2.5 项目2：VPN设备配置

2.5.1 任务1：VPN基本配置方法

1.双机热备部署设备，配置主墙和从墙

为保证VPN设备的单点故障，不影响正常的网络通信，建议分行总部VPN服务器端以双机热备旁路方式部署，其他VPN硬件客户端的部署采用透明网桥方式部署，这样在VPN隧道没有建立（或在极其特殊情况下，隧道无法建立）时，不影响正常的网络通信，最大限度地保证网络数据的不间断传输。

WebUI配置步骤如下。

（1）配置HA心跳口和其他通信接口地址。

HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项，否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。

主墙配置：

① 配置HA心跳口地址。

● 选择“网络管理”→“接口”命令，然后选择“物理接口”页签，单击Eth2接口后的“设置”图标，配置基本信息，如图2-21所示。

单击“确定”按钮保存配置。

● 在“路由模式”下方配置心跳口的IP地址，然后单击“添加”按钮，如图2-22所示。

“ha-static”选项必须勾选，否则运行状态同步时IP地址信息也会被同步。

单击“确定”按钮保存配置。

② 配置Eth1和Eth0接口的IP地址。

配置Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20，具体操作请参见配置HA心跳口地址。

从墙配置：

① 配置HA心跳口地址。

配置从墙HA心跳口地址为10.1.1.2，具体步骤请参见主墙的配置，此处不再赘述。

② 配置Eth1和Eth0接口的IP地址。

配置从墙Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20，具体步骤请参见主墙的配置，此处不再赘述。

（2）设置除心跳口以外的其余通信接口属于VRID2。

主备模式下，只能配置一个VRRP备份组，而且通信接口必须加入到具体的VRID组中，VPN才会根据此接口的up、down状态，来判断本机的工作状态，以进行VRID组内主备状态的切换。

主墙配置：

① 选择“网络管理”→“接口”命令，然后选择“物理接口”页签，在除跳口以外的接口后单击“设置”图标（以Eth0为例）。

② 勾选“高级属性”右侧的复选框，设置该接口属于VRID2，如图2-23所示。

③ 参数设置完成后，单击“确定”按钮保存配置。

从墙具体步骤请参见主墙的配置，此处不再赘述。

（3）指定HA的工作模式及心跳口的本地地址和对端地址。

需要设置HA工作在“双机热备”模式下，并设置当前VPN为主墙或从墙，心跳口的本地及对端IP地址信息、心跳间隔等属性。

主墙配置：

① 选择“高可用性”→“双机热备”命令，选中“双机热备”左侧的单选按钮，配置基本信息，如图2-24所示。

设置本机地址为心跳口Eth2的IP地址（10.1.1.1）。

设置对端地址为从墙心跳口Eth2的IP地址（10.1.1.2），超过两台设备时，必须将“对端地址”设为本地地址所在子网的子网广播地址（最多支持8台对端设备）。

心跳间隔可以使用默认值（1秒），心跳间隔是两个VPN间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的VPN的此参数必须设置一致，否则很可能导致从墙的主从状态的来回切换。

设置热备组为通信接口的VRID2，选择身份为“主机”。

“抢占”模式，是指主墙宕机后，重新恢复正常工作时，是否重新夺回主墙的地位。只有当主墙与从墙相比有明显的性能差异时，才需要配置主墙工作在“抢占”模式，否则当主墙恢复工作时主从墙的再次切换浪费系统资源，没有必要。案例中两台VPN相同，所以主墙不需要配置为“抢占”模式。

② 勾选“高级配置”左侧的复选框，进行高级配置，如图2-25所示。

③ 参数设置完成后，单击“应用”按钮保存配置。

④ 单击“启用”按钮，启动该主备模式，心跳口连接建立。

从墙配置操作和主墙的基本相同，但注意身份为“从属机”，本机地址为10.1.1.2，对端地址为10.1.1.1，不选择“抢占”。

（4）主从VPN的配置同步

在主墙单击“本机同步到对端机”，将主墙的当前配置同步到从墙。

至此，主墙和从墙的双机热备就可以正常使用了。

2.配置总部VPN网关及VPN客户端

为保证分行总部与各支行端以VPN硬件客户端及客户端与总部VPN硬件服务器端建立隧道加密传输数据的方式，使其传输的数据能够具备完整性、防篡改和防抵赖。

WebUI配置步骤如下。

（1）开放总部VPN的Eth0接口的IPSecVPN服务，绑定虚接口。

① 在导航菜单中选择“资源管理”→“区域”命令，设置Eth0所属区域（area_eth0），如图2-26所示。

② 在导航菜单中选择“系统管理”→“配置”命令，选择“开放服务”页签，开放Eth0接口IPSecVPN服务，如图2-27所示。

③ 在导航菜单中选择“虚拟专网”→“虚接口绑定”命令，单击“添加”按钮，将虚接口与物理接口Eth0绑定，如图2-28所示。

（2）开放分支机构VPN的Eth0接口的IPSecVPN服务，绑定虚接口IPSec0。

① 在导航菜单中选择“资源管理”→“区域”命令，设置Eth0所属区域，如图2-29所示。

② 在导航菜单中选择“系统管理”→“配置”命令，选择“开放服务”页签，开放Eth0接口IPSecVPN服务，如图2-30所示。

③ 在导航菜单中选择“虚拟专网”→“虚接口绑定”命令，单击“添加”按钮。将虚拟接口和Eth0口绑定。

（3）在导航菜单中选择“虚拟专网”→“静态隧道”命令，单击“添加隧道”按钮，在FW1上设置VPN静态隧道参数。

① 选择“第一阶段协商”选项卡，设置参数如图2-31所示。

高级配置使用系统默认值。

② 选择“第二阶段协商”选项卡，设置参数如图2-32所示。

高级配置使用系统默认值。

（4）在分支机构VPN登录界面的导航菜单中选择“虚拟专网”→“静态隧道”命令，单击“添加隧道”按钮设置分支机构VPN的静态隧道参数。

① 选择“第一阶段协商”选项卡，设置参数如图2-33所示。

② 选择“第二阶段协商”选项卡，设置参数如图2-34所示。

高级配置使用系统默认值。

总部VPN可以通过选择“虚拟专网”→“静态隧道”命令，查看到协商成功的隧道，如图2-35所示。

分支机构VPN可以通过选择“虚拟专网”→“静态隧道”命令，查看到协商成功的隧道，如图2-36所示。

当“状态”显示为“第二阶段协商成功”，表示隧道成功建立，可以使用。

（5）验证。

总部VPN的静态路由表中会添加到分支机构VPN保护子网（10.10.11.0/24）的路由，如图2-37所示。

分支机构VPN的静态路由表中会添加到FW1保护子网（10.10.10.0/24）的路由，如图2-38所示。

分支机构VPN保护子网中的主机（10.10.11.2/24）可以访问总部VPN子网中的主机（10.10.10.22/24），如图2-39所示。

3.选用加密算法

本教材采用的天融信VPN设备，可以提供多种加密算法，建议根据方案需求情况进行选用，算法管理界面如图2-40所示。

4.其他几点说明

（1）本教材采用的天融信VPN设备，可以支持多种认证方式，建议根据方案需求情况进行选用。

（2）为方便客户端用户远程接入总部办公系统，需部署VRC客户端，具体配置方式见任务3。

（3）可以启用服务器端VPN设备的日志功能，配置日志服务器，对VPN连接等做日志记录，方便事后审计。

（4）项目中涉及的产品具备远程管理与基本的集中管理功能，根据需要，可进一步使用VPN集中管理器，对部署在××地区范围的VPN客户及部署在××银行分行的VPN服务器进行集中管理和维护。

（5）通过部署无线CDMA无线路由、VPN系统，能够满足××银行快速发展的需要，将ATM机方便地部署到全辖区范围的任何有CDMA信号的地方，同时可方便地开展移动银行业务；另外，在部署高可靠性VPN设备后，使通过CDMA网络传输的数据均经过加密、验证，保证所传输数据的机密性、可用性和完整性。

2.5.2 任务2：VPN认证方法

1.远程用户本地认证

WebUI配置步骤如下。

（1）开放总部VPN的Eth0接口的IPSecVPN服务，绑定虚接口。

① 在导航菜单中选择“资源管理”→“区域”命令，设置Eth0所属区域（area_eth0），如图2-41所示。

② 在导航菜单中选择“系统管理”→“配置”命令，选择“开放服务”页签，开放Eth0口IPSecVPN服务，如图2-42所示。

③ 在导航菜单中选择“虚拟专网”→“虚接口绑定”命令，单击“添加”按钮，将虚接口与物理接口Eth0绑定，如图2-43所示。

（2）配置PKI功能。

① 选择“PKI设置”→“本地CA策略”命令，然后选择“根证书”页签。

② 在“客户端证书”界面中单击“获取证书”获取客户端根证书，如图2-44所示。

本例中，使用了本机设备证书作为客户端的根证书，只需选中“以本机设备证书导入”左侧的单选按钮，然后单击“确定”按钮即可。

③ 选择“PKI”→“本地CA策略”命令，激活“签发证书”页签，单击“生成新证书”单选按钮，为VRC用户生成一个新证书，如图2-45所示。

参数设置完成后，单击“确定”按钮即可。

④ 单击“下载”图标，将客户端证书下载到本地，如图2-46所示。

选择证书类型为“PKCS12格式”，输入密码，然后单击“导出证书”按钮，如图2-47所示。

至此，总部VPN服务器端配置完毕，再正确配置VRC客户端即可正常登录。

2.本地证书认证

为了保护SSL VPN网关的安全，管理员一般将VPN的Eth1接口所在的区域设置为“禁止”，然后通过定义访问控制规则，定义允许远程用户对SSL VPN网关上特定端口的访问。

（1）在VPN上添加自定义服务：443和4430（4430为全网接入模块的端口，不开放该端口无法使用全网接入服务），如图2-48所示。

（2）设置自定义服务组，如图2-49所示。

（3）定义访问控制规则，如图2-50所示。

（4）配置主机地址，即SSL VPN网关的真实地址“172.16.1.1”和映射地址“10.10.10.10”，如图2-51所示。

（5）配置目的地址转换（到SSL VPN网关的映射），如图2-52所示。

WebUI配置步骤如下。

3.创建本地根证书

（1）管理员登录管理界面后，选择导航菜单“PKI设置”→“本地CA策略”命令，然后选择“根证书”页签，单击“获取证书”按钮，如图2-53所示。

（2）选中“生成新证书”左侧的单选按钮，然后填写相应项目，如图2-54所示。

（3）单击“确定”按钮，完成根证书创建。

4.启用USBKey端口，并正确设置USB的厂商和PIN码

（1）选择导航菜单“PKI设置”→“USBKey”命令，如图2-55所示。

（2）“USB厂商”用于选择USBKey设备厂商/型号，该选项根据插在安全设备上的不同USBKey进行选择。目前只支持epass1000。

“PIN码”用于输入USBKey的管理员PIN码。

“确认PIN码”用于管理员再次输入USBKey的管理员PIN码。

（3）单击“确定”按钮，完成设置。

5.签发并保存用户证书

（1）选择导航菜单“PKI设置”→“本地CA策略”命令，然后选择“签发证书”页签，单击“生成新证书”按钮。

（2）配置普通职员证书，如图2-56所示。

（3）配置经理证书，如图2-57所示。

两种移动用户证书的区别在于“单位（OU）”项的内容不同。根据该项的区别，SSL VPN网关将在移动用户登录时判断其身份并把用户归入不同的角色中。单击“确定”按钮，完成移动用户证书的创建。

（4）在“签发证书”页面，分别单击“user1”和“manager1”条目后的“下载”图标，如图2-58所示。

（5）选择签发的证书类型，使用USBKey保存的证书必须是“PKCS12”格式，对于使用文件方式颁发的证书，则可以采用PEM或者DER格式。本例中导出普通职员证书和经理证书时均采用“PKCS12”方式，如图2-59所示。参数设置完成后，单击“导出证书”按钮，界面出现“证书点击下载”，在IE弹出操作界面图，单击“保存”按钮后，为证书文件指定保存路径进行保存，以便日后向USBKey导入或直接发放时使用。

（6）对于经理证书“manager1”，需要导入USBKey（epass1000）中。

① 在导入前需要安装USBKey驱动，双击驱动程序“eps1k_full.exe”，依照提示进行安装即可。安装完成后，底部托盘出现“USB Token 1000证书管理工具”的图标。

② 将epass1000插入主机的USB口。

③ 双击证书写入工具“ePassMgr.exe”，进入“USB Token 1000管理工具”界面，激活界面左下方的“验证用户PIN”，然后输入正确的PIN码，如图2-60所示。

单击“登入”按钮，稍后弹出对话框，提示用户成功登入USBKey，单击“确定”按钮后，会出现导入界面。

单击“导入”按钮，然后单击界面中的“…”按钮，找到证书文件导入证书，并输入证书密码。

单击“下一步”按钮，稍后弹出对话框，提示证书导入成功。

6.配置DHCP地址池

（1）选择“网络管理”→“DHCP”命令，然后选择“DHCP服务器”页签，单击“添加DHCP地址池”按钮，添加作用域为“10.10.10.0/24”的DHCP地址池（用于分配给全网接入客户端），如图2-61所示。

参数设置完成后，单击“确定”按钮即可。

（2）将DHCP服务器的“运行接口”设置为“lo”，并单击“运行”按钮启动DHCP服务器进程，如图2-62所示。

7.添加角色

（1）选择导航菜单“用户认证”→“角色管理”DHCP，单击“添加角色”按钮。

（2）添加普通职员角色“clerk”，如图2-63所示。

参数设置完成后，单击“确定”按钮即可。

（3）添加经理角色“manager”，如图2-64所示。

参数设置完成后，单击“确定”按钮即可。

8.配置用户证书映射

（1）选择导航菜单“用户认证”→“证书设置”命令，然后单击证书服务器“cert”条目右侧的“修改”图标，配置后的界面如图2-65所示。

（2）参数设置完成后，单击“确定”按钮即可。

9.配置用户登录界面信息

选择导航菜单“SSL VPN”→“安全性设置”命令，然后选择“基本设置”页签进行配置，如图2-66所示。

参数设置完成后，单击“应用”按钮即可。

10.验证

不同安全级别的用户采用证书认证方式进行认证登录。假设用户“user1”和“manager1”使用同一主机“10.10.10.2”登录，并且该主机已经下载完所有的控件。

（1）用户“user1”采用文件方式证书登录SSL VPN网关（对外IP为10.10.10.10）用户界面。

① 双击用户“user1”的“PKCS12”格式的文件证书，根据提示将客户端证书安装到本机中。

② 在浏览器的URL地址栏输入SSL VPN网关的公网IP，进入用户登录界面。由于管理员已经设定用户只能通过证书认证方式进行登录，所以用户登录界面中只有“证书认证”按钮。

③ 单击“证书认证”按钮，弹出选择证书界面。

④ 选择user1用户证书后，单击“确定”按钮即可成功登录到user1用户界面中。

（2）用户“manager1”采用USBKey证书登录SSL VPN网关（对外IP为10.10.10.10）用户界面。

① 安装epass1000的驱动程序。

② 将装有证书的epass1000插入主机的USB接口。

③ 在浏览器的URL地址栏输入SSL VPN网关的公网IP，进入用户登录界面。因为已经设定用户只能通过证书认证方式进行登录，所以用户登录界面中只有“证书认证”按钮。

④ 单击“证书认证”按钮，弹出选择数字证书界面，如图2-67所示。

⑤ 选择manager1用户证书后，单击“确定”按钮，弹出验证用户PIN码界面，如图2-68所示。

⑥ 输入用户PIN后，单击“登录”按钮即可成功登录到manager1用户界面中。

2.5.3 任务3：客户端初始化配置

WebUI配置步骤如下。

（1）配置地址池，并启动lo接口的DHCP服务。

选择“网络管理”→“DHCP地址池”命令，然后激活“DHCP服务器”页签，单击“添加DHCP地址池”设置VRC用户分配的地址池，如图2-69所示。

参数设置完成后，单击“确定”按钮。需要注意的是，地址池的选择一定不能与内部网段有包含关系，更不能分配与内部网络在同一网段的地址池。

然后，在接口lo上运行DHCP服务，如图2-70所示。

（2）设置认证管理模式为本地管理。

选择“虚拟专网”→“VRC管理”命令，然后激活“基本设置”页签，设置相关内容，如图2-71所示。

（3）设置VRC用户的默认权限。

选择“虚拟专网”→“VRC管理”命令，然后激活“权限对象”页签，单击“权限对象”右侧的“”按钮，如图2-72所示。

参数设置完成后，单击“确定”按钮。

单击“默认权限”右侧的“添加”按钮，将默认权限名称设定为234，如图2-73所示。

选择默认权限名称后，单击“确定”按钮即可。说明：默认权限可以添加一个或多个权限对象。

（4）选择“用户认证”→“用户管理”命令，然后激活“用户管理”页签，单击“添加用户”按钮设置VRC用户，如图2-74所示。

设置用户的权限使用“默认权限”，可以使用自定义权限，但应保证步骤（1）中的“证书权限控制”设定为ON。

（5）选择“虚拟专网”→“VRC管理”命令，然后激活“用户权限”页签，单击VRC用户右侧的“权限设置”图标，配置VRC用户权限，如图2-75所示。

单击“添加”按钮，如图2-76所示。

选择完毕，单击“确定”按钮即可。

（6）在远程VRC客户机上安装并配置VRC远程客户端，客户端主机上会添加一个IPSecVPN虚拟网卡。

打开VPN客户端，单击“新建VPN连接”。网关地址设为VPN Eth2接口的地址（10.10.11.1），连接使用IP，如图2-77所示。认证使用“X509证书认证”，如图2-78所示。

单击“加载证书”按钮加载证书。单击“确定”按钮后，提示“证书加载成功”，导入证书如图2-79所示。

（7）验证。

① 启动VPN客户端，建立隧道。

在“VPN客户端连接管理”窗口中双击新建连接“10.10.11.1”，启动VPN客户端。在连接窗口中输入VRC用户口令，然后单击“连接”按钮，如图2-80所示。

如果隧道协商成功，则“VPN客户端属性”界面如图2-81所示。

在“VPN客户端属性”界面中选中“显示IKE协商进程”左侧的复选框，则客户端桌面弹出如图2-82所示窗口。

② 用ipconfig/all命令查看本地IP配置，如图2-83所示。

③ 选择“网络管理”→“路由”命令，然后激活“静态路由”标签，查看VPN上的路由信息。如图2-84所示的信息，则表示客户端初始化完成，并连接成功。