SSL VPN在H3C MSR路由器的配置实现
SSL VPN从面世以来,就以方便、安全、易维护的优点称雄整个“VPN界”,地球人都知道它的好,但配置起来却不是那么容易。近期有幸接触到用户要求使用H3C的MSR5040路由器来做SSL VPN,其间的过程有苦有甜,今天将其中的心得写出来分享给大家。
H3C的MSR路由器使用加密的HTTP协议来管理和配置SSL VPN服务和用户资源,一般需要单独的CA和认证服务器来对数据加密和身份验证。但很多用户可能只是听说这种VPN安全好用,却不会准备专门的服务器来做CA服务器,在实施的过程中会给我们一线人员带来麻烦。幸好新版本的H3C的MSR路由器可以预置本身带密钥的P12方式将配对的CA证书和本地证书加载到设备中,启动时不需要CA服务器即可使用https,其基本配置如下:
一、首先使用WIN2000server或WIN2003server申请证书,其中WIN2003可直接生成5年有效期的证书。
二、dir查看设备flash大小(务必≥32M)并将证书文件放入设备的FLASH中(以下举例中,实际文件名可能不同)
5 -rw- 1258 Mar 16 2009 19:33:40 certnew.cer // CA证书
6 -rw- 2324 Mar 16 2009 19:34:01 sslvpn.pfx // 本地证书
推荐通过TFTP方式上传到设备(TFTP比较简单,且在实际中发现用FTP方式上传文件到MSR路由器时经常会出现拒绝访问的问题)。
三、证书导入
首先通过display pki certificate ca domain test和display pki certificate local domain test命令(注:斜体的test是PKI的域名)查看是否已经导入成功,如下:
[SWJMSR5040]dis pki certificate local domain test
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
61195588 00000000 0006
…………………………..
如果没有上述信息,说明未导入成功,则按照如下步骤导入:
1、查看FLASH,发现是不存在test_ca.cer和test_local.cer这两个文件的,则使用以下命令生成(注意CA和本地证书文件名要与实际导入FLASH的文件名一致):
[Test]pki import-certificate ca domain test pem filename certnew.cer
[Test] pki import-certificate local domain test p12 filename sslvpn.pfx
2、然后按照如下命令导入
[Test]pki import-certificate ca domain test pem
[Test]pki import-certificate local domain test pem
四、配置CA相关参数
#
pki entity test //建立PKI实体(粗体部分要与申请证书时信息一致)
common-name test
organization-unit test
organization test
locality ZhengZhou
country CN
#
pki domain test //建立PKI域
certificate request from ca //CA只是本地使用
certificate request entity secpath //secpath标明本地CA请求实体,可随便写一个。
crl check disable //不与CA即时通信,保证了无CA服务器下可以正常访问证书。
#
五、申请完CA证书后,即可在设备上配置SSL VPN相关参数。
1、配置SSL VPN服务器端的策略
#
ssl server-policy test
pki-domain h3c
#
2、使能SSL服务:
[H3C]ip https ssl-server-policy test
[H3C]ip https enable
%Apr 17 17:25:16:551 2008 H3C HTTPS/4/Log:Start HTTPS server.
使能后出现上面提示,查看tcp端口443打开,即可以使用IE连接。
[H3C]dis tcp status
*: TCP MD5 Connection
TCPCB Local Add:port Foreign Add:port State
07aedd24 0.0.0.0:80 0.0.0.0:0 Listening
0828e3e4 0.0.0.0:443 0.0.0.0:0 Listening
3、配置SSL-VPN的策略
#
ssl-vpn server-policy test
#
4、启动SSL-VPN服务
[H3C] ssl-vpn enable
至此,SSL VPN基本参数配置完毕,可以在IE地址栏输入https://X.X.X.X/svpn/cn/index.htm来配置SSL VPN,开始神奇的SSL VPN之旅了。
注:
1、 MSR30/50/60系列路由器Basic版不支持SSL VPN,请升级设备版本到最新Standard版,并导入正确的LICENSE。
2、 若MSR路由器未配“网络数据加密模块”,其支持的SSL VPN同时在线用户数仅为5个。有加密卡时,也要注意加密卡在每次修改配置后都需保存配置重启后生效!
2016年01月
本期文章
-
刊首语
-
公司动态
-
行业聚焦
-
产品推荐
-
案例介绍
-
经验共享
-
服务明星
-
培训天地