一、组网需求

1. SSLVPN服务器需要至少一个公网IP地址，接入移动终端、接入PC可以通过广域网访问到SSLVPN服务器。

2. 一台带SSLVPN功能的NBR-E

3. 路由器或三层交换机进行总部内网搭建

4. 使用Radius进行身份认证的话，至少需要一台Radius服务器。

5. 如果存在域名资源，至少需要一台DNS域名解析服务器。

 

二、组网拓扑

 

三、配置要点

1. 客户端网段与已有的总部内局域网不允许叠加冲突。

2. 若使用本地认证方式，建议先创建或导入好NBR-E的用户组织关系，这样在SSLVPN向导就可以直接为用户授权。

 

四、配置步骤

1. 从网络配置 --> SSLVPN配置 --> 开始配置，进入基本配置页面

2. 选择典型应用场景

 

3. 基本设置：输入SSLVPN服务器监听的端口号（默认是443）、解析SSLVPN域名资源的DNS地址，并选择用户是使用本地认证还是外部服务器认证

 

4. 添加资源：

    a) 这里需要填写客户端拨SSLVPN后获取的隧道IP地址段（不能与本机其他接口IP段及其它公司网段冲突）。

    b) 选择客户端PC是优先使用SSLVPN提供的DNS服务器还是自身本地的DNS服务器。如果选择内网DNS优先，即优先使用SSLVPN下发的DNS地址作为主DNS，如上图配置的DNS 8.8.8.8，本机配置的DNS地址作为备DNS；选择客户端DNS优先则相反。其中，授予“所有网络”隧道资源的用户直接使用内网DNS。

    c) 添加资源：可添加隧道资源和WEB资源（也可在初始配置结束后再添加）；向导默认创建“所有网络”与“局域网”隧道资源。其中“局域网”资源默认为10.0.0.0/8；172.16.0.0/12；192.168.0.0/16

 

 

5. 为用户授权

   为用户或用户组进行授权，即授权给这些用户或用户组允许访问哪些隧道资源或WEB资源

 

6. 完成配置

通过以上步骤，完成最基本的SSLVPN配置。

 

向导结束后，管理员仍可进行更细化的配置，配置细节可参考功能原理

查看运行状态

运行状态页面中可以看到在线用户、锁定用户账号和锁定IP地址。

锁定用户即连续输入同个账户的密码错误5次(默认，可修改)后，该账号会暂时被锁定5分钟（默认，可修改）。

锁定IP即该IP连续登录账户错误64次（默认，可修改）后，该ip被锁定5分钟（默认，可修改）。

基本配置

 

隧道资源管理

 

WEB资源管理

开启URL改写：默认勾选，此时使用web代理的方式访问web资源，可供PC客户端和移动终端访问,若不勾选，则可配合隧道接入访问，隧道需下发web资源对应的网络路由，此时web资源仅在用户资源页面提供类似书签的功能（即用户不用在浏览器输入web应用的访问地址）；改原理就是例如主机需要访问www.ruijie.net Web资源，SSLVPN客户端浏览器改写后发送的请求是https://fzyfvpn.ruijie.com.cn:1443/rjweb/0/1025/http/80/www.ruijie.net/，通过NBR-E设备去访问这个网站，再由NBR-E把网站的反馈信息发送SSLVPN客户端浏览器；

 

用户授权管理

 

6.usbkey认证（可选），用户购买了usbkey才需要关注此步；

1)、在基本配置---SSLVPN配置高级设置，启用USBKey认证

2)、点击“USBKey导入控件和驱动安装包下载”根据提示说明下载UBSkey导入控件和驱动并电脑安装；

3)、点击创建USBkey,并把USBkey插入电脑；

4)、选择需要创建证书的用户，在有多个用户时，可以同时选中多个用户为其批次生成USBkey;

5)、根据实际情况修改信息和pin码，默认pin码为1234

6)、点开始创建后及把证书写入到了usbkey,如果多个用户时当创建完成一个USBkey后，再插入第二个继续创建；

注意：批量创建时建议首选准备好用标签，根据导入用户贴上标签，以便于后续usbkey的分发；

7)、使用usbkey登陆，支持用户从IE浏览器和桌面客户端使用USBKEY认证登陆SSLVPN网关；

 

 

五、配置验证

1.用户WEB访问

进入资源

 

使用IE第一次访问SSLVPN服务时，要求安装IE控件

自动安装隧道接入客户端，安装好客户端后图标如下

后续用户可以通过桌面客户端快捷键进行访问

 

PC隧道接入前的路由

PC隧道接入后的路由

路由变化：

    添加一条SSLVPN服务器的主机路由。

    添加虚拟网卡并设置DNS地址，添加四条路由8.8.8.8；10.200.10.0 10.200.10.2 10.200.10.255，其中8.8.8.8为自动推送的内网DNS。

    添加隧道资源路由。

 

2.移动终端访问：分两种情况

1）手机浏览器访问（只能访问WEB资源）,例如使用系统自带的WEB浏览器或UC浏览器访问

a. 浏览器输入https://6.0.0.1:6000进行访问，如出现安全警告则选择仍然继续

       

 

b. 身份认证，进入主页

           

 

  c. 进行资源访问

    

 

2）安装移动终端程序访问

    a) 安装程序

        方法一：IPAD、Iphone可以通过苹果的APP Store进行下载，搜索关键字是：VPNconnect

        方法二：SSLVPN登录页面下载：

           用户使用PC的WEB浏览器访问SSLVPN的登录页面，进行扫一扫安装

       

       

        根据目标操作系统选择安装包图片，扫一扫即可下载安装。

 

方法三：移动终端直接通过WEB浏览器访问SSLVPN的登录页面，单击“移动客户端下载”链接，进行下载页面，类似上图，根据目的操作系统选择，扫一扫或者点击下载，即可以下载安装。

   

    2）使用移动终端访问

       

在移动终端桌面或应用程序抽屉单击程序启动

1. 输入https://6.0.0.1:6000

2. 用于身份认证的用户名。

3. 用于身份认证的密码。

4. 记住密码：减少用户输入密码的操作。

5. 自动登录：程序启动后可直接运行程序并以保存的用户密码进行登录。

6. 单击用户登录按钮触发登录。

7. 保存的历史登录数据：单击展开成功登录过的登录数据。

 

3)、 移动终端远程桌面使用

单击远程桌面图标可进入远程桌面列表，该列表将显示保存过的远程主机信息。单击‘新建远程主机’进入远程连接设置界面，关键输入以下几点信息

1. 连接标题：对当前远程连接设置取个名称，例如 MyComputer；

2. 连接地址：远程主机的IP地址；

3. 连接端口：远程主机的远程访问监听端口，默认为3389；

4. 登录信息：输入远程桌面登录时的用户名及密码；

5. 按系统返回键，程序提示是否保存；保存后，即可在远程连接列表中单击进行连接；