华为USG配置SSL-VPNVIP免费

华为USG配置SSLVPN说明：本文将在USG2200平台创建SSLVPN，使用LDAP做认证服务器，做网络扩展。如下1-4点是个人的理解，不认同可跳过。本文使用网页为主要配置手段，CLI辅助，网页配置之后，CLI是可以查看配置信息的。1.前提a)USG接口配置完毕，外部IP可以跟接口公网IP互通；b)SSLVPN连接成功后，USG将作为外部IP的“代理”，所以必须确保所部署的服务器都必须跟USG连通。（WEB代理、端口映射必须跟被代理/映射的服务器连通，网络拓展必须跟被访问的网络互通）。2.VPN类型a)WEB代理/文件共享USG将后端服务以WEB的形式呈现给SSLVPN用户，通俗理解就是转码；b)端口映射USG将后端服务跟SSLVPN互通，除了NAT等必须的转换之外，USG不做其他的内容改变；c)网络拓展USG不是严格意义上的代理，只是用户地址段的直连路由器，用户能访问策略允许的任何内网资源。3.VPN业务流程a)客户端跟USG之间的SSL连接这一步还未涉及到用户信息验证，使用华为的SVN客户端一般都没问题。b)USG将用户通过SSL上传的认证信息做验证（本地、LDAP、RADIUS）建议先做本地的VPNDB认证，成功之后再考虑LDAP、RADIUS认证，有序排错。c)用户访问指定资源这一步主要是涉及用户策略和USG到后台的互联互通问题。4.注意事项a)USG的网页兼容性不好，可能会给配置过程造成困扰；b)IE11、火狐、Chrome均有问题，360浏览器没问题（我是做广告的吗？）。主要是在填写IP地址，搜索外部服务器组的时候。c)网页版的配置，有些在CLI找不到，比如VPNDB，外部服务器组。（能力有限？）d)创建VPN虚拟网关的时候，USG会默认创建AAA组和LDAP/RADIUS组（烦！）e)虚拟网关的认证域是不能指定的，名字必须是网关名字.dom，这个它会自己生成。但是这个域下面的认证配置是可以修改的5.配置LDAP服务器使用微软的WIN2008SERVERR2的AD，创建test.com的域，并在该域下面创建一级OU，名字“公司”；二级OU，名字“测试部”，测试部门下面放的用户是test；二级OU，名字“管理员”，用户admin。所以，使用LDAP浏览器（Xplore，LDAP浏览器）可以看到test的DN是”cn=test,ou=测试部,ou=公司,dc=test,dc=com”；admin的DN是”cn=admin,ou=管理员,ou=公司,dc=test,dc=com”。Admin是用来对用户的信息做认证和同步的，test是VPN用户。6.配置USGa)新建虚拟网关VPNSSLVPN虚拟网关管理，新建；填写网关名字，类型独占，IP地址，域名，最大并发用户数；关于类型是共享或者独占、网关域名究竟是什么用，我没查到相关资料。b)创建完成之后，可以在虚拟网关列表看到当前所拥有的网关列表。USG支持多网关并发，并且互相之间不影响。在创建虚拟网关之后，系统默认自动创建了LDAP，RADIUS，AAA的认证、授权模板。（视需要，我们可以使用自己配置的信息，删除自动生成的配置。）如下图，我们可以配置的内容：i.网络配置（必选），包括DNS信息。这是下发给SSLVPN客户端的；ii.SSL配置（可选），这是配置客户端跟USG协商SSL连接的，建议按最严格配置，视懒惰情况勾选“生命周期无限制”iii.认证授权配置（必选），这是配置SSL连接建立后，USG如何处理客户端抛上来的用户认证信息。建议先用本地认证（VPNDB）做测试，再做成LDAP或者RADIUS。一步到位可能不是好事，特别是在配置不成功需要排错的情况下。iv.策略配置（必选），默认是全部允许的。v.VPNDB配置（可选），这是本地用户信息配置，在上述认证授权配置选择“VPNDB”时候必须配置。vi.外部组配置（可选），这是将认证服务器上面的组信息同步到本地，在上述认证授权配置选择“LDAP“或者”RADIUS“时必选。（有说法是下一代防火墙是可以不配置的，没测试，没发言权）vii.WEB代理、文件共享、端口转发、网络扩展（可选），这是对应USG提供的SSLVPN功能的，视需要开启。本文介绍网络扩展。viii.日志管理、在线监控、虚拟网关维护（可选），这是监控和排错用的。c)通过上述说明，我们需要做的配置包括：网络配置，SSL配置，认证授权配置，策略配置，外部组配置，网络扩展。VPNDB配置不介绍，就是新建用户而已。i.网络配置，填写内网DNS信息即可。用户VPN回来经常要使用内部资源，所以使用内外DNS。ii.SSL配置使用...