SSL VPN在H3C MSR路由器的配置实现

　　SSL VPN从面世以来，就以方便、安全、易维护的优点称雄整个“VPN界”，地球人都知道它的好，但配置起来却不是那么容易。近期有幸接触到用户要求使用H3C的MSR5040路由器来做SSL VPN，其间的过程有苦有甜，今天将其中的心得写出来分享给大家。

　　H3C的MSR路由器使用加密的HTTP协议来管理和配置SSL VPN服务和用户资源，一般需要单独的CA和认证服务器来对数据加密和身份验证。但很多用户可能只是听说这种VPN安全好用，却不会准备专门的服务器来做CA服务器，在实施的过程中会给我们一线人员带来麻烦。幸好新版本的H3C的MSR路由器可以预置本身带密钥的P12方式将配对的CA证书和本地证书加载到设备中，启动时不需要CA服务器即可使用https，其基本配置如下：

　　一、首先使用WIN2000server或WIN2003server申请证书，其中WIN2003可直接生成5年有效期的证书。

　　二、dir查看设备flash大小(务必≥32M)并将证书文件放入设备的FLASH中(以下举例中，实际文件名可能不同)

　　5 -rw- 1258 Mar 16 2009 19:33:40 certnew.cer // CA证书

　　6 -rw- 2324 Mar 16 2009 19:34:01 sslvpn.pfx // 本地证书

　　推荐通过TFTP方式上传到设备(TFTP比较简单，且在实际中发现用FTP方式上传文件到MSR路由器时经常会出现拒绝访问的问题)。

　　三、证书导入

　　首先通过display pki certificate ca domain test和display pki certificate local domain test命令(注：斜体的test是PKI的域名)查看是否已经导入成功，如下:

　　[SWJMSR5040]dis pki certificate local domain test

　　Certificate:

　　Data:

　　Version: 3 (0x2)

　　Serial Number:

　　61195588 00000000 0006

　　…………………………..

　　如果没有上述信息，说明未导入成功，则按照如下步骤导入：

　　1、查看FLASH，发现是不存在test_ca.cer和test_local.cer这两个文件的，则使用以下命令生成(注意CA和本地证书文件名要与实际导入FLASH的文件名一致)：

　　[Test]pki import-certificate ca domain test pem filename certnew.cer

　　[Test] pki import-certificate local domain test p12 filename sslvpn.pfx

　　2、然后按照如下命令导入

　　[Test]pki import-certificate ca domain test pem

　　[Test]pki import-certificate local domain test pem

　　四、配置CA相关参数

　　#

　　pki entity test //建立PKI实体(粗体部分要与申请证书时信息一致)

　　common-name test

　　organization-unit test

　　organization test

　　locality ZhengZhou

　　country CN

　　#

　　pki domain test //建立PKI域

　　certificate request from ca //CA只是本地使用

　　certificate request entity secpath //secpath标明本地CA请求实体，可随便写一个。

　　crl check disable //不与CA即时通信，保证了无CA服务器下可以正常访问证书。

　　#

　　五、申请完CA证书后，即可在设备上配置SSL VPN相关参数。

　　1、配置SSL VPN服务器端的策略

　　#

　　ssl server-policy test

　　pki-domain h3c

　　#

　　2、使能SSL服务：

　　[H3C]ip https ssl-server-policy test

　　[H3C]ip https enable

　　%Apr 17 17:25:16:551 2008 H3C HTTPS/4/Log:Start HTTPS server.

　　使能后出现上面提示，查看tcp端口443打开，即可以使用IE连接。

　　[H3C]dis tcp status

　　*: TCP MD5 Connection

　　TCPCB Local Add:port Foreign Add:port State

　　07aedd24 0.0.0.0:80 0.0.0.0:0 Listening

　　0828e3e4 0.0.0.0:443 0.0.0.0:0 Listening

　　3、配置SSL-VPN的策略

　　#

　　ssl-vpn server-policy test

　　#

　　4、启动SSL-VPN服务

　　[H3C] ssl-vpn enable

　　至此，SSL VPN基本参数配置完毕，可以在IE地址栏输入https://X.X.X.X/svpn/cn/index.htm来配置SSL VPN，开始神奇的SSL VPN之旅了。

　　注：

　　1、 MSR30/50/60系列路由器Basic版不支持SSL VPN，请升级设备版本到最新Standard版，并导入正确的LICENSE。

　　2、 若MSR路由器未配“网络数据加密模块”，其支持的SSL VPN同时在线用户数仅为5个。有加密卡时，也要注意加密卡在每次修改配置后都需保存配置重启后生效!

2016年01月