择“重启”，则重启域，使新的配置文件生效。
3& 支持的设备和版本
3.1& 支持的设备清单
lSecblade：
H3C S7500E LSQ1SSLSC0单板，H3C S9500 LSB1SSL1A0单板，H3C SR6600 SPE-SSL单板
lSecPath：
内置SSL 加密卡的设备：Secpath V100-E
需选配外置加密卡的设备：Secpath F100-A、Secpath F100-A-SI、Secpath F100-E、Secpath F100-M、Secpath F1000-A、Secpath V1000-A、Secpath F1000-S
4& 配置举例
4.1& 组网需求
采用双臂模式：SSL
VPN网关跨接在内网和外网之间，对内网的保护最完全。但是，此时网关处在内外通讯的关键路径上，其性能和稳定性对内外网之间的数据传输有很大的影响。双臂模式的组网如下图所示：
图3 双臂模式SSL VPN 组网图
采用单臂模式：SSL
VPN网关只相当于一台代理服务器，代理远程的请求，与内部服务器进行通讯。此时SSL VPN网关不在网络通讯的关键路径上，不会造成单点故障。单臂模式的组网如下图所示：
图4 单臂模式SSL VPN 组网图
4.2& 物理连接图
测试组网：
图5 SecBlade SSL VPN单臂模式测试组网图
图6 SecPath SSL VPN双臂模式测试组网图
4.3& 设备基本命令行配置
命令行配置
1. 75E上的基本配置
[S7503E]vlan 100&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
//*端口相关的配置请结合上图*//
[S7503E-vlan100]port GigabitEthernet
[S7503E-vlan100]port GigabitEthernet
[S7503E-vlan100]quit
[S7503E]interface vlan 100
[S7503E-Vlan-interface100]ip address 172.1.1.3
[S7503E-Vlan-interface100]quit
[S7503E]vlan 200
[S7503E-vlan200]port GigabitEthernet
[S7503E-vlan200]quit
[S7503E]inter vlan 200
[S7503E-Vlan-interface200]ip address 172.2.1.1
[S7503E-Vlan-interface200]quit
[S7503E]ip route-static 10.5.1.0 24 172.1.1.2&&&&
//*配置到虚地址网段的路由指
向SSLVPN插卡，供从内网返回的数据转发*//
[S7503E]ip route-static 0.0.0.0 0 172.1.1.1&&&&&&&
//*配置到公网的路由*//
[S7503E]ip route-static 192.168.0.0
16 172.2.1.2
[S7503E]ip route-static 10.0.0.0 8
&[S7503E]interface g3/0/1
[S7503E-GigabitEthernet3/0/1]speed
[S7503E-GigabitEthernet3/0/1]duplex
full&&&&&&& //*配置与插卡通信的背板接口为强制模式，保证端口
[S7503E-GigabitEthernet3/0/1]quit&&&&&&&&&&&&&&&
2. SSL VPN插卡上的基本配置
[H3C]interface GigabitEthernet 0/0/0
&[H3C-GigabitEthernet0/0/0]ip
address 172.1.1.2 24
[H3C-GigabitEthernet0/0/0]quit
[H3C]ip route-static 0.0.0.0 0 172.1.1.3&&&&&&&&&
[H3C]ntp-service unicast-server 172.1.1.3&&&&&&
//*SSLVPN插卡不支持本地时钟，设备默认时间为
2000年，此处不配置会导致证书过期*//
3. NAT-IN节点网关的相关路由配置
[H3C]ip route-static 10.5.1.0 24 172.2.1.1&&&&&
//*配置到虚地址网段的路由*//
[H3C]ip route-static 172.1.1.0 24 172.2.1.1
4. SSL VPN插卡上的业务相关配置（默认情况下，系统会自动启动Web服务器和SSL VPN服务而无需用户手动输入以下命令进行启动）
&[H3C] svpn service enable &&&//*启动SSL VPN服务*//
[H3C] Web server& enable &&&&//
*启动Web服务器*//
lSecBlade SSL VPN目前应用于75E、95和SR66上，一般处于内网位置，所以组网配置为单臂模式；
l若实际组网中不存在NAT-IN节点，则需要在内网各节点配置路由，保证到10.5.1.0/24网段路由可达（即到虚地址网段路由可达）；
l由于上述配置只采用了SecBlade SSL VPN 75E的一个GE口，而SecBlade SSL VPN 95/SR66只有一个10GE口，所以上述配置可直接应用于SecBlade SSL VPN 95/SR66。
命令行配置
1. 基本配置
[H3C] interface Ethernet0/0
[H3C-Ethernet0/0] ip address 192.168.96.22
255.255.255.0
[H3C-Ethernet0/0] quit
[H3C] interface Ethernet0/1
[H3C-Ethernet0/1] ip address 155.1.1.1
[H3C-Ethernet0/1] quit
[H3C] ip route-static 0.0.0.0 0 155.1.1.1
preference 60
2. svpn相关配置（默认情况下系统会自动启动Web服务器和SSL VPN服务而无需用户手动输入以下命令进行启动）
[H3C] svpn service enable //*启动SSL VPN服务*//
[H3C] Web server& enable // *启动Web服务器*//
Web业务典型配置举例
4.4.1& 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）
(1)在地址栏中输入SSL
VPN 网关连接外网的端口地址 “https://155.1.1.1:444”，回车后，即可进入SSL VPN登录页面：（注意会弹出证书认证界面，此时选择“是”）
图7 安全告警（点击“是”）
使用缺省超级管理员帐户“administrator”以本地认证方式登录SSL VPN系统，在用户名栏输入“administrator”，密码栏输入“administrator”，身份下拉框选择“超级管理员”，单击&登录&按钮即可登录。如下图所示。
(2)超级管理员创建域h3c，设置域管理员初始密码
在导航栏中选择“域管理”，进入域策略配置页面，单击&创建&按钮可以新建域，单击&配置&按钮可以对已有的域进行配置。
图9 创建域
创建域“h3c”，创建域时产生一个默认管理员“administrator”，此时需要设置该默认管理员的密码（如：123456）。同时可以设置该域的超时时间（30）和最大在线用户数（100）。超级管理员可以把已经创建的资源组授予新创建的域，同时允许域h3c的管理员创建资源。
(3)超级管理员配置完成后，必须将“配置文件”保存，否则设备重启后，配置丢失。
图10 配置管理
域管理员配置完成后，同样必须将“配置文件”保存，否则设备重启使配置丢失。
4.4.2& 登录普通域
该典型配置指导中的所有配置均是在普通域中完成。
(1)SecBlade SSL VPN:
同超级管理员登录页面，输入域缺省管理员帐户以本地认证方式登录SSL VPN普通域，在用户名栏输入“administrator”，密码栏输入“123456” （创建域时设置），身份选择“管理员”，单击&登录&按钮即可登录。
图11 域管理员登录
属于管理员用户组的用户为该域的管理员，所以管理员同时也是普通用户。如果管理员选择以“普通用户”身份登录，可以进入到该管理员的普通用户界面。在普通用户界面下，其可访问的资源，受域管理员组所拥有资源的限制。
(2)SecPath SSL VPN:
在地址栏输入https://155.1.1.1/admin打开登录页面，输入缺省域管理员帐户 “administrator”，密码“administrator”，单击&登录&按钮即可登录。
图12 域管理员登录
4.4.3& 配置Web业务资源
Web网页是远程Web服务器提供的一种服务。SSL VPN的Web代理服务器为用户访问Web服务器提供了一种安全的链接方式，并且可以阻止非法用户访问受保护的Web服务器。
在导航栏中选择“资源管理-&Web网站”，进入Web代理服务器管理页面。单击&创建&按钮可以创建新的Web资源。
图13 创建Web代理资源
l&“站点名称”可以配置为ip地址，也可以配置为域名，配置为域名时必须在命令行下正确配置DNS 服务器。
l站点匹配模式可以使用“模糊匹配”。此例中，站点匹配模式可以配置成“tech.*”进行模糊匹配，保证下挂在同一网站下的网页能够完全正常使用。更明显的例子是需要访问.cn下的.cn、.cn等网页，则只需在“站点匹配模式”下配置“*..cn”。若需要增加多个模糊匹配条件，中间用“|”分隔即可。
l创建成功后返回如下Web服务器资源列表。
图14 Web代理服务器列表
4.4.4& 创建资源组，并把已配置的资源加入到资源组
在导航栏中选择“资源管理-&资源组”，进入资源组管理页面，单击&创建&按钮创建新的资源组。
输入资源组名“Web”，将已配置资源 “tech”加入资源组“Web”；单击&应用&完成操作。
图15 创建资源组
在导航栏中选择“用户管理-&本地用户”，进入本地用户页面。
图16 创建用户
创建成功后返回本地用户列表如下图所示：
图17 用户列表
在导航栏中选择“用户管理-&用户组”，进入用户组页面，单击&创建&按钮创建新的用户组。
l输入用户组名“usergroup”。
l将用户“user1” 加入用户组。
l将资源组“Web” 赋予用户组“usergroup”。
单击&应用&完成操作。
图18 创建用户组
此时用户组“usergroup”中的用户“svpn”可以访问资源组“Web”中的所有资源。
4.4.6& Web业务验证结果
(1)普通用户登录
输入“https://155.1.1.1”打开用户登录界面，在用户名栏输入管理员创建的用户名 “svpn”，在“密码”框中输入密码。单击&登录&按钮即可登录。
图19 可访问Web类资源
(2)远程用户成功访问Web代理业务
例如：Web资源 “tech”，点击即可打开页面，且URL成功替换：https://155.1.1.1/sslvpn/proxy
图20 Web代理访问
4.5& TCP业务典型配置举例
4.5.1& 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）
参照Web业务典型配置举例
4.5.2& 登录普通域
参照Web业务典型配置举例
4.5.3& 配置TCP业务资源
1. 远程访问服务
远程访问服务是一类服务的总称， SSL VPN使用SSL加密技术，将这些在Internet上以明文方式传输的服务通过SSL来进行加密，保证了数据传输的安全性。
在导航栏中选择“资源管理-&TCP应用”，进入远程访问服务配置页面，单击&创建&按钮可以新建远程访问服务资源。
图21 创建远程访问服务资源
“命令行”配置： telnet “本机主机”，此处“本机主机”是指用来连接远端主机的本地监听地址，可以配置为本地环回地址（127.0.0.2-127.0.0.254；当本地主机允许修改host文件时，也可以配置为字符串）。
创建TCP资源成功后会返回如下资源列表：
图22 远程访问服务资源
2. Windows桌面共享
在导航栏中选择“资源管理-&TCP应用”，进入桌面共享配置页面，单击&创建&按钮可以新建windows桌面共享资源。
图23 创建Windows桌面共享资源
创建成功后返回远程桌面资源列表：
图24 Windows桌面共享资源
3. Outlook邮件服务
在导航栏中选择“资源管理-&TCP应用”，进入电子邮件服务资源配置页面，单击&创建&按钮新建Outlook邮件服务资源
图25 创建Outlook邮件服务资源
创建成功后返回邮件服务资源列表：
图26 Outlook邮件服务资源
4. Notes邮件服务
在导航栏中选择“资源管理-&TCP应用”，进入Notes邮件服务资源配置页面，单击&创建&按钮新建Notes邮件服务资源，且配置“本地地址”必须为数据库的实际地址或真实域名。
图27 创建Notes邮件服务资源
创建成功后返回notes邮件服务资源列表如下图所示：
图28 Notes邮件服务资源
5. 通用应用程序服务
导航栏中选择“资源管理-&TCP应用”，进入TCP服务配置页面，单击&创建&按钮可以新建通用应用程序服务资源。
图29 创建通用应用程序服务
创建成功后返回通用应用服务资源列表如下：
图30 通用应用程序服务
4.5.4& 创建资源组，并把已配置的资源加入到资源组
参照Web业务典型配置举例
图31 创建TCP资源组
创建用户、用户组，并把资源组和用户组关联起来
参照Web业务典型配置举例
4.5.6& TCP业务验证结果
(1)普通用户“svpn” 登录后，默认启动TCP 客户端，可以通过“信息”查看端口监听情况。
图32 TCP接入状态
图33 TCP端口监听
(2)普通用户登录后，出现所有TCP可访问资源。
图34 TCP应用类可访问资源
(3)点击TCP应用类资源“telnet远程访问”，即可telnet到远程设备上
图35 telnet远程访问
(4)点击TCP应用类资源“Win桌面共享”，即可登录到远程主机上
图36 Win桌面共享
(5)TCP应用类资源“POP3”，“SMTP”的使用，需要在客户机Outlook的pop3和smtp服务器地址里进行配置，分别为资源 “POP3-A”，“SMTP-A”，通过用户名密码登录，即可正常处理邮件。
图37 Outlook 邮件服务器配置
(6)TCP应用类资源“通用应用资源”，在资源里直接点击即可访问该资源。
图38 通用应用http访问
4.5.7& TCP业务故障排除
(1)TCP资源配置时，命令行可不填写，如果填写，必须为操作系统可识别的命令；
(2)TCP业务下，客户端要成功访问邮件需要配置Outlook后才能使用。且邮件服务使用SMTP和POP3这两个端口通信，所以还需要创建两条资源；
(3)不同操作系统的应用程序位置不一样。
4.6& IP业务典型配置举例
4.6.1& 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）
参照Web业务典型配置举例
4.6.2& 登录普通域
参照Web业务典型配置举例
4.6.3& 配置IP业务资源
SSL VPN网络服务访问提供了IP层以上的所有应用支持。用户不需要关心应用的种类和配置，仅通过登录SSL VPN，即可自动下载并启动ActiveX SSL VPN客户端程序，然后便可以安全访问特定主机的所有服务。SSL VPN可以保证用户与服务器间的通讯安全。
1. 全局配置
在导航栏中选择“资源管理-&IP网络”，标签栏中选择“全局配置”，进入全局配置页面：
(1)Secblade SSL VPN：
图39 IP全局配置
“起始IP”、“结束IP”为当客户端登录后，设备分配给客户端的虚地址网段。“网关地址”为客户端访问指定网络资源时的默认网关。上述配置为必须配置，“基本信息配置”中的各字段则可根据需要进行配置。其中心跳时间为IP客户端向网关发送心跳报文的时间间隔；客户端是否可达允许设置不同的登录用户之间是否可以通过IP接入相互通信；WINS地址和DNS地址为网关下发给用户虚网卡的WINS和DNS地址；只允许访问VPN可以设置用户上线后是否能够同时访问Internet；用户网络服务显示方式可以设置用户上线后资源页面是显示IP资源的描述信息还是IP地址信息。
(2)SecPath SSL VPN：
图40 IP全局配置
“起始IP”、“结束IP”为当客户端登录后，设备分配给客户端的虚地址网段。“网关地址”为客户端访问指定网络资源时的默认网关。内部接口指网关与内网相连的接口。指定内部接口并启用自动NAT后，系统自动在内部接口上配置NAT，而不需要在其他内网设备上添加指向虚网段的回程路由。上述配置为必选配置，“基本信息配置”中的各字段则可根据需要进行配置。其中心跳时间为IP客户端向网关发送心跳报文的时间间隔；客户端是否可达允许设置不同的登录用户之间是否可以通过IP接入相互通信；WINS地址和DNS地址为网关下发给用户虚网卡的WINS和DNS地址；只允许访问VPN可以设置用户上线后是否能够同时访问Internet；用户网络服务显示方式可以设置用户上线后资源页面是显示IP资源的描述信息还是IP地址信息。
2. 用户ip 绑定
在导航栏中选择“资源管理-&IP网络”，标签栏中选择“全局配置-&用户IP绑定”，进入全局配置页面，如图所示。
图41 Secblade用户IP绑定列表
图42 SecPath用户IP绑定列表
为用户绑定固定IP后，用户登录后系统不会再从地址池中为用户虚网卡分配地址，而是直接把绑定的IP分配给用户。
在导航栏中选择“资源管理-&IP网络”，进入主机配置页面，如图所示。单击&创建&按钮，输入主机资源名称，单击&应用&按钮创建一个主机资源，
图43 主机配置允许访问网络
图44 主机配置快捷方式
“允许访问的网络服务”和“快捷方式”在编辑区配置完后，需要点击&添加&。另外IP网络，可以进行各种业务的快捷方式访问：ping、ftp、文件共享等。
4.6.4& 创建资源组，并把已配置的资源加入到资源组
图45 把IP资源加入资源组
4.6.5& 创建用户、用户组，并把资源组和用户组关联起来
参照Web业务典型配置举例
业务验证结果
(1)普通用户svpn 登录后默认启动IP 客户端，通过查看客户端数据判断启动情况。
图46 IP客户端状态
普通用户登录后，出现IP可访问资源
图47 可访问
IP网络类资源
(2)点击快捷命令“ping
h3c-security”，直接可以ping通远端网络：
图48 快捷方式PING访问
(3)点击快捷命令“ftp
h3c-security”，直接可以ftp远端ftp服务：
图49 快捷方式ftp访问
(4)查看虚网卡地址是否已经获取地址和是否在PC上添加指向资源的路由：
图50 虚网卡获取地址情况
图51 PC 路由情况
4.6.7& IP业务故障排除
(1)快捷方式命令相当于在Windows的命令行中输入命令。
(2)特别注意转义字符“\”，由于和Windows系统会进行转义，因此输入“\\”只相当于在命令行中输入“\”。比如共享文件夹的快捷方式，输入“explorer
\\\\10.154.2.100”，相当于在命令行中输入“explorer \\10.154.2.100”。前面的explorer表示是系统通过客户端的默认浏览器来访问内网资源，如“explorer ftp://10.154.2.100”是通过浏览器来打开FTP。
(3)客户端获得虚网卡地址和路由，如果不在内网接口上启用NAT，则所访问远程资源服务器上必须配置目的地址为虚网段的路由（SecBlade SSL VPN不支持在内网接口上做NAT）。
4.7& 认证策略典型配置举例
4.7.1& Radius认证（其他认证服务器）
1. 功能简述
SSL VPN 远程用户通过RADIUS系统进行认证、计费功能。
2. 操作步骤
(1)配置前提。
本文只描述SSL
VPN与RADIUS联动相关的配置，假定其他SSL VPN基础配置（如命令行配置、域配置、资源、资源组配置等）已经配置成功，不再详述。
认证策略管理”，标签选择“RADIUS认证策略”，进行相应配置。
图52 RADIUS策略配置页面
主从服务器地址、认证端口、共享密钥需和认证服务器上的配置一致；选择启动认证。认证服务器的状态选择active。证书策略为可选，有“密码”和“密码+证书”两个选项。选择“密码+证书后”时，系统会同时认证用户密码和客户端证书。计费功能为可选，计费服务器地址和认证服务器地址相同，计费密钥和认证密钥相同。计费端口需和计费服务器上的配置一致。计费服务器的状态选择active。
3. 服务器配置步骤
目前应用的RADIUS
服务器为：“shiva access
manager”。
(1)首先安装：shiva
access manager。
(2)安装成功后，在安装目录c:\radtac\
下，找到AVDICT.DAT文件，添加“SSL-VPN-GROUP”的属性即添加如下内容：（ATTRIBUTE SSL-VPN-GROUP&&&&&&& &&&&&&&
140&&&&&&&&& string&& Huawei），或用此文件覆盖安装目录下同名文件。
(3)配置shiva
access manager。
access manager，一般为试用版，输入用户名：supermanager。
配置NAS 地址，即：SSL VPN 网关地址：192.168.96.22。共享密钥为123456。
配置认证端口为1645，计费端口为1646。
添加用户，用户名为usera，密码为123456。
为新增用户配置授权用户组信息。
重点如下：
l选择已经配置的用户：usera
l在属性列（Attribute
configured for user）插入行
l在属性列表选择：Attributes
:SSL-VPN-GROUP
l在值列表选择填写：usergroup
（该值须同SSL VPN网关上配置的用户组一致)，对于多用户组的情况，用户组名间用“；”分隔
l点击“Commit
4. RADIUS认证验证结果
远程用户“usera”登录后，能够看到各类资源，并能够成功访问各类资源。
当域默认认证策略为RADIUS认证时，用户可以直接使用帐户usera登录，而无需输入全用户名如usera@radius.h3c（SecBlade SSL VPN）或在类别下拉框中选择RADIUS（SecPath SSL VPN）。下述各种认证方式均属这种情况。
认证（CAMS作为服务器）
1. 功能简述
我司的CAMS
（全称综合访问管理服务器），提供了强大的用户认证、计费和管理平台。目前SSL VPN与CAMS可以联动实现认证、计费功能，本配置中只描述认证功能的联动配置。
2. 操作步骤
(1)配置前提
本文只描述SSL
VPN与CAMS联动相关的配置，假定其他SSL VPN基础配置（如命令行配置、域配置、资源、资源组配置等）已经配置成功，不再详述。
(2)登录网关进行RADIUS服务器配置
配置同中的配置，在此不再详述。
(3)CAMS作为RADIUS 服务器最关键的配置为：在服务配置时“下发用户组（SSL VPN专用）” ，本例中用户组名为group_1 （SSL VPN 网关上必须存在同名用户组）。
3. CAMS服务器联动验证结果
(1)用户登录SSL VPN网关认证，登录名为CAMS服务器配置的用户。
(2)用户登录后可以访问group_1组下的各类资源。
4. CAMS服务器配置具体步骤
具体CAMS 配置细节参看文档：
4.7.3& LDAP认证
1. 功能简述
VPN 远程用户通过LDAP系统进行认证功能。
2. 操作步骤
(1)在导航栏中选择“域管理-&认证策略管理”，进入认证策略管理页面。
(2)选择“LDAP认证策略”标签，进入“配置LDAP认证策略”页面。
(3)配置“LDAP服务器地址”、“端口”、“用户组LDAP属性”、“版本”等参数。
(4)使用模板查询用户DN。
图53 LDAP认证策略模板方式配置
“用户DN模板”配置为：“cn=%logon%,dc=vpn-domain,dc=com”。
(5)使用查询检查用户DN。
图54 LDAP认证策略查询方式配置
l&“用户查询DN”填写：“cn=manager,dc=vpn-domain,dc=com”；
l“密码”填写：“123456”；
l“搜索库DN” 填写：“dc=vpn-domain,dc=com”；
l“搜索查询模板”填写：“cn=%logon%”。
(6)选中“是否启动认证”
“使用模板查询用户DN”和“使用查询检查用户DN”两种模式只能选取一个。
3. 服务器配置步骤：
典型配置中的ldap服务器为Linux服务器下的openldap，在安装linux系统时，选择安装全部组件，然后直接启动该服务器即可。openldap服务器进程为slapd。Openldap详细配置过程如下：
(1)在/etc/openldap/目录下的slapd.conf文件是ldap服务器进程启动的配置文件，打开该配置文件，在文件中找到以下内容行：
红色框包围的部分是ldap服务器根目录。可以修改为我们自己的目录。如dc=vpn-domain,dc=com。蓝色框包围的部分是ldap服务器缺省管理员DN和密码也可以修改为vpn系统特有的，如cn=vpn-manager,dc=vpn-domain,dc=com。打开rootpw前面的屏蔽开关“#”可以选择以明文或密文方式保存管理员密码。该密码也可以修改。
(2)添加用户。Ldap中的用户是以树型目录存储的。可以通过建立各级目录建立复杂的用户存储结构。添加ldap记录有多种方式，推荐使用文件添加方式，即创建“*.ldif”文件，文件内容为要添加的记录。采用这种方式可以批量添加用户。首先建立根目录，即dc=vpb-domain,dc=com。创建root.ldif，内容格式为：
dn: dc=vpn-domain,dc=com
objectClass: dcObject
objectClass: organization
dc:vpn-domain
o:Corporation
description: Corporation
然后采用以下命令ldapadd -x –D “cn=Manager,dc=vpn-domain,dc=com” –w “secret” –f
root.ldif，出现以下字样说明添加成功
添加用户。创建user.ldif，内容为：
dn: cn=usera,dc=vpn-domain,dc=com
objectClass: person
description: usergroup
然后采用以下命令ldapadd -x –D “cn=Manager,dc=vpn-domain,dc=com” –w “secret” –f
user.ldif,出现以下字样说明添加成功。
然后使用ldapsearch
–x –b “dc=vpn-domain,dc=com”命令可以查看ldap服务器中的信息。
上述描述中，利用了ldap一个自有属性description当作我们的用户组属性。在实际应用中视客户需要可以添加自定义用户组属性。
4. LDAP认证验证结果
远程客户“usera@ldap.h3c”登录后，能够看到各类资源，并能够成功访问远程服务器。
当默认为ldap 认证时，直接通过“usera”登录。
4.7.4& AD认证
1. 功能简述
VPN 远程用户通过AD系统进行认证功能。
2. 操作步骤
l在导航栏中选择“域管理-&认证策略管理”，进入认证策略管理页面
l选择“AD认证策略”标签，进入“配置AD认证策略”页面
l配置“AD域名”、“AD服务器地址”，AD服务器地址可以配置多个，不同的AD服务器之间以分号分隔。该配置允许系统在一台AD服务器宕机后可以切换到其他AD服务器上进行认证。
l管理员帐号、管理员密码，管理员账号为AD域中Users目录下的任意有权限查询目录的用户。
l选择用户名格式。
l选中“是否启动认证”。
l配置服务器故障恢复时间。当系统检测到一台AD服务器宕机后，经过故障恢复时间后，系统会重新检测一下该AD服务器是否恢复正常。
图55 AD认证策略配置
3. 服务器配置步骤：
目前一般采用Windows
2000 Server及以上版本的目录服务，其中配置用户组必须已经存在。
(1)管理工具--〉Active Directory 用户和计算机
(2)新建用户
(3)配置用户：“usera”
(4)配置密码：“Mm123456”
(6)配置组：“usergroup”―――域管理员必须配置此用户组
(7)点击“组”属性，选择“成员”标签，选择“添加”
(8)进入“选择用户、联系人、计算机或组”配置窗口
(9)输入用户“usera”，点击“检查名称”，则把用户“usera”加入用户组“usergroup” ，点击“确定”
(10)回到“usergroup
属性”窗口，“成员”标签窗口中，存在用户“usera”
4. AD认证验证结果
远程客户“usera”登录后，能够成功访问各类资源。
当默认为ad 认证时，直接通过“usera”登录。
1. 功能简述
组合认证是一种对上述四种认证方式进行任意组合从而实现对用户进行两次认证的复合认证方式。目前应用场景为：“用户名、密码+短信验证码认证”即用户输入用户名、密码，系统认证成功后会发送一个短信验证码到用户手机并重新输出登录页面，允许用户再次输入短信验证码进行认证登录。
2. 操作步骤
(1)在导航栏选择“域管理-&认证策略管理”，选择“组合认证”进入配置组合认证策略页面；
(2)选中“是否启动认证”，分别配置首次认证策略和二次认证策略，如配置首次认证策略为“本地认证策略”，二次认证策略为“RADIUS认证策略”；
(3)“是否重新输入密码”设置系统在用户第一次认证成功后是否重新输出登录页面从而允许用户重新输入二次认证时的密码。选中则重新输出登录页面，否则系统自动采用第一次认证时的密码作为第二次认证的密码。目前在没有启用自定义页面的情况下，选中此项无效。
(4)分别对两次认证中选择的认证策略进行配置。在本例中需要配置“本地认证策略”和“RADIUS认证策略”。
图56 组合认证策略配置
3. 验证结果
用户分别采用本地认证策略和RADIUS认证策略进行了一次认证。资源授权采用第一次认证的结果。
4.7.6& USB-Key智能卡证书认证方式
1. 功能简述
远程客户通过USB-Key智能卡保存证书，进行登录证书认证。
2. 操作步骤
(1)在导航栏中选择“域管理-&认证策略管理”，进入认证策略管理页面。
(2)选择“本地认证”，进入“配置本地认证策略”页面。
(3)“证书认证策略”须选择为“密码+证书认证”或“证书认证”。
(4)远程用户登录前须保证：客户端PC已经安装智能卡驱动；智能卡中已经导入了合法的客户端证书即该证书为和SSL VPN网关证书为同一CA服务器颁发且有效。
3. USB-Key智能卡证书认证验证结果
远程用户插入USB-Key智能卡，此时智能卡驱动会把Key中的证书导入到IE浏览器中，在建立SSL连接时会提交该客户端证书。需要说明的是，客户端证书中颁发的用户名须和登录用户名保持一致。
4.7.7& 证书序列号与用户名绑定
1. 功能简述
测试证书序列号与用户名绑定功能，此功能保证了证书和用户名的对应性，提供更加安全的访问机制。
2. 操作步骤
(1)在导航栏中选择“用户管理-&本地用户”，进入本地用户页面，创建用户“svpn”。
(2)选择“本地认证策略”，进入“配置本地认证策略”页面，必须选中“密码+证书认证”。
(3)在“配置用户”页面配置“密码”为：123456，“序列号”： ，“状态”为：允许，并把用户加入到某个群组；远程用户“svpn”以“序列号”为 的证书登录，得到结果（1）。
图57 本地用户绑定序列号
(4)在“配置用户”页面修改 “序列号”： ，此序列号为其他证书序列号；远程用户“svpn”仍然以“序列号”为 的证书登录，得到结果（2）。
(5)在“配置用户”页面配置“密码”为：123456，“序列号”： ，“状态”为：禁止；远程用户“svpn”仍然以“序列号”为 的证书登录，得到结果（3）。
3. 证书序列号与用户名绑定验证结果
(1)“svpn”用户登录成功。
(2)“svpn”用户无法登录成功，提示“客户端证书不是用户绑定的合法证书”。
(3)“svpn”用户无法登录成功，域管理员达到控制用户登录目的。
4. 注意事项
l只有在认证策略中管理员启用“密码+证书认证”时生效；
l目前仅支持本地认证；
l绑定证书的用户所能访问资源权限仍然由用户所属的用户组决定；
l此处的“序列号”必须是用户“svpn”访问时应用证书的序列号。
4.8& 安全评估及动态授权配置举例
4.8.1& 安全评估
1. 功能简述
SSL VPN 对主机系统的安全评估。
2. 操作步骤
(1)导航栏中选择“域管理-&安全策略管理”，进入安全策略管理页面，单击&创建&按钮。
(2)在“创建安全策略配置”页面配置“名称”为sec1、“级别”为1及各个检测对象“OS操作系统”、“浏览器”、“防毒软件”、“防火墙”等的检测项内容；此测试项以配置“操作系统”、“浏览器”为例：检查操作系统版本为Windows XP Professional，IE版本为&=6.0。
图58 创建安全策略浏览器项
(3)添加适当描述：“最低级别！”。
(4)在“创建安全策略配置”页面配置“名称”为sec10、“级别”为10及各个检测对象“操作系统”、“浏览器”、“防毒软件”、“防火墙”等的检测项内容；此测试项以配置“操作系统”、“浏览器”为例：检查操作系统版本为Windows XP Professional，IE版本为&=7.0。
图59 创建安全策略操作系统项
(5)添加适当描述：“最高级别！”。
3. 安全评估验证结果
安全策略配置成功。
4. 注意事项
l安全策略配置项级别中的数字越大，表示该安全策略的优先级安全级别越高。
l每个检测类（检测类：安全策略中的不同检测项，如操作系统、浏览器等）中包含多个检测对象，检测对象之间是或的关系，即客户端只要符合一个检测对象的要求，就认为该检测类被符合。如操作系统检测类可以配置两项检测内容，一项为windows XP Professtional；另一项为windows me，那么用户操作系统只要符合其中一项即可通过操作系统检测类。
l检测类之间是与的关系，即每个检测类都满足时，才能认为符合该安全评估策略。
l系统在进行安全策略检查时，会按照安全级别高低顺序检查，只有高级别安全策略检查失败后才会检查低级别安全策略，直至通过或通不过安全策略检查为止。用户最终通过的安全策略负责对用户进行动态授权。
1. 功能简述
SSL VPN 根据对远程主机安全状况的评估，对不同级别用户动态分配不同资源。
2. 测试步骤
(1)在安全评估基础上，即：创建安全策略后，点击“应用”回到安全策略列表页面，分别为不同级别安全策略分配资源。
(2)选中某一策略，点击“配置资源”进入配置界面，此界面包括所有资源：“Web类资源”、“TCP类资源”及“IP类资源”。
(3)sec1安全策略仅分配“Web类资源”，sec10 安全策略分配全部资源。
图60 sec1资源分配Web资源
(4)在导航栏中选择“域管理-&域策略管理”，进入域策略配置页面，选择“启用安全策略”点击“应用”。
图61 启用安全策略检查
3. 动态授权验证结果
l远程客户主机为：“Windows
XP Professional，IE版本为&=6.0”，符合sec1安全策略，仅能访问“Web类资源”；
l远程客户主机为：“Windows
XP Professional，IE版本为&=7.0”，符合Sec10安全策略，能够访问所有资源。
4. 注意事项
l管理员配置时要注意为高级别的安全策略授予较多的访问权限，为低级别的安全策略赋予较少的访问权限；
l客户端登录后先匹配级别高的，如果匹配上则终止；如果匹配不上则匹配级别低的。
4.9& 其他特色功能
4.9.1& 批量导入用户帐户
1. 功能简述
测试批量导入本地用户帐号功能
2. 操作步骤
(1)首先创建批量用户导入文件名为“批量导入.txt”，然后在导航栏中选择“用户管理-&批量导入”，进入帐号批量导入页面；
(2)点击“浏览”查询文本文件“批量导入.txt”，选择该文件后按“导入”。
3. 批量导入本地用户帐号验证结果
l提示“批量配置用户成功”；
l在导航栏中选择“用户管理-&本地用户”，可以查看到文本文件中的所有用户都已经导入成功。
4. 注意事项
l批量导入文件“批量导入.txt”的内容：
user11 123456
user12 123456
user13 123456
user14 123456
l目前只能导入创建用户名和密码，用户名和密码之间使用Table键或空格隔开。
l批量导入不会覆盖本地原有用户。
4.9.2& 个性化设置
1. 功能简述
分为部分定制和完全定制两种。
部分定制：根据用户习惯定制登录页面Logo、欢迎标题、页面标题和服务页面logo、标题等。
完全定制：可以完全定制普通用户的登录界面。
2. 部分定制测试步骤
(1)在导航栏中选择“系统管理-&界面定制-&部分定制”，进入部分个性化定制页面；
(2)配置页面标题，包括登录页面标题、登录页面欢迎标题及服务页面标题”；具体标题说明见下图。
(3)标识图像定制，包括服务页面图像和登录页面图像。通过“浏览”选择图像，点击“更新”即可更新，具体标图像说明见下图。
图62 定制标题及图像说明
3. 部分定制功能验证结果
l操作提示：“配置成功”或“更新成功”。
l打开登录页面查看页面标题、欢迎标题及logo均已经更新。
l远程客户“svpn”登录后。查看“页面标题”，“用户主页标识图像”已经更新。
4. 注意事项
“用户主页标识图像”选择图片大小有限制。
5. 完全定制测试步骤
(1)开发自定义页面。比较通用的自定义页面一般包括htm、js、css以及图片文件中一种或几种。
(2)telnet到设备上，在flash:/domain1目录下创建存放自定义页面的目录www/login，也即存放自定义页面的目录为flash:/domain1/www/login。然后通过tftp或ftp方式把用户的自定义页面文件包括htm、js、css以及图片文件都上传到该目录中。如下图所示（SecBlade
SSL VPN有两种存储介质CF卡和Flash，SecPath SSL VPN只有一种存储介质Flash，本例中均以Flash作为存储介质进行说明）：
图63 上传自定义页面
其中user.htm为自定义登录页面。
(3)管理员用户登录SSL
VPN，在“设备管理-&系统管理-&界面定制-&完全定制”，打开如下图所示页面，并指定自定义页面所在路径及文件名。在本例中自定义页面所在路径为flash:/domain1/www/login（SecBlade SSL VPN由于有两种存储介质，所以在此不能指定Flash，而应该写作/domain1/www/login），页面文件名为user.htm。如下图所示：
图64 SecPath SSL VPN设置自定义页面
(4)保存域配置文件，然后重启域或重启SVPN服务。
6. 完全定制功能验证结果
普通用户登录自定义页面生效。
4.9.3& 控制远程主机登录后访问外网功能
1. 功能简述
测试域管理员控制远程用户登录后，访问VPN同时是否仍能够访问Internet网络。
2. 操作步骤
(1)“IP网络管理-&全局配置”，进入全局配置页面。
(2)配置IP地址池，包括：起始IP：10.5.1.1、结束IP：10.5.1.100、子网掩码：255.255.255.0、网关：10.5.1.1等。
(3)在导航栏中选择“IP网络管理-&主机配置”，进入主机配置页面。配置IP主机资源。配置可访问主机“10.154.2.44/32”。
(4)&“IP网络管理-&全局配置”，选择“只允许访问VPN”，远程用户登录后得到结果（1）。
图65 SecPath SSL VPN配置只允许访问VPN
&&“IP网络管理-&全局配置”，不选择“只允许访问VPN”，远程用户登录后得到结果（2）。
3. 验证结果
(1)远程用户登录后，可以看到虚网卡的默认网关为10.5.1.1，PC的缺省网关为10.5.1.1。此时用户仅能访问SSL VPN，无法访问Internet。
图66 虚网卡配置信息
图67 PC端路由信息
(2)远程用户登录后，虚网卡默认网关为空。查看路由，PC端默认缺省网关为原来的不变，此时用户在访问VPN的同时还可以访问Internet网络。参见。
4.9.4& guest帐户功能
1. 功能简述
测试默认guest帐户功能，此帐户为系统默认给出，远程用户可以用guest进行登录，且无须输入密码，此guest用户可以多个用户同时登录，最多允许登录用户数由管理员在配置guest账号时指定。
2. 操作步骤
(1)管理员身份登录，在导航栏中选择“用户管理-&本地用户”，进入本地用户管理界面，选中“guest”账号然后单击&配置&进入本地用户配置管理界面。
图68 guest用户配置界面
(2)在导航栏中选择“用户管理-&用户组”，进入用户组页面，选择“Guests”组，单击&配置&按钮则配置Guest用户组， 从“资源组列表”中选择资源添加到“添加的资源”，从“用户列表”中选择用户添加到“添加的用户”，这样在Guests组中添加的这些用户拥有了对这些添加的资源的访问权限
图69 guest用户组配置界面
3. 验证结果
(1)“guest”用户登录成功。
图70 guest用户登录成功
(2)10个“guest”用户同时登录成功。
1. 功能简述
用户可以将系统缺省的CA证书替换为用户的证书，并对证书进行管理，从而构建自己的SSL VPN& CA认证系统。
2. 操作步骤
在“域管理员”视图下，导航栏中选择“域管理-& 基本配置 -&证书管理”进入证书管理页面；
(1)首先导入CA证书；在“导入CA证书”项“浏览”选择要导入的CA证书后点击“更新”。
(2)然后导入本域证书，在“导入本域证书”项中，先输入要选择证书的保护密码，再通过“浏览”选择导入的本域证书后点击“更新”。
(3)最后对CRL进行配置；通过“配置CRL的URL”配置发布CRL的地址，在“更新CRL的周期”中配置CRL的获取更新周期，通过勾选“使能CRL检查”来选择是否使能CRL检查；最后点击“应用”按钮提交请求。
(4)配置完成后，单击“重启Web服务”按钮，使得新导入的证书生效（SecBlade SSL
VPN需要在命令行下重启Web服务）。
图71 导入CA、本域证书及CRL配置界面
3. 证书管理功能验证结果
l提示“导入CA证书成功”；
l提示“导入域证书成功”；
l提示“设置CRL参数成功”；
l重新打开SSL VPN首页面，服务器端出示的证书为新导入的本域证书；
4. 注意事项
页面中都对证书格式及注意事项进行了详尽的说明，请严格按页面说明进行操作。
1. 功能简述
企业在构建自己的CA认证系统后，颁发给普通用户的客户端证书实际上可以唯一标识该用户身份。如果能保证该客户端证书不容易被其他人非法使用并且可以有效控制该证书的合法性，那么SSL VPN的登录过程可以简化为用户采用客户端证书来实现认证登录而无需输入用户名和密码。一般的做法是把客户端证书导入到专门的证书存储设备如USBKey中来实现此目的。由于USBKey中的证书无法导出，同时访问USBKey中的证书需要输入PIN码，所以该证书不易外泄，同时通过证书吊销列表机制很容易控制证书的合法性。在本配置中以本地认证为例。
2. 操作步骤
(1)按照的测试步骤导入企业自己的CA及设备证书。
(2)创建本地用户，见。
(3)为新创建的本地用户颁发同一CA系统签发的客户端证书，并把该客户端证书导入到USBKey或IE中。
(4)管理员登录选择“域策略-&认证策略-&本地认证”，认证策略中的证书策略配置为“证书认证”，如下图所示：
图72 配置本地认证策略为证书认证
(5)管理员登录选择“域策略-&基本配置”，选择“是否启用自动登录”，默认认证方式选择为本地认证。
图73 配置域基本配置
3. 验证结果
普通用户在浏览器地址栏输入https://155.1.1.1，浏览器会弹出客户端证书选择对话框，用户选择客户端证书点击&确定&，此时系统自动以证书中的用户名进行登录。
4. 注意事项
(1)客户端证书必须是颁发给登录用户的证书即证书中的颁发给字段的值须和登录用户名保持一致，否则登录失败。
(2)Radius认证策略不支持这种认证登录方式。
1. 功能概述
配置该功能后，普通用户登录后，系统会自动打开管理员预先配置的Web、TCP及IP资源，方便用户操作。对于TCP和IP类资源，系统会自动打开其快捷方式，如果没有配置快捷方式则不会自动打开。
2. 操作步骤
(1)管理员登录，创建普通用户可访问的各类资源。
(2)管理员登录选择“资源管理-&资源组”，选择“autostart”资源组，单击&配置&按钮，进入autostart资源组配置页面，把要自动打开的资源加入到autostart资源组中。在本例中把Web资源添加到资源组中。
图74 配置autostart资源组
(3)把autostart资源组授权给用户，参见。
3. 验证结果
普通用户登录后，系统自动打开Web资源。
1. 功能简述
启用该特性功能后，普通用户在登录SSL VPN后，系统不再返回给用户资源访问页面，而是直接给用户返回待访问的业务页面。同时会保留SSL VPN的一个控制窗口，该控制窗口用来方便用户的退出。
2. 操作步骤
(1)管理员创建要自动登录的业务页面，目前只能针对Web资源。
(2)管理员登录在“资源管理-&资源组管理”中，选择“autohome”资源组并进行配置，把自动登录的资源加入该资源组。
图75 配置autohome资源组
(3)管理员把该资源组授权给普通用户，见。
3. 验证结果
普通用户登录后，返回如下页面。
图76 autohome特性页面
1. 功能简述
配置单点登录资源后，用户登录并点击资源链接，SSL VPN系统会返回给用户已成功登录该应用系统的页面而非用户名、密码输入页面。对于用户需要记忆多套不同应用系统账号密码的情况来说，该功能可以大大减轻用户访问资源的复杂度。
2. 操作步骤
(1)管理员登录，创建Web资源并启用单点登录。通过Http watch或ethreal软件获取登录过程中提交的路径及参数，然后配置到该Web资源相应的输入框中，以登录tech网站为例。
图77 创建通过IP方式访问的单点登录资源
图78 通过http watch抓包获取登录参数
说明：配置项中“是否启用登录请求路径”决定了该资源的访问是采用Web代理方式还是IP接入方式。选择则采用IP接入，否则采用Web代理。
(2)创建相应的IP资源。该步骤在单点登录资源采用IP接入方式时有效。
图79 配置单点登录IP资源
(3)把创建的Web资源和IP资源授权给用户，见4.4.5& 。
3. 功能验证
普通用户“svpn”登录后，当打开“tech_sso”资源时，系统自动以“svpn”为用户名，以登录密码为密码登录tech网站应用系统。
1. 功能概述
该特性允许系统记录SSL VPN的日志，包括管理员的操作日志如创建和删除用户、资源等以及普通用户的访问日志如登录退出、资源访问登录。
2. 操作步骤
(1)在设备命令行下配置日志来源及日志主机。
info-center channel 9 name SVPN
info-center source SVPN channel 9 log
level debugging /*设置info-certer记录svpn日志*/
info-center logbuffer channel 9 size
1024 /*设置logbuffer记录svpn日志*/
info-center loghost 192.168.111.185 /*设置日志主机*/
(2)管理员登录进行各种操作。
(3)普通用户登录访问各种资源。
3. 功能验证
通过“display
logbuffer”或在日志主机上查看能够看到如下形式的日志内容：
%Jun& 5 14:54:44:971 2009 H3C
SVPN/6/SVLOG:
Administrator :
administrator@domain1[0x]
Operation : create local user account
Parameters : user name=user1,
description=test, status=active ,public account=no,
simuuser=0
%May 20 16:25:08:974 2009 PE1
SVPN/6/SVLOG:
User(vpn1@domain1) logoff!
%May 20 16:25:16:767 2009 PE1
SVPN/6/SVLOG:
User(vpn1@domain1) logon from
IP:10.154.6.143
%May 20 16:25:32:496 2009 PE1
SVPN/6/SVLOG:
User(vpn1@domain1) visits
site:http://10.3.1.2/
支持MPLS VPN特性（仅SecPath SSL VPN支持）
1. 功能简述
该特性功能允许SSL
VPN网关设备作为PE，从而支持远程用户通过SSL VPN来接入MPLS VPN。
2. 操作步骤
(1)在命令行进行MPLS相关配置，包括创建VPN实例、配置VPN实例的RD和RT、配置BGP等。这部分配置和传统的MPLS VPN配置是一样，只是没有在接口上绑定VPN实例这一步骤。参考如下配置。
(2)管理员登录，在“资源管理-&IP网络-&全局配置”中创建地址池并绑定相应的VPN实例。
图80 创建地址池并绑定VPN实例
(3)创建对应于不同VPN的资源，参考4.6.3& 3. 。
(4)创建不同的VPN用户。
(5)管理员登录，在“用户管理-&用户组”中创建对应与不同VPN实例的用户组，并把相应的用户和资源加入到该用户组中。由于每一个虚接口都绑定不同的VPN实例，用户组通过绑定虚接口间接地绑定了VPN实例。
图81 创建访问VPN1资源的用户组
3. 验证结果
(1)不同的VPN用户登录能够访问各自MPLS VPN内的资源。
(2)用户通过TCP、Web及IP接入方式访问MPLS VPN资源。
4. 注意事项
(1)SSL VPN支持MPLS VPN只有在V1000版本上支持。
(2)用户登录后属于哪一个VPN是由该用户所属的用户组决定的。用户组的VPN属性是由其绑定的虚接口所属的VPN决定的。
(3)如果用户组绑定的虚接口没有绑定任何VPN，则该用户组中的用户登录后通过公网路由访问资源。
(4)如果用户组不绑定任何虚接口，则属于该用户组的用户登录后，由于无法分配到IP地址会出现启动IP网络服务失败。
(5)同一个用户只能属于一个用户组。
卸载特性（仅SecBlade SSL VPN支持）
1. 功能简述
SSL卸载是指SecBlade SSL VPN为内网的Web服务器提供SSL加解密服务，对外提供安全（SSL加密）访问Web服务器的功能。内网Web服务器只需处理业务，无须耗费CPU进行SSL加解密运算，从而提高服务器的处理能力。
2. 操作步骤
(1)管理员登录，在“设备管理-&工作模式”中配置SSL VPN网关的工作模式为“SSL卸载模式”。
图82 配置SSL VPN网关工作模式
(2)创建SSL卸载资源。超级管理员登录，在“资源管理-&SSL卸载”中配置SSL 卸载策略和创建SSL卸载资源。
图83 配置SSL卸载策略和创建SSL卸载资源
(3)通过路由设置使得客户端PC在访问地址“10.153.1.223”时会路由到SSL VPN网关。
3. 验证结果
普通用户在地址栏输入“https://10.153.1.223”，打开tech网站。
特性（仅SecBlade SSL VPN支持）
1. 功能简述
SecBlade SSL VPN系统通过License来控制系统允许的最大在线用户数。
2. 操作步骤
(1)超级管理员登录，单击导航栏“域管理-&License”进入License管理页面。
(2)通过页面上的“设备序列号”向公司获取相应的License文件，License文件一般以“.lic”为后缀如1000user.lic。
(3)单击“浏览”按钮选择申请到的License文件，单击&应用&。
图84 License管理页面
3. 验证结果
超级管理员在创建域时，可以看到“最大在线用户数”配置项后面的数值已经更新为导入License后的数值。
5& 相关资料
5.1& 相关协议和标准
5.2& 其它相关资料
SSL VPN管理员使用手册》
SSL VPN用户使用手册》
《SecBlade
SSL VPN超级管理员配置手册》
《SecBlade
SSL VPN管理员使用手册》
《SecBlade
SSL VPN用户使用手册》
Copyright &
杭州华三通信技术有限公司 版权所有，保留一切权利。
非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。
本文档中的信息可能变动，恕不另行通知。