SANGFOR_SSL_v6.8_2015年度渠道高级认证培训12_特殊需求配置指导培训

SSLVPN特殊需求配置指导培训,客户端去除警告框提示配置指导,深信服公司简介,通过SSL接入访问IPSECVPN对端服务,SANGFORSSL,客户端去除警告框提示配置指导,客户端去除警告框提示配置指导,介绍：SSL客户端使用IE登录时，会弹出安全警报框，影响客户端的登录。文档主要介绍针对客户端为IE8.0的情况下，去除安全警报的操作。,一、客户端使用IE8.0的操作方法：现象：客户端登录SSLVPN弹出安全警报框：,1.“该安全证书由您没有选定信任的公司颁发，可以查看证书以便确定您是否信任该验证机构”标记为“感叹号”：根证书在本地电脑没有正确安装导致。,2.“安全证书到期”标记为“感叹号”：客户端电脑时间不在服务器证书有效时间内。,3.“安全证书名称无效”标记为“感叹号”：SSL设备下发的服务器证书中的域名与客户端电脑实际访问的不一致。,为什么会出现这个警告呢？,客户端去除警告框提示配置指导,二、去除“安全警报”框步骤：1.登录SSL设备控制台-SSLVPN设置-认证配置-证书与USB-KEY认证-设置,点击更新证书，选择内置CA-修改，点击下一步,勾选同时更新设备证书，选择第一项，点击下一步,注意：此处生成的证书为设备下发的客户端证书。“颁发给”一定要填上登录SSLVPN客户端的固定IP或者域名。,点击立即生效，重启SSLVPN服务。,客户端去除警告框提示配置指导,2.登录SSL客户端，点击继续浏览此网站-证书错误-查看证书,点击“证书路径”，选择根证书，点击“查看证书”。此处“SUPPORT”就是SSL根证书,点击“安装证书”，按照提示，把证书安装上,客户端去除警告框提示配置指导,点击“安装证书”，按照提示，把证书安装上,注意：要保证电脑的时间要在证书的有效起始日期内。,安装完后，结果如左图：,客户端去除警告框提示配置指导,三、效果展示：,在IE工具中查看受信任的根证书安装情况,做完以上步骤，重启IE重新登录SSLVPN客户端就不会弹出“安全警报”框了。,通过SSL接入访问IPSECVPN对端服务,通过SSL接入访问IPSECVPN对端服务,一、需求背景,分支和总部建立IPSECVPN，分支SSL移动用户接入SSL后，需要访问总部的服务器，根据客户需求构建拓扑如下：,部署方案：1、总部与各个分支通过深信服IPSECVPN组成VPN网络。2、各地均选用SSLVPN设备，以实现安全便捷的接入。3、各地SSL接入后，再通过IPSECVPN访问总部服务。,通过SSL接入访问IPSECVPN对端服务,二、配置思路,步骤二：分支SSL添加总部服务器资源，资源类型任意。,步骤一：分支和总部建立IPSECVPN连接。,步骤三：移动SSL用户接入SSLVPN后，访问总部服务器资源，总部需要注意回包路由，保证服务器的回包能正常回到总部设备上。,注：步骤一和步骤二配置比较简单，此处不讲，本PPT主要讲步骤三的配置。,通过SSL接入访问IPSECVPN对端服务,三、步骤三配置指导,SSL资源服务模式有两种，如下图,数据包从SSL隧道进入IPSEC隧道之后的源IP地址是IPSECVPN的虚拟网卡接口IP,数据包从SSL隧道进入IPSEC隧道后的源IP地址是SSL虚拟IP池地址,所以数据包到达总部服务器的源IP也对应不同，服务器的回包目的IP也相应不同，分为下面两种情况：,通过SSL接入访问IPSECVPN对端服务,SSL资源服务模式,使用设备的IP地址作为源地址,使用分配的虚拟IP地址作为源地址,源IP地址是IPSEC虚拟网卡接口IP,源IP地址是SSL虚拟IP池地址,网关模式,单臂模式,网关模式,单臂模式,三、步骤三配置指导,此时服务器的回包一般经过总部设备，可以正常访问,总部内网需要添加到分支设备IPSEC虚拟网卡接口IP的回包路由,此时服务器的回包一般经过总部设备，可以正常访问,方法1:总部内网添加到分支SSL设备虚拟IP池网段的回包路由方法2:总部设备LAN口做SNAT将源IP转化成总部LAN口地址,总部部署模式,通过SSL接入访问IPSECVPN对端服务,步骤三如果是上述这种情况，通过上面的配置，服务器的回包到达总部设备，此时总部设备并没有分支SSL虚拟池网段的路由，需要添加到SSL虚拟池网2.0.1.0/24的路由，解决方法：方法1:总部设备添加隧道间路由，目标2.0.1.0/24，下一跳为分支设备的VPN账号。方法2:本地子网，将SSL虚拟池网段2.0.1.0/24添到加到分支设备的IPSEC本地子网,至此，即可实现通过SSL接入分支SSL设备，访问IPSECVPN总部的服务器。,三、步骤三配置指导,使用分配的虚拟IP地址作为源地址,源IP地址是SSL虚拟IP池地址,单臂模式,方法1:总部内网添加到分支SSL设备虚拟IP池网段的回包路由方法2:总部设备LAN口做SNAT将源IP转化成总部LAN口地址,通过SSL接入访问