Array SPX工程安装配置手册
简介和基本功能配置部分
一、(一)概述 .................................................................................................................. 1
1. 前言.................................................................................................................. 1 2. SSL VPN简介 ................................................................................................. 2 3. SSL VPN 网络拓扑 ........................................................................................ 2 4. Array SPX设备配置概述 ............................................................................... 4 二、(二)SPX 设备基本配置......................................................................................... 5
1. Array SPX的配置管理方式 ........................................................................... 5 2. SPX系列产品外观指示灯介绍 ..................................................................... 5 3. SPX 的几种配置模式 .................................................................................... 6 4. webUI基本介绍 .............................................................................................. 7
1.1 浏览器的版本 ...................................................................................... 7 1.2 登陆webUI的过程 ............................................................................. 7 5. 设备硬件信息、OS版本及License管理 ..................................................... 9 6. SPX设备基本信息配置 ............................................................................... 10
1.3 配置主机名: .................................................................................... 11 1.4 配置端口IP地址: ............................................................................. 11 1.5 配置路由: ........................................................................................ 12 1.6 测试网络联通情况 ............................................................................ 14 1.7 配置域名服务器 ................................................................................ 14 1.8 时区、时间配置 ................................................................................ 15 1.9 保存配置 ............................................................................................ 16 1.10 查看配置 ............................................................................................ 17 1.11 清除配置 ............................................................................................ 18 1.12 导入配置 ............................................................................................ 19 1.13 升级系统版本 .................................................................................... 20 1.14 重新启动设备、系统关机 ................................................................ 21 1.15 更改用户口令和enable口令 .......................................................... 22
(一) 概述
前言
在目前各类VPN产品中,SSL VPN正以它的独特优势占据了市场中的主导位置,Array
1
Networks公司是一家专注于开发SSL VPN的厂商。本文力图简洁明了的介绍Array Networks
公司的SSL VPN产品:SPX系列的主要部署结构,建立SPX的大致流程以及它的基本配置命令。
SSL VPN简介
SSL VPN是采用SSL 技术的一种VPN产品,适用于Client to Site的安全接入方式。SSL
技术是位于TCP之上的协议,具有数字证书身份验证,数据加密等安全手段。在实现VPN访问内部应用时主要采用 Proxy 、Application Translation 、Network Extension 等技术手段实现。
用户通过SSL VPN访问内部应用系统,必须先用HTTPS协议登陆到SSL VPN网关提
供的SSL VPN门户站点,我们称之为Virtual Site,Array 的SPX系列单台设备可以配置多个Virtual Site ,具体数量视license而定。
一般情况下,在数据中心的网络边缘放置SSL VPN网关,如Array Networks SPX 系列
产品。客户端要访问内部应用服务器,必须通过SSL VPN网关,其过程是先用标准浏览器如IE、Netscape等登陆SSL VPN网关,登陆使用的协议是HTTPS,底层是采用了具有加密算法的SSL 协议。登陆SSL VPN是需要经过用户认证、授权、审计的。登陆完成之后,客户端既可以访问内部的各种应用了,无论是B/S还是C/S结构,都能够得到非常好的支持,访问过程中的数据传输都是经过加密处理的,同时是经过SSL VPN授权允许和审计的。
SSL VPN 网络拓扑
SSL VPN网关设备,Array 称之为SPX系列产品,她的位置在数据中心的边缘,具体
来讲一般放置在防火墙后面,入侵检测设备的前面,这样和其他安全产品一起为数据中心提供安全防护。
Array 的SSL VPN网关支持双臂结构和单臂结构。单臂结构一般不改变企业的网络拓
扑结构,只需一个接口接到防火墙或交换机上,具有方便部署的特点。双臂结构,一般是指连接两个接口,如一个连接内网,一个连接外网,双臂结构具有良好的网络吞吐量。
SSL VPN的工作流程是一个Proxy(代理)架构,所以考虑拓扑结构时,要满足两点:
1) 客户端机器要能访问Virtual Site IP地址;2) SPX设备要能够访问内部各个服务器各个应用。若中间有防火墙等过滤设备,一定要打开相应端口。如在客户端和Virtual Site之间的
2
防火墙要打开HTTPS访问,典型如TCP 443端口。SPX和服务器之间的防火墙要对SPX设备的网络接口打开各个应用的端口。
上图是一个典型的双臂结构,outside 端口连接外网路由器或防火墙,端口地址为
10.1.1.1;inside接口连接内部交换机,端口地址为10.1.2.1。在SPX设备上的Virtual Site地址为 10.1.1.2,为内部IP地址,在internet上的客户端要能访问,前面的防火墙或路由器还要做NAT转换,如202.22.2.2 - 10.1.1.2。当然,Virtual Site地址也可以直接配置成公网地址,这时只需客户端到Virtual Site IP的路由可达与HTTPS能够访问即可。
3
上图是典型的单臂结构,SPX设备只需一个接口连接防火墙、路由器或者是交换机。
接口IP为10.1.1.1,Virtual Site 地址为10.1.1.2,需要NAT设备作转换:如202.22.2.2 - 10.1.1.2。当然,Virtual Site地址也可以直接配置成公网地址,这时只需客户端到Virtual Site IP的路由可达与HTTPS能够访问即可。
重复一下,无论是单臂还是双臂,无论多么复杂的拓扑结构,中间有什么样的网络设备,
都需要满足两点:1) 客户端机器要能访问到Virtual Site IP地址;2) SPX设备要能够访问内部各个服务器各个应用。
Array SPX设备配置概述
拿到Array Networks一台新的设备,一般要经过如下几个过程来配置成一台可以工作的
SSL VPN系统。
1. 查看设备的license,如没有license许可,需向总代、Array申请购买新的license。 2. 了解用户的拓扑结构,DNS系统、应用的大概情况,和用户协商SSL VPN拓扑结
构、路由结构、DNS配置、防火墙策略、各个应用通过SSL VPN实现的方式。 3. 对SPX设备进行基本配置,包括License输入、接口IP地址配置、路由配置、时
间配置、DNS配置。
4. Virtual Site 建立:建立Virtual Site、SSL 数字证书配置。 5. Virtual Site 认证方法配置,如配置LocalDB、Radius、LDAP等。 6. Virtual Site 各个应用模块的配置,如WRM、ClientApp、L3VPN。 7. Virtual Site 用户访问策略配置,各个用户或组的访问权限设定。 8. 管理配置,如SNMP、Log、配置文件管理等。
4
相关推荐:
loading