版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、高級(jí)SCVPN配置,講解人:朱建英 2010、07,通過(guò)完成此章節(jié)課程,您將可以:掌握基本的SCVPN配置配置SCVPN主機(jī)綁定限制登錄主機(jī)配置基于USB令牌認(rèn)證的SCVPN結(jié)合Role策略實(shí)現(xiàn)SCVPN細(xì)粒度訪問(wèn)控制配置主機(jī)檢測(cè)動(dòng)態(tài)分配權(quán)限多鏈路環(huán)境實(shí)現(xiàn)自動(dòng)選擇最優(yōu)通道,章節(jié)目標(biāo),基本SCVPN配置配置主機(jī)綁定限定登錄主機(jī)配置基于USB令牌認(rèn)證的SCVPN結(jié)合Role策略實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制配置主機(jī)檢
2、測(cè)動(dòng)態(tài)分配權(quán)限多鏈路環(huán)境實(shí)現(xiàn)自動(dòng)選擇最優(yōu)通道,議程:高級(jí)SCVPN配置,※ 為解決遠(yuǎn)程用戶安全訪問(wèn)私網(wǎng)數(shù)據(jù)的問(wèn)題,神州數(shù)碼多核墻提供基于SSL的遠(yuǎn)程登錄解決方案-Secure Connect VPN,簡(jiǎn)稱SCVPN。,SCVPN概念回顧,配置SCVPN,步驟包括:第一步,配置SCVPN地址池第二步,配置SCVPN實(shí)例第三步,配置Tunnel接口第四步,配置訪問(wèn)策略,SCVPN基本配置步驟,※ 地址池配置 SCVPN
3、>地址池:配置分配給客戶端的地址池,SCVPN基本配置,※ SCVPN實(shí)例配置(WebUI):SCVPN>SCVPN實(shí)例,SCVPN基本配置,※ Tunnel接口配置: 網(wǎng)絡(luò)>接口 新建隧道接口,SCVPN基本配置,※ 配置tunnel綁定安全域配置策略 防火墻>策略 新建SCVPN訪問(wèn)策略,SCVPN基本配置,SCVPN>狀態(tài)可以查看已登陸用戶信息或者強(qiáng)制某用戶下線CLI:DC
4、FW-1800# show scvpn client scvpntotal user number 1===================================================================User Name Type State Private IP Public IP Login Time------------------------------
5、--------------------------------------------------zhujya CLIENT UP 172.16.1.12 61.51.191.21 Sun Jul 11 11:04:55 2010==================================================================,SCVPN登陸用戶狀態(tài)查詢管理,,掌握基本
6、的SCVPN配置 配置主機(jī)綁定限定登錄主機(jī)配置基于USB令牌認(rèn)證的SCVPN結(jié)合Role策略實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制配置主機(jī)檢測(cè)動(dòng)態(tài)分配權(quán)限多鏈路環(huán)境實(shí)現(xiàn)自動(dòng)選擇最優(yōu)通道,議程:高級(jí)SCVPN配置,VPN>SCVPN>配置>編輯編輯SCVPN實(shí)例,開(kāi)啟“主機(jī)綁定檢查”,并根據(jù)需求選擇是否啟用“允許多個(gè)主機(jī)”、“允許共享主機(jī)”或“用戶初次綁定自動(dòng)批準(zhǔn)”,開(kāi)啟主機(jī)綁定功能,,SCVPN>主機(jī)綁定>候選
7、列表如果啟用了“主機(jī)綁定檢查”功能且未開(kāi)啟“用戶初次綁定自動(dòng)批準(zhǔn)”,則所有未綁定過(guò)的主機(jī)在登陸時(shí)會(huì)在候選表中建立一個(gè)條目,只有管理員綁定之后,才可以通過(guò)該主機(jī)登陸。SCVPN>主機(jī)綁定>綁定列表位于綁定表里的主機(jī)尅有登陸,如需刪除綁定條目,可以點(diǎn)擊刪除按鈕刪除一條綁定表或者刪除某一用戶綁定的所有綁定表。,開(kāi)啟主機(jī)綁定功能,SCVPN>主機(jī)綁定>高級(jí)配置可以根據(jù)需要配置“超級(jí)用戶”或者設(shè)置“共
8、享主機(jī)”,開(kāi)啟主機(jī)高級(jí)配置,掌握基本的SCVPN配置配置主機(jī)綁定限定登錄主機(jī) 配置基于USB令牌認(rèn)證的SCVPN結(jié)合Role策略實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制配置主機(jī)檢測(cè)動(dòng)態(tài)分配權(quán)限多鏈路環(huán)境實(shí)現(xiàn)自動(dòng)選擇最優(yōu)通道,議程:高級(jí)SCVPN配置,用戶>PKI>信任域點(diǎn)擊新建一個(gè)信任域,選擇為“手動(dòng)輸入”方式,并將服務(wù)器根證書(shū)導(dǎo)入安全網(wǎng)關(guān)。SCVPN>SCVPN實(shí)例完成基本SCVPN配置后,并開(kāi)啟“客戶端證書(shū)認(rèn)證
9、”,同時(shí)指定“客戶端信任域”為上述新建信任域,配置基于USB令牌認(rèn)證的SCVPN,,導(dǎo)入客戶端證書(shū)到USB-Key,安裝USR-Key管理工具“DigitalChinaUKeyAdm.exe”,導(dǎo)入客戶端證書(shū),配置基于USB令牌認(rèn)證的SCVPN,掌握基本的SCVPN配置配置主機(jī)綁定限定登錄主機(jī)配置基于USB令牌認(rèn)證的SCVPN結(jié)合Role策略實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制配置主機(jī)檢測(cè)動(dòng)態(tài)分配權(quán)限多鏈路環(huán)境實(shí)現(xiàn)自動(dòng)選擇最優(yōu)通道,議程:高級(jí)
10、SCVPN配置,用戶>角色新建角色,以用于策略調(diào)用,創(chuàng)建角色映射以來(lái)實(shí)現(xiàn)用戶到角色的對(duì)應(yīng)。一個(gè)認(rèn)證服務(wù)器對(duì)應(yīng)一個(gè)角色映射規(guī)則。,基于Role實(shí)現(xiàn)SCVPN訪問(wèn)控制,用戶>AAA服務(wù)器綁定角色映射規(guī)則到AAA服務(wù)器防火墻>策略新建SCVPN訪問(wèn)策略,可通過(guò)角色實(shí)現(xiàn)基于用戶的訪問(wèn)控制,基于Role實(shí)現(xiàn)SCVPN訪問(wèn)控制,,,掌握基本的SCVPN配置配置主機(jī)綁定限定登錄主機(jī)配置基于USB令牌認(rèn)證的SCVP
11、N結(jié)合Role策略實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制 配置主機(jī)檢測(cè)動(dòng)態(tài)分配權(quán)限多鏈路環(huán)境實(shí)現(xiàn)自動(dòng)選擇最優(yōu)通道,議程:高級(jí)SCVPN配置,SCVPN>主機(jī)檢測(cè)點(diǎn)擊新建創(chuàng)建主機(jī)檢測(cè)Profile并配置檢測(cè)條目,基于主機(jī)檢測(cè)動(dòng)態(tài)分配權(quán)限,SCVPN>SCVPN實(shí)例編輯SCVPN實(shí)例并添加主機(jī)檢測(cè),基于主機(jī)檢測(cè)動(dòng)態(tài)分配權(quán)限,掌握基本的SCVPN配置配置主機(jī)綁定限定登錄主機(jī)配置基于USB令牌認(rèn)證的SCVPN結(jié)合Role策略實(shí)現(xiàn)細(xì)粒度訪
12、問(wèn)控制配置主機(jī)檢測(cè)動(dòng)態(tài)分配權(quán)限多鏈路環(huán)境實(shí)現(xiàn)自動(dòng)選擇最優(yōu)通道,議程:高級(jí)SCVPN配置,安全網(wǎng)關(guān)多出口鏈路情況下,支持SCVPN自動(dòng)選擇最優(yōu)通道接入功能,該功能能夠使不同ISP線路接入的客戶端自動(dòng)選擇最快線路連接到SCVPN設(shè)備端,從而提高訪問(wèn)總部資源時(shí)的速度。,SCVPN自動(dòng)選擇最優(yōu)通道,※SCVPN就近行檢測(cè)配置(前端無(wú)DNAT)1、綁定SCVPN實(shí)例到多個(gè)出接口,在SCVPN實(shí)例中2、配置客戶端自動(dòng)檢測(cè)最優(yōu)通道功能,在
13、SCVPN實(shí)例配置模式:hostname(config-tunnel-scvpn)# link-select 或配置服務(wù)器端自動(dòng)檢測(cè)最優(yōu)通道功能,在SCVPN實(shí)例配置模式: hostname(config-tunnel-scvpn)# link-select server-detect 啟用就近性檢測(cè),需勾選 客戶端軟件的“最優(yōu)通道”,SCVPN自動(dòng)選擇最優(yōu)通道,※SCVPN就近行檢測(cè)配置
14、(前端有DNAT) 對(duì)于安全網(wǎng)關(guān)有NAT設(shè)備的情況,需要指定DNAT錢的公網(wǎng)IP地址,以便安全網(wǎng)關(guān)下發(fā)給客戶端,最多支持指定4個(gè)IP地址。除以下命令,其他配置與無(wú)DNAT環(huán)境一致:hostname(config-tunnel-scvpn)# link-select [server-detect] [A.B.C.D] [https-port port-number] [A.B.C.D] [https-port port-num
15、ber]hostname(config-tunnel-scvpn)# link-select 202.2.3.1 https-port 2234 196.1.2.3 https-port 3367,SCVPN自動(dòng)選擇最優(yōu)通道,調(diào)試與維護(hù)(一),Show顯示SCVPN實(shí)例信息Show tunnel scvpn[scvpn-instance-name]顯示指定SCVPN實(shí)例當(dāng)前在線的客戶端信息:Show scvpn cl
16、ient scvpn-instance-name [user user-name]顯示通過(guò)瀏覽器訪問(wèn)SCVPN的HTTP會(huì)話信息:Show scvpn session scvpn-instance-name[user user-name]顯示所有SCVPN實(shí)例當(dāng)前在線的客戶端信息:Show auth-user scvpn,調(diào)試與維護(hù)(二),debugDebug scvpn errorDebug scvpn eventDe
17、bug scvpn filterDebug scvpn packetDebug scvpn per-ipDebug scvpn timers,小結(jié),※ 在本章中講述了以下內(nèi)容: ※ 基本的SCVPN配置 ※ 配置SCVPN主機(jī)綁定限定登錄主機(jī) ※ 配置基于USB令牌認(rèn)證的SCVPN ※ 結(jié)合Role策略實(shí)現(xiàn)SCVPN細(xì)粒度訪問(wèn)控制 ※ 主機(jī)檢測(cè)機(jī)自動(dòng)鏈路選擇,問(wèn)題,1、SCVPN使用什么協(xié)議?默認(rèn)端口
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
評(píng)論
0/150
提交評(píng)論