发布时间 : 2024/4/29 20:50:17 星期一 文章构建安全VPN网络 - SCVPN配置更新完毕开始阅读feb155fbbb68a98270fefa3a

构建安全VPN网络——SCVPN配置

应用场景：

为解决远程用户安全访问私网数据的问题，Hillstone安全网关提供基于SSL 的远程登录解决方案——Secure Connect VPN，简称为SCVPN。SCVPN 功能可以通过简单易用的方法实现信息的远程连通。

SCVPN配置实例：

IP:10.88.1.249/24PCUntrust zone Eth0/4:10.88.1.250/24Eth0/0:192.168.100.1/24SA Series FirewallFTP serverIP:192.168.100.2/24SCVPN 实例拓扑图Trust zone

配置说明：

该实例通过使用一台SA系列的Hillstone安全网关的SCVPN功能，搭建了一个SCVPN，从而实现了外网用户（Untrust zone 中的PC）访问公司内部的资源（trust zone中FTP server）。

安全网关的SCVPN 功能配置包括以下各部分：

? 安全网关网络接口基本配置 ? 配置SCVPN地址池 ? SCVPN实例配置

? 创建隧道接口并和SCVPN实例进行绑定 ? 配置安全域访问策略 ? 创建本地用户 ? 验证和测试

CLI配置：

1、安全网关网络接口基本配置。

SA-2001(config)#interface ethernet0/0 SA-2001(config-if-eth0/0)#zone trust

SA-2001(config-if-eth0/0)#ip address 192.168.100.1/24 SA-2001(config-if-eth0/0)#exit

SA-2001(config)#interface ethernet0/4 SA-2001(config-if)#zone untrust

SA-2001(config-if-eth0/4)#ip address 10.88.1.250/24 SA-2001(config-if-eth0/4)#exit

2、配置SCVPN地址池，包括DNS。

SA-2001(config)#scvpn pool pool1

SA-2001(config-pool-scvpn)#address 10.10.10.2 10.10.10.254 netmask 255.255.255.0

SA-2001(config-pool-scvpn)#dns 10.188.7.10 61.177.7.1

3、SCVPN实例配置，创建SCVPN实例test并且指定地址池，AAA-server服务器，接口和相应的https端口，最后添加隧道路由。

SA-2001(config)#tunnel scvpn test SA-2001(config-tunnel-scvpn)#pool pool1 SA-2001(config-tunnel-scvpn)#aaa-server local SA-2001(config-tunnel-scvpn)#interface ethernet0/4 SA-2001(config-tunnel-scvpn)#https-port 4433

SA-2001(config-tunnel-scvpn)#split-tunnel-route 192.168.100.0/24 SA-2001(config-tunnel-scvpn)#exit

4、创建隧道接口并把SCVPN实例绑定到此接口（隧道接口的IP 地址必须与SCVPN 地址池的IP 地址在同一网段）：

SA-2001(config)#zone VPN SA-2001(config-zone-VPN)#exit SA-2001(config)#interface tunnel1 SA-2001(config-if-tun1)#zone VPN

SA-2001(config-if-tun1)#ip address 10.10.10.1/24 SA-2001(config-if-tun1)#tunnel scvpntest SA-2001(config-if-tun1)#exit

5、配置从VPN 安全域到trust 安全域的策略：

SA-2001(config)#policy-global

SA-2001(config-policy)#exit rule from any to any service any permit

6、创建本地用户，用于验证vpn访问：

SA-2001(config)#aaa-server local SA-2001(config-aaa-server)#user bblu SA-2001(config-user)#password hillstone SA-2001(config-user)#exit

7、在PC的浏览器中输入https://10.88.1.250:4433，在弹出的登录页面输入用户名

“bblu”密码“hillstone”，通过Web认证方式成功后，PC便可通过SCVPN 安全访问trust 安全域中192.168.100.0/24网段的资源（PC也可以通过下载客户端来进行访问）。

配置要点：

1、 在配置SCVPN实例中，不要忘记指定AAA-server和配置隧道路由。 2、 创建隧道接口后不要忘记绑定相应的SCVPN实例。