18-高級scvpn配置_第1頁
已閱讀1頁,還剩31頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、高級SCVPN配置,講解人:朱建英 2010、07,通過完成此章節(jié)課程,您將可以:掌握基本的SCVPN配置配置SCVPN主機綁定限制登錄主機配置基于USB令牌認(rèn)證的SCVPN結(jié)合Role策略實現(xiàn)SCVPN細(xì)粒度訪問控制配置主機檢測動態(tài)分配權(quán)限多鏈路環(huán)境實現(xiàn)自動選擇最優(yōu)通道,章節(jié)目標(biāo),基本SCVPN配置配置主機綁定限定登錄主機配置基于USB令牌認(rèn)證的SCVPN結(jié)合Role策略實現(xiàn)細(xì)粒度訪問控制配置主機檢

2、測動態(tài)分配權(quán)限多鏈路環(huán)境實現(xiàn)自動選擇最優(yōu)通道,議程:高級SCVPN配置,※ 為解決遠(yuǎn)程用戶安全訪問私網(wǎng)數(shù)據(jù)的問題,神州數(shù)碼多核墻提供基于SSL的遠(yuǎn)程登錄解決方案-Secure Connect VPN,簡稱SCVPN。,SCVPN概念回顧,配置SCVPN,步驟包括:第一步,配置SCVPN地址池第二步,配置SCVPN實例第三步,配置Tunnel接口第四步,配置訪問策略,SCVPN基本配置步驟,※ 地址池配置 SCVPN

3、>地址池:配置分配給客戶端的地址池,SCVPN基本配置,※ SCVPN實例配置(WebUI):SCVPN>SCVPN實例,SCVPN基本配置,※ Tunnel接口配置: 網(wǎng)絡(luò)>接口 新建隧道接口,SCVPN基本配置,※ 配置tunnel綁定安全域配置策略 防火墻>策略 新建SCVPN訪問策略,SCVPN基本配置,SCVPN>狀態(tài)可以查看已登陸用戶信息或者強制某用戶下線CLI:DC

4、FW-1800# show scvpn client scvpntotal user number 1===================================================================User Name Type State Private IP Public IP Login Time------------------------------

5、--------------------------------------------------zhujya CLIENT UP 172.16.1.12 61.51.191.21 Sun Jul 11 11:04:55 2010==================================================================,SCVPN登陸用戶狀態(tài)查詢管理,,掌握基本

6、的SCVPN配置 配置主機綁定限定登錄主機配置基于USB令牌認(rèn)證的SCVPN結(jié)合Role策略實現(xiàn)細(xì)粒度訪問控制配置主機檢測動態(tài)分配權(quán)限多鏈路環(huán)境實現(xiàn)自動選擇最優(yōu)通道,議程:高級SCVPN配置,VPN>SCVPN>配置>編輯編輯SCVPN實例,開啟“主機綁定檢查”,并根據(jù)需求選擇是否啟用“允許多個主機”、“允許共享主機”或“用戶初次綁定自動批準(zhǔn)”,開啟主機綁定功能,,SCVPN>主機綁定>候選

7、列表如果啟用了“主機綁定檢查”功能且未開啟“用戶初次綁定自動批準(zhǔn)”,則所有未綁定過的主機在登陸時會在候選表中建立一個條目,只有管理員綁定之后,才可以通過該主機登陸。SCVPN>主機綁定>綁定列表位于綁定表里的主機尅有登陸,如需刪除綁定條目,可以點擊刪除按鈕刪除一條綁定表或者刪除某一用戶綁定的所有綁定表。,開啟主機綁定功能,SCVPN>主機綁定>高級配置可以根據(jù)需要配置“超級用戶”或者設(shè)置“共

8、享主機”,開啟主機高級配置,掌握基本的SCVPN配置配置主機綁定限定登錄主機 配置基于USB令牌認(rèn)證的SCVPN結(jié)合Role策略實現(xiàn)細(xì)粒度訪問控制配置主機檢測動態(tài)分配權(quán)限多鏈路環(huán)境實現(xiàn)自動選擇最優(yōu)通道,議程:高級SCVPN配置,用戶>PKI>信任域點擊新建一個信任域,選擇為“手動輸入”方式,并將服務(wù)器根證書導(dǎo)入安全網(wǎng)關(guān)。SCVPN>SCVPN實例完成基本SCVPN配置后,并開啟“客戶端證書認(rèn)證

9、”,同時指定“客戶端信任域”為上述新建信任域,配置基于USB令牌認(rèn)證的SCVPN,,導(dǎo)入客戶端證書到USB-Key,安裝USR-Key管理工具“DigitalChinaUKeyAdm.exe”,導(dǎo)入客戶端證書,配置基于USB令牌認(rèn)證的SCVPN,掌握基本的SCVPN配置配置主機綁定限定登錄主機配置基于USB令牌認(rèn)證的SCVPN結(jié)合Role策略實現(xiàn)細(xì)粒度訪問控制配置主機檢測動態(tài)分配權(quán)限多鏈路環(huán)境實現(xiàn)自動選擇最優(yōu)通道,議程:高級

10、SCVPN配置,用戶>角色新建角色,以用于策略調(diào)用,創(chuàng)建角色映射以來實現(xiàn)用戶到角色的對應(yīng)。一個認(rèn)證服務(wù)器對應(yīng)一個角色映射規(guī)則。,基于Role實現(xiàn)SCVPN訪問控制,用戶>AAA服務(wù)器綁定角色映射規(guī)則到AAA服務(wù)器防火墻>策略新建SCVPN訪問策略,可通過角色實現(xiàn)基于用戶的訪問控制,基于Role實現(xiàn)SCVPN訪問控制,,,掌握基本的SCVPN配置配置主機綁定限定登錄主機配置基于USB令牌認(rèn)證的SCVP

11、N結(jié)合Role策略實現(xiàn)細(xì)粒度訪問控制 配置主機檢測動態(tài)分配權(quán)限多鏈路環(huán)境實現(xiàn)自動選擇最優(yōu)通道,議程:高級SCVPN配置,SCVPN>主機檢測點擊新建創(chuàng)建主機檢測Profile并配置檢測條目,基于主機檢測動態(tài)分配權(quán)限,SCVPN>SCVPN實例編輯SCVPN實例并添加主機檢測,基于主機檢測動態(tài)分配權(quán)限,掌握基本的SCVPN配置配置主機綁定限定登錄主機配置基于USB令牌認(rèn)證的SCVPN結(jié)合Role策略實現(xiàn)細(xì)粒度訪

12、問控制配置主機檢測動態(tài)分配權(quán)限多鏈路環(huán)境實現(xiàn)自動選擇最優(yōu)通道,議程:高級SCVPN配置,安全網(wǎng)關(guān)多出口鏈路情況下,支持SCVPN自動選擇最優(yōu)通道接入功能,該功能能夠使不同ISP線路接入的客戶端自動選擇最快線路連接到SCVPN設(shè)備端,從而提高訪問總部資源時的速度。,SCVPN自動選擇最優(yōu)通道,※SCVPN就近行檢測配置(前端無DNAT)1、綁定SCVPN實例到多個出接口,在SCVPN實例中2、配置客戶端自動檢測最優(yōu)通道功能,在

13、SCVPN實例配置模式:hostname(config-tunnel-scvpn)# link-select 或配置服務(wù)器端自動檢測最優(yōu)通道功能,在SCVPN實例配置模式: hostname(config-tunnel-scvpn)# link-select server-detect 啟用就近性檢測,需勾選 客戶端軟件的“最優(yōu)通道”,SCVPN自動選擇最優(yōu)通道,※SCVPN就近行檢測配置

14、(前端有DNAT) 對于安全網(wǎng)關(guān)有NAT設(shè)備的情況,需要指定DNAT錢的公網(wǎng)IP地址,以便安全網(wǎng)關(guān)下發(fā)給客戶端,最多支持指定4個IP地址。除以下命令,其他配置與無DNAT環(huán)境一致:hostname(config-tunnel-scvpn)# link-select [server-detect] [A.B.C.D] [https-port port-number] [A.B.C.D] [https-port port-num

15、ber]hostname(config-tunnel-scvpn)# link-select 202.2.3.1 https-port 2234 196.1.2.3 https-port 3367,SCVPN自動選擇最優(yōu)通道,調(diào)試與維護(hù)(一),Show顯示SCVPN實例信息Show tunnel scvpn[scvpn-instance-name]顯示指定SCVPN實例當(dāng)前在線的客戶端信息:Show scvpn cl

16、ient scvpn-instance-name [user user-name]顯示通過瀏覽器訪問SCVPN的HTTP會話信息:Show scvpn session scvpn-instance-name[user user-name]顯示所有SCVPN實例當(dāng)前在線的客戶端信息:Show auth-user scvpn,調(diào)試與維護(hù)(二),debugDebug scvpn errorDebug scvpn eventDe

17、bug scvpn filterDebug scvpn packetDebug scvpn per-ipDebug scvpn timers,小結(jié),※ 在本章中講述了以下內(nèi)容: ※ 基本的SCVPN配置 ※ 配置SCVPN主機綁定限定登錄主機 ※ 配置基于USB令牌認(rèn)證的SCVPN ※ 結(jié)合Role策略實現(xiàn)SCVPN細(xì)粒度訪問控制 ※ 主機檢測機自動鏈路選擇,問題,1、SCVPN使用什么協(xié)議?默認(rèn)端口

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論