18-高级SCVPN配置
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
In tra n e t S e rv e r :1 0 .1 .1 .2 e th 0 /0 : 1 0 .1 .1 .0 /2 4
e th 0 /1 : 1 9 2 .1 6 8 .1 .2 1
D N A T 1 9 6 .1 .2 .3 /2 4 IS P 2
Server:10.1.1.2
e t h 0 /0 : 1 0 .1 .1 .0 /2 4
S e r v e r : 1 0 .1 .1 .2
e t h 0 /1 : 1 9 2 .1 6 8 . 1 . 2 /2 4
eth0/1: 202.2.3.1/24 ISP1
eth0/3: 196.1.2.3/24 ISP2
开启客户端最优通道检测功能
SCVPN自动选择最优通道 SCVPN自动选择最优通道
※SCVPN就近行检测配置(前端有DNAT) 对于安全网关有NAT设备的情况,需要指定DNAT钱的公网 IP地址,以便安全网关下发给客户端,最多支持指定4个IP 地址。除以下命令,其他配置与无DNAT环境一致:
hostname(config-tunnel-scvpn)# link-select [server-detect] [A.B.C.D] [httpsport port-number] [A.B.C.D] [https-port port-number] hostname(config-tunnel-scvpn)# link-select 202.2.3.1 https-port 2234 196.1.2.3 https-port 4433
In te rn e t
u s e r1 : 6 4 .2 .3 .1
调试与维护(一)
• Show – – – – – – – – 显示SCVPN实例信息 Show tunnel scvpn[scvpn-instance-name] 显示指定SCVPN实例当前在线的客户端信息: Show scvpn client scvpn-instance-name [user user-name] 显示通过浏览器访问SCVPN的HTTP会话信息: Show scvpn session scvpn-instance-name[user user-name] 显示所有SCVPN实例当前在线的客户端信息: Show auth-user scvpn
开启主机绑定功能
SCVPN>主机绑定>候选列表
如果启用了“主机绑定检查”功能且未开启“用户初次绑定自动批准 ”则所有未绑定过的主机在登陆时会在候选表中建立一个条目,只有 管理员绑定之后,才可以通过该主机登陆。
绑定该主机
SCVPN>主机绑定>绑定列表 位于绑定表里的主机没有登陆,如需删除绑定条目,可以点击删除按钮 删除一条绑定表或者删除某一用户绑定的所有绑定表。
配置基于USB令牌认证的SCVPN 配置基于USB令牌认证的SCVPN
用户>PKI>信任域 点击新建一个信任域,选择为“手动输入”方式,并将服务器根证书 导入安全网关。
SCVPN>SCVPN实例 完成基本SCVPN配置后,并开启“客户端证书认证”,同时指定“客 户端信任域”为上述新建信任域
启用客户端证书认证
议程:高级SCVPN配置 议程:高级SCVPN配置 • 掌握基本的SCVPN配置 配置主机绑定限定登录主机 • • • • 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 Role 配置主机检测动态分配权限 多链路环境实现自动选择最优通道
开启主机绑定功能
VPN>SCVPN>配置>编辑 编辑SCVPN实例,开启“主机绑定检查”,并根据需求选 择是否启用“允许多个主机”、“允许共享主机”或“用 户初次绑定自动批准”
CLI:
• • • • • • • DCFW-1800# show scvpn client scvpn total user number 1 =================================================================== User Name Type State Private IP Public IP Login Time -------------------------------------------------------------------------------zhujya CLIENT UP 172.16.1.12 61.51.191.21 Sun Jul 11 11:04:55 2010 ==================================================================
基于主机检测动态分配权限
SCVPN>主机检测 点击新建创建主机检测Profile并配置检测条目
拨入端系统检测
基于主机检测动态分配权限
SCVPN>SCVPN实例 编辑SCVPN实例并添加主机检测
对何种角色启用主机检测 启用何种主机检测 未通过检测所分配角色 定期更新检测状态
议程:高级SCVPN配置 议程:高级SCVPN配置 • • • • • 掌握基本的SCVPN配置 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 配置主机检测动态分配权限 多链路环境实现自动选择最优通道
家庭办公
Internet
多核墙
公司总部 出差
移动办公
SCVPN基本配置步骤 SCVPN基本配置步骤 • 配置SCVPN,步骤包括:
– 第一步,配置SCVPN地址池 – 第二步,配置SCVPN实例 – 第三步,配置Tunnel接口 – 第四步,配置访问策略
SCVPN基本配置 SCVPN基本配置
※ 地址池配置 SCVPN>地址池:配置分配给客户端的地址池
基于Role实现SCVPN访问控制 基于Role实现SCVPN访问控制
用户>角色 新建角色,以用于策略调用,创建角色映射以来实现用户到 角色的对应。一个认证服务器对应一个角色映射规则。
基于Role实现SCVPN访问控制 基于Role实现SCVPN访问控制
用户>AAA服务器 绑定角色映射规则到AAA服务器
隧道接口名称 绑定3层安全域 选择绑定安全域
与SCVPN地址池同网段ip
绑定SCVPN隧道
SCVPN基本配置 SCVPN基本配置
※ 配置tunnel绑定安全域配置策略 防火墙>策略 新建SCVPN访问策略
SCVPN登陆用户状态查询管理 SCVPN登陆用户状态查询管理
SCVPN>状态 可以查看已登陆用户信息或者强制某用户下线
高级SCVPN配置
讲解人:朱建英 2010、07
章节目标 • 通过完成此章节课程,您将可以:
– 掌握基本的SCVPN配置 – 配置SCVPN主机绑定限制登录主机 – 配置基于USB令牌认证的SCVPN – 结合Role策略实现SCVPN细粒度访问控制 – 配置主机检测动态分配权限 – 多链路环境实现自动选择最优通道
SCVPN自动选择最优通道 SCVPN自动选择最优通道
安全网关多出口链路情况下,支持SCVPN自动选择最优通 道接入功能,该功能能够使不同ISP线路接入的客户端自动 选择最快线路连接到SCVPN设备端,从而提高访问总部资 源时的速度。
In t r a n e t
Intranet eth0/0: 10.1.1.0/24
2 0 2 . 2 . 3 .1 / 2 4 IS P 1 DNAT 1 9 6 . 1 . 2 .3 / 2 4 IS P 2
Internet
In te rn e t
user1: 64.2.3.1
u s e r1 : 6 4 .2 .3 . 1
SCVPN自动选择最优通道 SCVPN自动选择最优通道
THANKS!
调试与维护(二)
• debug – – – – – – Debug scvpn error Debug scvpn event Debug scvpn filter Debug scvpn packet Debug scvpn per-ip Debug scvpn timers
小结 ※ 在本章中讲述了以下内容: ※ 基本的SCVPN配置 ※ 配置SCVPN主机绑定限定登录主机 ※ 配置基于USB令牌认证的SCVPN ※ 结合Role策略实现SCVPN细粒度访问控制 ※ 主机检测机自动链路选择
防火墙>策略 新建SCVPN访问策略,可通过角色实现基于用户的访问控制
议程:高级SCVPN配置 议程:高级SCVPN配置 • • • • 掌握基本的SCVPN配置 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 配置主机检测动态分配权限 • 多链路环境实现自动选择最优通道
删除该绑定
删除该用户所有绑定
开启主机高级配置
SCVPN>主机绑定>高级配置 可以根据需要配置“超级用户”或者设置“共享主机”
设置为超级用户
编辑用户
编辑主机
议程:高级SCVPN配置 议程:高级SCVPN配置 • 掌握基本的SCVPN配置 • 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN • 结合Role策略实现细粒度访问控制 Role • 配置主机检测动态分配权限 • 多链路环境实现自动选择最优通道
高级scvpn配置scvpn主机检测点击新建创建主机检测profile并配置检测条目基于主机检测动态分配权限拨入端系统检测scvpnscvpn实例编辑scvpn实例并添加主机检测基于主机检测动态分配权限对何种角色启用主机检测启用何种主机检测未通过检测所分配角色定期更新检测状态?掌握基本的scvpn配置?配置主机绑定限定登录主机?配置基于usb令牌认证的scvpn?结合role策略实现细粒度访问控制?配置主机检测动态分配权限?多链路环境实现自动选择最优通道议程
议程:高级SCVPN配置 议程:高级SCVPN配置 基本SCVPN配置 • • • • • 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 Role 配置主机检测动态分配权限 多链路环境实现自动选择最优通道
SCVPN概念回顾 SCVPN概念回顾
※ 为解决远程用户安全访问私网数据的问题,神州数码多核 墙提供基于SSL的远程登录解决方案-Secure Connect VPN, 简称SCVPN。
选择客户端信任域
配置基于USB令牌认证的SCVPN 配置基于USB令牌认证的SCVPN
导入客户端证书到USB-Key,安装USR-Key管理工具 “DigitalChinaUKeyAdm.exe”,导入客户端证书
选择客户端证书
议程:高级SCVPN配置 议程:高级SCVPN配置 • 掌握基本的SCVPN配置 • 配置主机绑定限定登录主机 • 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 • 配置主机检测动态分配权限 • 多链路环境实现自动选择最优通道
※SCVPN就近行检测配置(前端无DNAT) 1、绑定SCVPN实例到多个出接口,在SCVPN实例中
2、配置客户端自动检测最优通道功能,在SCVPN实例配置模 式:hostname(config-tunnel-scvpn)# link-select 或配置服务器端自动检测最优通道功能,在SCVPN实例配 置模式: hostname(config-tunnel-scvpn)# link-select server-detect 启用就近性检测, 启用就近性检测,需勾选 客户端软件的“最优通道” 客户端软件的“最优通道”
问题
• 1、SCVPN使用什么协议?默认端口是什么? • 2、SCVPN和传统的基于IPSEC客户端软件方式VPN有什么区 别? • 3、主机绑定功能以哪些信息确定一台主机? • 4、SCVPN实例中主机检测配置的“角色”和“访客角色” 分别代表什么含意? • 5、就近性检测有哪些方式?请描述具体实现方式。
SCVPN基本配置 SCVPN基本配置
※ SCVPN实例配置(WebUI):SCVPN>SCVPN实例
SCVPN实例名称
SCVPN登陆端口 SCVPN绑定接口 SCVPN客户端地址池
通过SCVPN访问网段 SCVPN认证服务器
SCVPN基本配置 SCVPN基本配置
※ Tunnel接口配置: 网络 接口 新建隧道接口 网络>接口
e th 0 /1 : 1 9 2 .1 6 8 .1 .2 1
D N A T 1 9 6 .1 .2 .3 /2 4 IS P 2
Server:10.1.1.2
e t h 0 /0 : 1 0 .1 .1 .0 /2 4
S e r v e r : 1 0 .1 .1 .2
e t h 0 /1 : 1 9 2 .1 6 8 . 1 . 2 /2 4
eth0/1: 202.2.3.1/24 ISP1
eth0/3: 196.1.2.3/24 ISP2
开启客户端最优通道检测功能
SCVPN自动选择最优通道 SCVPN自动选择最优通道
※SCVPN就近行检测配置(前端有DNAT) 对于安全网关有NAT设备的情况,需要指定DNAT钱的公网 IP地址,以便安全网关下发给客户端,最多支持指定4个IP 地址。除以下命令,其他配置与无DNAT环境一致:
hostname(config-tunnel-scvpn)# link-select [server-detect] [A.B.C.D] [httpsport port-number] [A.B.C.D] [https-port port-number] hostname(config-tunnel-scvpn)# link-select 202.2.3.1 https-port 2234 196.1.2.3 https-port 4433
In te rn e t
u s e r1 : 6 4 .2 .3 .1
调试与维护(一)
• Show – – – – – – – – 显示SCVPN实例信息 Show tunnel scvpn[scvpn-instance-name] 显示指定SCVPN实例当前在线的客户端信息: Show scvpn client scvpn-instance-name [user user-name] 显示通过浏览器访问SCVPN的HTTP会话信息: Show scvpn session scvpn-instance-name[user user-name] 显示所有SCVPN实例当前在线的客户端信息: Show auth-user scvpn
开启主机绑定功能
SCVPN>主机绑定>候选列表
如果启用了“主机绑定检查”功能且未开启“用户初次绑定自动批准 ”则所有未绑定过的主机在登陆时会在候选表中建立一个条目,只有 管理员绑定之后,才可以通过该主机登陆。
绑定该主机
SCVPN>主机绑定>绑定列表 位于绑定表里的主机没有登陆,如需删除绑定条目,可以点击删除按钮 删除一条绑定表或者删除某一用户绑定的所有绑定表。
配置基于USB令牌认证的SCVPN 配置基于USB令牌认证的SCVPN
用户>PKI>信任域 点击新建一个信任域,选择为“手动输入”方式,并将服务器根证书 导入安全网关。
SCVPN>SCVPN实例 完成基本SCVPN配置后,并开启“客户端证书认证”,同时指定“客 户端信任域”为上述新建信任域
启用客户端证书认证
议程:高级SCVPN配置 议程:高级SCVPN配置 • 掌握基本的SCVPN配置 配置主机绑定限定登录主机 • • • • 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 Role 配置主机检测动态分配权限 多链路环境实现自动选择最优通道
开启主机绑定功能
VPN>SCVPN>配置>编辑 编辑SCVPN实例,开启“主机绑定检查”,并根据需求选 择是否启用“允许多个主机”、“允许共享主机”或“用 户初次绑定自动批准”
CLI:
• • • • • • • DCFW-1800# show scvpn client scvpn total user number 1 =================================================================== User Name Type State Private IP Public IP Login Time -------------------------------------------------------------------------------zhujya CLIENT UP 172.16.1.12 61.51.191.21 Sun Jul 11 11:04:55 2010 ==================================================================
基于主机检测动态分配权限
SCVPN>主机检测 点击新建创建主机检测Profile并配置检测条目
拨入端系统检测
基于主机检测动态分配权限
SCVPN>SCVPN实例 编辑SCVPN实例并添加主机检测
对何种角色启用主机检测 启用何种主机检测 未通过检测所分配角色 定期更新检测状态
议程:高级SCVPN配置 议程:高级SCVPN配置 • • • • • 掌握基本的SCVPN配置 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 配置主机检测动态分配权限 多链路环境实现自动选择最优通道
家庭办公
Internet
多核墙
公司总部 出差
移动办公
SCVPN基本配置步骤 SCVPN基本配置步骤 • 配置SCVPN,步骤包括:
– 第一步,配置SCVPN地址池 – 第二步,配置SCVPN实例 – 第三步,配置Tunnel接口 – 第四步,配置访问策略
SCVPN基本配置 SCVPN基本配置
※ 地址池配置 SCVPN>地址池:配置分配给客户端的地址池
基于Role实现SCVPN访问控制 基于Role实现SCVPN访问控制
用户>角色 新建角色,以用于策略调用,创建角色映射以来实现用户到 角色的对应。一个认证服务器对应一个角色映射规则。
基于Role实现SCVPN访问控制 基于Role实现SCVPN访问控制
用户>AAA服务器 绑定角色映射规则到AAA服务器
隧道接口名称 绑定3层安全域 选择绑定安全域
与SCVPN地址池同网段ip
绑定SCVPN隧道
SCVPN基本配置 SCVPN基本配置
※ 配置tunnel绑定安全域配置策略 防火墙>策略 新建SCVPN访问策略
SCVPN登陆用户状态查询管理 SCVPN登陆用户状态查询管理
SCVPN>状态 可以查看已登陆用户信息或者强制某用户下线
高级SCVPN配置
讲解人:朱建英 2010、07
章节目标 • 通过完成此章节课程,您将可以:
– 掌握基本的SCVPN配置 – 配置SCVPN主机绑定限制登录主机 – 配置基于USB令牌认证的SCVPN – 结合Role策略实现SCVPN细粒度访问控制 – 配置主机检测动态分配权限 – 多链路环境实现自动选择最优通道
SCVPN自动选择最优通道 SCVPN自动选择最优通道
安全网关多出口链路情况下,支持SCVPN自动选择最优通 道接入功能,该功能能够使不同ISP线路接入的客户端自动 选择最快线路连接到SCVPN设备端,从而提高访问总部资 源时的速度。
In t r a n e t
Intranet eth0/0: 10.1.1.0/24
2 0 2 . 2 . 3 .1 / 2 4 IS P 1 DNAT 1 9 6 . 1 . 2 .3 / 2 4 IS P 2
Internet
In te rn e t
user1: 64.2.3.1
u s e r1 : 6 4 .2 .3 . 1
SCVPN自动选择最优通道 SCVPN自动选择最优通道
THANKS!
调试与维护(二)
• debug – – – – – – Debug scvpn error Debug scvpn event Debug scvpn filter Debug scvpn packet Debug scvpn per-ip Debug scvpn timers
小结 ※ 在本章中讲述了以下内容: ※ 基本的SCVPN配置 ※ 配置SCVPN主机绑定限定登录主机 ※ 配置基于USB令牌认证的SCVPN ※ 结合Role策略实现SCVPN细粒度访问控制 ※ 主机检测机自动链路选择
防火墙>策略 新建SCVPN访问策略,可通过角色实现基于用户的访问控制
议程:高级SCVPN配置 议程:高级SCVPN配置 • • • • 掌握基本的SCVPN配置 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 配置主机检测动态分配权限 • 多链路环境实现自动选择最优通道
删除该绑定
删除该用户所有绑定
开启主机高级配置
SCVPN>主机绑定>高级配置 可以根据需要配置“超级用户”或者设置“共享主机”
设置为超级用户
编辑用户
编辑主机
议程:高级SCVPN配置 议程:高级SCVPN配置 • 掌握基本的SCVPN配置 • 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN • 结合Role策略实现细粒度访问控制 Role • 配置主机检测动态分配权限 • 多链路环境实现自动选择最优通道
高级scvpn配置scvpn主机检测点击新建创建主机检测profile并配置检测条目基于主机检测动态分配权限拨入端系统检测scvpnscvpn实例编辑scvpn实例并添加主机检测基于主机检测动态分配权限对何种角色启用主机检测启用何种主机检测未通过检测所分配角色定期更新检测状态?掌握基本的scvpn配置?配置主机绑定限定登录主机?配置基于usb令牌认证的scvpn?结合role策略实现细粒度访问控制?配置主机检测动态分配权限?多链路环境实现自动选择最优通道议程
议程:高级SCVPN配置 议程:高级SCVPN配置 基本SCVPN配置 • • • • • 配置主机绑定限定登录主机 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 Role 配置主机检测动态分配权限 多链路环境实现自动选择最优通道
SCVPN概念回顾 SCVPN概念回顾
※ 为解决远程用户安全访问私网数据的问题,神州数码多核 墙提供基于SSL的远程登录解决方案-Secure Connect VPN, 简称SCVPN。
选择客户端信任域
配置基于USB令牌认证的SCVPN 配置基于USB令牌认证的SCVPN
导入客户端证书到USB-Key,安装USR-Key管理工具 “DigitalChinaUKeyAdm.exe”,导入客户端证书
选择客户端证书
议程:高级SCVPN配置 议程:高级SCVPN配置 • 掌握基本的SCVPN配置 • 配置主机绑定限定登录主机 • 配置基于USB令牌认证的SCVPN 结合Role策略实现细粒度访问控制 • 配置主机检测动态分配权限 • 多链路环境实现自动选择最优通道
※SCVPN就近行检测配置(前端无DNAT) 1、绑定SCVPN实例到多个出接口,在SCVPN实例中
2、配置客户端自动检测最优通道功能,在SCVPN实例配置模 式:hostname(config-tunnel-scvpn)# link-select 或配置服务器端自动检测最优通道功能,在SCVPN实例配 置模式: hostname(config-tunnel-scvpn)# link-select server-detect 启用就近性检测, 启用就近性检测,需勾选 客户端软件的“最优通道” 客户端软件的“最优通道”
问题
• 1、SCVPN使用什么协议?默认端口是什么? • 2、SCVPN和传统的基于IPSEC客户端软件方式VPN有什么区 别? • 3、主机绑定功能以哪些信息确定一台主机? • 4、SCVPN实例中主机检测配置的“角色”和“访客角色” 分别代表什么含意? • 5、就近性检测有哪些方式?请描述具体实现方式。
SCVPN基本配置 SCVPN基本配置
※ SCVPN实例配置(WebUI):SCVPN>SCVPN实例
SCVPN实例名称
SCVPN登陆端口 SCVPN绑定接口 SCVPN客户端地址池
通过SCVPN访问网段 SCVPN认证服务器
SCVPN基本配置 SCVPN基本配置
※ Tunnel接口配置: 网络 接口 新建隧道接口 网络>接口