华为AR-G3系列路由器SSL-VPN交付指南-V11-C

ARG3系列路由器SSLVPN交付指南V1.1_C企业网络技术服务部V1.1Page2SSLVPN前言Page3学习指南南SSLVPN技术原理理SSLVPN交付准备备SSLVPN典型配置置应用SSLVPN故障处理理Page4学习完此此课程，，您将会会：具有ARG3路由器SSLVPN业务典型型场景交交付能力力具有ARG3路由器SSLVPN业务典型型问题故故障处理理能力目标Page5内容介绍绍第1章SSLVPN技术原理理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基础配置置第4章AR中SSLVPN配置-三种业务务应用场场景第5章AR中SSLVPN典型问题题故障处处理Page6第1章SSLVPN技术原理理SSLVPN（SecureSocketsLayerVPN）是以HTTPS为基础的的安全接接入的VPN技术，它它利用SSL协议提供供的数据据加密、、身份验验证和消消息完整整性验证证机制，，为用户户远程访访问公司司内部网网络提供供安全保保障。SSLPKIHTTPS业务模块块构成资源访问问流程Page7SSLVPN远程维护合作伙伴移动办公分支机构WEB服务器数据库Email企业总部加密的内外连接标准的内部连接NFSERP客户VPN网关远程维护护：HTTPS远程维护护，对维维护操作作的数据据加密传传送功能应用用：WEB代理、远远程桌面面/telnet等TCP应用、基基于IP的应用认证方式式：用户接入入企业内内部网络络前先要要进行认认证，支支持Local、RADIUS、TACACS等多种认认证方式式加密方式式：用户访问问企业内内部网络络的数据据需要经经过加密密处理，，支持DES、RC4、AES、RSA、MD5、SHA--1等密码算算法Page8SSL协议概述述安全套接接层SSL（SecureSocketsLayer）协议是是在Internet基础上提提供的一一种保证证私密性性的安全全协议。。它能使使客户端端与服务务器之间间的通信信不被攻攻击者窃窃听，并并且始终终对服务务器进行行认证，，还可选选择对客客户端进进行认证证。SSL协议与应应用层协协议相互互独立，，应用层层协议（（例如：：HTTP，FTP）能透明明的建立立于SSL协议之上上。SSL协议在应应用层协协议通信信之前就就已经完完成加密密算法、、通信密密钥的协协商以及及服务器器认证工工作。在在此之后后应用层层协议所所传送的的数据都都会被加加密，从从而保证证通信的的私密性性。SSL协议结构构和位置置如右图图:SSL协议安全全机制连接的私私密性：：SSL利用对称称加密算算法对传传输数据据进行加加密，并并利用密密钥交换换算法—RSA（RivestShamirandAdleman，非对称称密钥算算法的一一种）加加密传输输对称密密钥算法法中使用用的密钥钥。身份验证证机制：：基于证证书利用用数字签签名方法法对服务务器和客客户端进进行身份份验证，，其中客客户端的的身份验验证是可可选的。。SSL服务器和和客户端端通过公公钥基础础设施PKI（PublicKeyInfrastructure）提供的的机制从从认证机机构CA（CertificateAuthority，）获取取证书。。内容的可可靠性：：消息传传输过程程中使用用基于密密钥的消消息验证证码MAC（MessageAuthenticationCode）来检验验消息的的完整性性。Page9PKI公钥基础础设施PKI（PublicKeyInfrastructure），是一一种遵循循既定标标准的密密钥管理理平台，，它能够够为所有有网络应应用提供供加密和和数字签签名等密密码服务务及所必必需的密密钥和证证书管理理体系应用场景景:VPN//安全电子子邮件/Web安全Web安全：为为了透明明地解决决Web的安全问问题，在在两个实实体进行行通信之之前，先先要建立立SSL连接，以以此实现现对应用用层透明明的安全全通信。。利用PKI技术，SSL协议允许许在浏览览器和服服务器之之间进行行加密通通信。此此外，服服务器端端和浏览览器端通通信时双方可以以通过数数字证书书确认对对方的身份。Page10PKI工作机制制配置PKI的目的就就是为指指定的实实体向CA申请一个个本地证证书，并并由设备备对证书书的有效效性进行行验证数字证书书CA:数字证书书是一个个经认证证机构CA（CertificateAuthority）签名的的，包含含实体公公开密钥钥及相关关身份信信息的文文件，它它建立了了实体身身份信息息与其公公钥的关关联，是是使用PKI系统的用用户建立立安全通通信的信信任基础础。CA对数字证证书的签签名保证证了证书书的合法法性和权权威性。。PKI工作过程程:实体向注注册机构构RA提出证书书申请。。RA审核实体体身份，，将实体体身份信信息和公公开密钥钥以数字字签名的的方式发发送给CA。CA验证数字字签名，，同意实实体的申申请，颁颁发证书书。RA接收CA返回的证证书，通通知实体体证书发发行成功功。实体获取取证书，，利用该该证书可可以与其其它实体体使用加加密、数数字签名名进行安安全通信信。实体希望望撤消自自己的证证书时，，向CA提交申请请。CA批准实体体撤消证证书，并并更新CRL。Page11HTTPSHTTPS将HTTP和SSL结合，通通过SSL对客户端端和服务务器进行行身份验验证，对对传输的的数据进进行加密密，保证证通信的的安全性性。对于支持持Web网管功能能的设备备，开启启HTTP服务后，，设备可可以作为为Web服务器，，允许用用户通过过HTTP协议登录录，并利利用Web页面实现现对设备备的访问问和控制制。但是是HTTP协议本身身不能对对Web服务器的的身份进进行验证证，也不不能保证证数据传传输的私私密性，，无法提提供安全全性保证证。为此此，可在在设备上上部署HTTPS功能，通通过SSL对客户端端和服务务器进行行身份验验证，对对传输的的数据进进行加密密，从而而实现了了对设备备的安全全管理。。在作为HTTP服务器的的设备上上部署SSL策略，并并使能HTTPS服务器功功能后，，用户可可以在终终端通过过浏览器器登录HTTPS服务器，，利用Web页面安全全管理设设备或者者访问设设备所属属网络的的资源Page12业务模块块构成Page13远程终端端SSLVPN网关企业内网网服务器器CA认证服务务器资源访问问流程Page141.终端向AR提出身份份审核申申请2.AR审核身份份，将身身份信息息和公开开密钥以以数字签签名的方方式发送送给CA。3.CA验证数字字签名，，同意终终端实体体的申请请，颁发发证书。。4.AR接收CA返回的证证书，通通知终端端证书发发行成功功。5.终端获取取证书，，利用该该证书可可以与其其它终端端使用加加密、数数字签名名进行安安全通信信。6.终端希望望撤消自自己的证证书时，，向CA提交申请请。CA批准终端端撤消证证书，并并更新CRL。Page15内容介绍绍第1章SSLVPN技术原理理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基础配置置第4章AR中SSLVPN配置-三种业务务应用场场景第5章AR中SSLVPN典型问题题故障处处理Page16第2章AR中SSLVPN的License管理AR的License结构AR各型号支支持的SSLVPNLicense特性License下载和激激活AR的License结构Page17License软件体系系按照业业务类型型可以分分为数据据、语音音和安全全特性，，按照业业务的层层级可以以分为基基础、增增值和进进阶特性性，如下下图。SSLVPN属于安全全增值特特性，购购买安全全增值包包后即具具备SSLVPN功能,此时默认认支持2个用户同同时在线线,如需要更更多用户户同时在在线,需要购买买资源性性SSLVPNLicense.虚拟网关关允许接接入的最最大在线线用户数数目通过过客户购购买License包实现功能型License资源型LicenseAR各型号支支持的SSLVPNLicense特性Page18设备支持持的最大大在线用用户数（具体参考考产品手手册）AR150/200系列：10AR1200系列、AR2201、AR2202、AR2204：50AR2220、AR2220L、AR2240：100AR3200系列：200SSLVPN属于资源源型License，此License功能生效效的前提提是已购购买安全全增值业业务包，，同一个个资源型型License支持多次次选择，，用户可可以任意意组合，，最终获获得的资资源数目目为所有有资源型型License的资源之之和，以以下是AR全系列可可购买的的License包SSLVPNlicense--接入10用户数SSLVPNlicense--接入25用户数SSLVPNlicense--接入100用户数License下载和激激活Page19通过企业业务务FNO系统提供供自助服服务端获取License/flexnet//operationsportalLicense申请指导导可参考考附件：：License下载和激激活Page20选择、购购买License。获取License授权证书书。提取设备备的ESN。查看设备备的ESN，用户需需要登录录设备后后，执行行命令displayesn。使用License激活码方方式或用用户名&密码方式式登录FNO，绑定ESN，生成唯唯一的License文件。下载License文件。用户可以以通过FTP或者移动动存储等等方式将将获取的的License文件上传传至存储储器的默默认根目目录下。。上传License文件到设设备，执执行命令令dirdevice-name，查看是是否有足足够存储储空间存存放License文件，确确保有足足够的存存储空间间后，通通过FTP或者TFTP方式，将将License文件上传传至存储储器的默默认根目目录下，，License文件后缀缀为*.dat文件。激活License文件，执执行命令令licenseactivefile-name，获取相相应授权权检查License状态，使使用displaylicense命令查看看当前系系统中License文件信息息，使用用displaylicensestate命令查看看主控板板License状态Page21内容介绍绍第1章SSLVPN技术原理理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基础配置置第4章AR中SSLVPN配置-三种业务务应用场场景第5章AR中SSLVPN典型问题题故障处处理Page22第3章AR中SSLVPN配置-基础配置置配置流程程图PKI配置HTTPS配置SSLVPN配置准备备创建虚拟拟网关并并绑定内内网接口口和AAA域使能SSLVPN基本功能能配置用户户（本地地/Radius）检查配置置结果Page23配置流程程图PKISSLHTTPSAAA域虚拟网关关内网接口口SSLVPNPKIAR自签名证证书通过CA服务器获获取证书书带外本地地导入证证书手动在线线注册证证书自动注册册证书PKI配置-实体Page24PKI实体一份证书书是一个个公开密密钥与一一个身份份的绑定定，而身身份必须须与一个个特定的的PKI实体相关关联。PKI实体标识识了一个个证书的的申请者者。PKI实体的通通用名称称Common--name与合格域域名FQDN,两者唯一一标识了了一个PKI实体，可可任配其其一，也也可两者者都配。。执行命令令system--view，进入系系统视图图。执行命令令pkientityentity--name，创建PKI实体并进进入PKI实体视图图。执行如下下命令，，配置PKI实体标识识。执行命令令common--namecommon--name，配置PKI实体通用用名。执行命令令fqdnfqdn-name，配置PKI实体合格格域名。。例<Huawei>pkientitysslvpn---------创建PKI实体<Huawei>countryCN<Huawei>statebeijing<Huawei>organizationhuawei<Huawei>organization--unitinfo<Huawei>common--namehello---------设置通用用名PKI配置-本地证书书(通过带外外方式导导入)Page25PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]]caidca__root-----------配置PKI域信任的的CA[Huawei-pki-realm-sslvpn]]entitysslvpn-------------绑定PKI实体[Huawei-pki-realm-sslvpn]]certificate--checknone-------配置验证证证书状状态的检检查方式式{crl|none|ocsp}通过PKCS10生成证书书申请文文本(或申请文文件)[Huawei]pkienroll--certificatesslvpnpkcs10------pkcs10为申请文文本,pkcs10filenamexxx为申请文文件.此时需要要输入两两个密码码:1.出现”Pleaseenterthefilenameofprivatekey<length1-127>>”提示时输输入的密密码为证证书注销销密码;2.出现”Thecurrentpasswordofprivatekeyisrequired,pleaseenteryourpassword<length1-31>””提示时输输入的密密码为后后续倒入入证书时时的密码码,需记住.在CA服务器上上生成证证书文件件,例如server..pem.将CA证书上传传到AR的FLASH中,导入证书书文件(本地导入入)[Huawei]pkiimport--certificatelocalsslvpnpem-----------本地导入入证书文文件,格式为PEMPleaseenterthenameofcertificatefile<<length1--127>:server..pemYouareimportingalocalcertificate,thecurrentprivatekeyisrequired.Pleaseenterthenameofprivatekeyfile<<length1--127>:prikey..pemPleaseenterthetypeofprivatekeyfile(pem,,p12)):pemThecurrentpasswordisrequired,pleaseenteryourpassword<<length1-31>::****（密码为privatekey生成时的的密钥)

PKI配置-手动在线线注册Page26PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]]caidca__root-----------配置PKI域信任的的CA[Huawei-pki-realm-sslvpn]]entitysslvpn-------------绑定PKI实体[Huawei-pki-realm-sslvpn]]enrollment-urlhttp:///10.137.145..158:8080//certsrv/mscep/mscep.dllra---证书服务务器URL[Huawei-pki-realm-sslvpn]]certificate--checknone-------配置验证证证书状状态的检检查方式式{crl|none|ocsp}手工注册册证书[Huawei]pkienroll-certificatesslvpn------手工注册册证书AR在线从CA服务器上上下载证证书,不需要本本地导入入

PKI配置-自动注册册Page27PKI域[Huawei]pkirealmsslvpn[Huawei-pki-realm-sslvpn]]caidca__root-----------配置PKI域信任的的CA[Huawei-pki-realm-sslvpn]]entitysslvpn-------------绑定PKI实体[Huawei-pki-realm-sslvpn]]auto--enroll------------使能实体体证书自自动注册册和更新新功能[Huawei-pki-realm-sslvpn]]enrollment-urlhttp:///10.137.145..158:8080//certsrv/mscep/mscep.dllra---证书服务务器URL[Huawei-pki-realm-sslvpn]]fingerprintsha17A34D94624B1C1BCBF6D763C4A67035D5B578EAF---配置验证证CA证书时使使用的指指纹,自动注册册必配,手动注册册选配{md5|sha1}[Huawei-pki-realm-sslvpn]]certificate--checknone-------配置验证证证书状状态的检检查方式式{crl|none|ocsp}配置证书书自动注注册和更更新功能能后，则则不需要要手工下下载证书书。当有有外部应应用需要要CA证书或者者设备证证书时，，将自动动触发下下载CA证书和本本地证书书

PKI配置-自签名证证书Page28用户通过过PKI设备生成成自签名名证书或或设备本本地证书书，实现现简单的的证书颁颁发功能能,此时不需需要CA证书服务务器.执行命令令system--view，进入系系统视图图。执行命令令pkicreate-certificate[self-signed]{filenamefile-name}，配置自自签名证证书或设设备本地地证书

HTTPS配置Page29创建SSLPOLICY并引用PKI域作为SSL服务器的的Router基于PKI域从认证证机构CA获取数字字证书，，以便SSL客户端可可以根据据数字证证书对Router进行身份份验证.[HUAWEI]sslpolicyuserstypeserver-----------创建SSLPOLICY,,类型为服服务器[HUAWEI-ssl-policy--users]]pki-realmsslvpn---------------绑定PKI域关联SSLPOLICY并使能HTTPS功能利用SSL协议的数数据加密密、身份份验证和和消息完完整性验验证机制制，保证证用户和和设备之之间数据据传输的的安全性性，这样样用户可可以利用用Web页面安全全访问远远程的设设备[HUAWEI]httpsecure-serverssl-policyusers------------HTTPS服务器类类型为SSL[HUAWEI]httpsecure-serverenable-----------使能HTTPS功能

SSLVPN配置准备备Page30组网拓扑扑

允许SSLVPN用户使用用的企业业内网服服务器IP地址和端端口需要实现现桌面共共享或远远程登陆陆的主机机IP地址段（（可选））网络扩展展业务使使用的IP地址段（（可选））配置内外外网接口口IP地址配置AAA域（本地地/Radius/hwtacas）Page31通过虚拟拟网关提提供SSLVPN服务，一一台AR设备可以以配置成成多个虚虚拟网关关；每个虚拟拟网关都都是独立立可管理理的，可可以配置置各自的的资源、、用户、、认证方方式等；；当企业有有多个部部门时，，可以为为每个部部门或者者用户群群体分配配不同的的虚拟网网关，从从而形成成完全隔隔离的访访问体系系。SSLVPN虚拟网关关创建虚拟拟网关并并绑定接接口和AAA域Page32创建虚拟拟网关[HUAWEI]sslvpngatewaymarket---------------创建虚拟拟网关[HUAWEI-sslvpn-market]]intranetinterfaceGigabitEthernet0/0//1-------绑定内网网接口[HUAWEI-sslvpn-market]]binddomaindefault-----------绑定AAA域修改监听听端口号号出于安全全考虑，，一般需需要修改改监听端端口号。。修改前前需要确确保设备备上所有有的SSLVPN虚拟网关关都处于于去使能能状态。。当管理理员修改改SSLVPN业务的端端口号后后，后续续用户登登录SSLVPN网关时，，输入的的URL地址携带带的端口口号必须须为修改改后的端端口号。。[HUAWEI]sslvpnserverport1025--------------默认为443使能SSLVPN功能[HUAWEI-sslvpn-market]]enable-------使能SSLVPN业务配置SSLVPN用户-本地认证证授权Page33本地认证证用户执行命令令system--view，进入系系统视图图。执行命令令aaa，进入AAA视图。执行命令令local-useruser-nameservice-typesslvpn，配置用用户类型型为SSLVPN虚拟网关关用户。。执行命令令local-useruser-namepasswordcipherpassword，配置SSLVPN虚拟网关关用户的的密码。。（可选））执行命命令local-useruser-nameprivilegelevellevel，配置本本地用户户的优先先级执行命令令authentication-schemeauthentication-scheme--name，创建一一个认证证方案，，并进入入认证方方案视图图或直接接进入一一个已存存在的认认证方案案视图。。执行命令令authentication-modelocal，配置认认证模式式为本地地认证。。执行命令令quit，返回AAA视图。执行命令令authorization-schemeauthorization-scheme-name，创建授授权方案案，并进进入授权权方案视视图或直直接进入入一个已已存在的的授权方方案视图图。执行命令令authorization-modelocal[none]配置授权权模式。。执行命令令quit，返回AAA视图。执行命令令domaindomain--name，创建域域并进入入域视图图或进入入一个已已存在的的域视图图。执行命令令authentication-schemeauthentication-scheme--name，配置域域的认证证方案。。执行命令令authorization-schemeauthorization-scheme-name，配置域域的授权权方案。。配置SSLVPN用户-Radius认证授权权Page34Radius认证用户户执行命令令system--view，进入系系统视图图。执行命令令radius--servertemplatetemplate-name，进入RADIUS服务器模模板视图图。执行命令令radius--serverauthenticationip-addressport[[vpn--instancevpn-instance-name]][[source{{loopbackinterface-number||ip-addressip-address}}]]，配置RADIUS主用认证证服务器器。（可选））执行命命令radius--servershared-key[cipher||simple]]key-string，配置RADIUS共享密钥钥。执行命令令quit，返回系系统视图图。执行命令令aaa，进入AAA视图。执行命令令authentication-schemeauthentication-scheme--name，创建一一个认证证方案，，并进入入认证方方案视图图或直接接进入一一个已存存在的认认证方案案视图。。执行命令令authentication-moderadius[[none]，配置认认证模式式为RADIUS认证。执行命令令quit，返回AAA视图。执行命令令domaindomain--name，创建域域并进入入域视图图或进入入一个已已存在的的域视图图。执行命令令authentication-schemeauthentication-scheme--name，配置域域的认证证方案。。执行命令令radius--servertemplate-name，配置域域的RADIUS服务器模模板。Page35配置检查查查看虚拟拟网关users的配置信信息<Huawei>displaysslvpngatewayusersGatewayname::usersStatus::enableIntranetinterface::Ethernet1//0/0IntranetIP::10.1..17..1Domain::defaultMax--user::200Max--onlinetime(minute)):120Web--proxyresources:2Port-forwardingresources:1Ip-forwardingresources::1Totalonlineusers::15查看SSLVPN业务的监监听端口口号<Huawei>displaysslvpnserverportsslvpnserverport::443((default::443)Page36内容介绍绍第1章SSLVPN技术原理理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基础配置置第4章AR中SSLVPN配置-三种业务务应用场场景第5章AR中SSLVPN典型问题题故障处处理Page37第4章AR中SSLVPN配置-三种业务务应用场场景配置WEB代理业务务配置端口口转发业业务配置网络络扩展业业务检查配置置结果Page38管理员先先在VPN网关上设设置好用用户允许许访问的的WEB站点，用用户访问问时先登登陆VPN网关，认认证通过过后网关关将把允允许用户户访问的的站点资资源列表表显示给给用户。。用户点击击内网服服务器链链接（https），VPN网关将该该页面请请求转发发给内部部web服务器（（http），然后后将服务务器的响响应回传传给终端端用户。。Web代理有两两种实现现方式：：Web--tunnel和URL改写。Web--tunnel利用端口口转发原原理实现现，用户户登录VPN网关后，，客户端端自动安安装JAVA插件，显显示给用用户的内内部网站站资源的的URL链接是内内网真实实的URL，例如http:///10..110.1..100。用户点点击该网网站连接接后，JAVA插件会自自动为该该报文增增加一个个目的地地址是VPN网关的外外层隧道道，并通通过HTTPS协议发送送给网关关，网关关还原成成原始的的HTTP请求发送送给内部部WEB服务器。。URL改写方式式用户不不需要JAVA插件，VPN网关显示示给用户户的内部部网站资资源链接接是经过过改写后后的URL，例如上上述服务务器的URL可能会被被改写成成https:///0/sslvpn//dynamic/4/2//0/9/http//10..110.1..100。VPN服务器需需要对内内部服务务器响应应远端用用户的每每个页面面中的URL进行改写写，其它它内容不不变。VPN网关WEB服务器远程用户000WEB代理业务务流程配置WEB代理业务务Page39组网拓扑扑

用户使用用浏览器器以HTTPS方式，通通过SSLVPN网关对内内网Web服务器提提供的资资源进行行访问。。在这个个过程中中，SSLVPN网关利用用Web代理业务务，代理理用户对对内网Web服务器的的访问，，为用户户访问内内网Web服务器提提供了安安全的连连接配置[HUAWEI]sslvpngatewaymarket[HUAWEI-sslvpn-market]]service--typeweb--proxyresourcemarket__web-proxy----------创建Web代理业务务[HUAWEI-sslvpn-market--wp--res-market_web--proxy]]linkhttp:://10.1.1..2:80------web服务器Page40VPN网关TCP3389TCP25TCP21TCP23应用请求应用代理CLIENTSERVERSSLInternet提供对内网TCP应用的安全接入！管理员先先设置好好允许用用户使用用的端口口转发应应用对应应的服务务器IP地址、端端口号；；用户端自自动安装装运行JAVA插件，获获取到端端口转发发资源列列表（目目的服务务器IP、端口））；用户在本本地计算算机上打打开对应应的应用用程序，，插件将将客户端端发起的的TCP报文与资资源列表表进行比比对，当当发现报报文的目目的IP/Port与资源列列表中的的表项匹匹配，则则截获报报文。对该报文文加密封封装，添添加隧道道报文头头，将目目的地址址设为VPN网关的IP地址，发发往VPN网关。VPN网关收到到报文进进行解密密，发往往真实的的目的服服务器端端口。VPN网关收到到服务器器的响应应后，再再加密封封装回传传给用户户终端的的侦听端端口。端口转发发业务流流程配置端口口转发业业务Page41组网拓扑扑

通过端口口转发业业务，用用户可以以访问内内网中基基于TCP的服务，，包括远远程访问问服务（（如Telnet）、桌面面共享服服务、邮邮件服务务等配置[HUAWEI]sslvpngatewaymarket[HUAWEI-sslvpn-market]]service--typeport-forwardingresourcemarket__port-forwarding----------创建端口口转发业业务[HUAWEI-sslvpn-market--pf--res-market__port-forwarding]serverip-address1port3389------可以与企企业内部部主机（（IP地址：10.138..10..21）实现桌桌面共享享,或访问某某应用服服务器网络拓展展业务流流程Page42用户登录录网关后后，在客客户端自自动运行行JAVA插件，安安装虚拟拟网卡，，VPN网关给虚虚拟网卡卡分配一一个可被被内网识识别的IP地址；客户端发发起基于于IP的内网应应用（JAVA插件安装装后会生生成一条条内网的的路由，，指向虚虚拟网卡卡），虚虚拟网关关截获报报文后增增加IP隧道封装装，进行行SSL加密后发发往VPN网关；VPN网关对报报文解密密剥掉IP隧道头后后发往内内网服务务器；内网服务务器的响响应报文文发到VPN网关，由由VPN网关进行行封装加加密，发发往客户户端。^源IP目的IP原始报文54源IP目的IP虚拟网卡封装后0054Client::10..1.1.20虚拟网卡卡:5410.1.1..30Server::192..168.1..5配置网络络扩展业业务Page43组网拓扑扑

网络扩展展业务，，可以使使远程终终端与内内网服务务器在网网络层实实现安全全通信，，比如：：在远处处终端与与内网服服务器之之间实现现文件共共享,配置[HUAWEI]ippoolmarket_pool--------创建网络络扩展业业务使用用的IP地址池[HUAWEI-ip-pool--market_pool]]network10..139.30.0mask24[HUAWEI-ip-pool--market_pool]]gateway--list10.139..30..1[HUAWEI]sslvpngatewaymarket[HUAWEI-sslvpn-market]]service--typeip-forwardingresourcemarket__ip--forwarding-------创建ip转发业务[HUAWEI-sslvpn-market--if--res-market__ip--forwarding]]bindip--poolmarket__pool-------绑定网络络扩展业业务使用用的IP地址池[HUAWEI-sslvpn-market--if--res-market__ip--forwarding]]route-modesplit-------配置网络络扩展业业务使用用的路由由模式为为隧道分分离模式式[HUAWEI-sslvpn-market--if--res-market__ip--forwarding]]route-splitipaddress10..138.10.64mask27---------配置隧道道分离模模式下的的用户路路由,即用户可可以Ping通企业内内网部分分主机（（网段：：10.138..10..64～10.138..10..95）配置检查查Page44业务资源源检查执行命令令displaysslvpngatewaygateway-nameresourceclass{web--proxy|port-forwarding|ip-forwarding}，查看虚虚拟网关关的资源源信息。。WEB代理资源源检查<Huawei>displaysslvpngatewayusersresourceclassweb-proxyThetotalnumberofresourcesis::2-------------------------ResourcenameUrlType-------------------------liyuehttp:///5/web--proxytesthttp:://192..168.1..65//web-proxy-------------------------Page45端口转发发资源检检查<Huawei>displaysslvpngatewayusersresourceclassport--forwardingThetotalnumberofresourcesis::1-------------------------ResourcenameServerPortType-------------------------liyue192..168.1..653389port-forwarding-------------------------网络扩展展资源检检查<Huawei>displaysslvpngatewayusersresourceclassip-forwarding-------------------------Resourcename:liyuePoolname::liyueRoute-mode:fullAcl::3001Type:ip--forwarding-------------------------用户登录录Page46用户登录录终端（比比如PC）打开IE浏览器，，输入网网址“https:///1..1.1.1::1025/market””，即AR外部接口口.进入SSLVPN登录页面面。输入入用户名名和密码码认证成成功后，，用户在在Web访问页面面上查看看可以访访问的资资源列表表，包括括Web服务器资资源、邮邮箱服务务器资源源和共享享桌面主主机资源源，并且且可以Ping通企业内内网部分分主机登登等。登陆页面面

Page47内容介绍绍第1章SSLVPN技术原理理第2章AR中SSLVPN的License管理第3章AR中SSLVPN配置-基础配置置第4章AR中SSLVPN配置-三种业务务应用场场景第5章AR中SSLVPN典型问题题故障处处理Page48第4章AR中SSLVPN典型问题题故障处处理用户无法法登陆SSLVPN网关设备备SSLVPN客户端软软件无法法使用Page49用户无法法登陆SSLVPN网关设备备常见原因因AR上的虚拟网网关的配配置不完完整。用户与AR之间路由有故故障，无无法互相相ping通。远程终端端的浏览览器不是是IE或Firefox、浏览器器的版本本低、浏浏览器不不支持Javascript或者浏览览器没有有启用cookie功能。AR没有加载包含含SSLVPN网页的zip压缩包。。AR上的HTTPS的配置不不完整。。用户输入入的用户户名、密密码不正正确。

Page50用户无法法登陆SSLVPN网关设备备故障处理步骤骤:1.检查虚拟拟网关的的配置是是否完整整如果显示示Web登录页面面，但用用户没有有可选择择的虚拟拟网关，，请执行行displaysslvpngateway[gateway-name]检查虚拟拟网关是是否使能能。2.