2.5 項目2：VPN設(shè)備配置

2.5.1 任務(wù)1：VPN基本配置方法

1.雙機熱備部署設(shè)備，配置主墻和從墻

為保證VPN設(shè)備的單點故障，不影響正常的網(wǎng)絡(luò)通信，建議分行總部VPN服務(wù)器端以雙機熱備旁路方式部署，其他VPN硬件客戶端的部署采用透明網(wǎng)橋方式部署，這樣在VPN隧道沒有建立（或在極其特殊情況下，隧道無法建立）時，不影響正常的網(wǎng)絡(luò)通信，最大限度地保證網(wǎng)絡(luò)數(shù)據(jù)的不間斷傳輸。

WebUI配置步驟如下。

（1）配置HA心跳口和其他通信接口地址。

HA心跳口必須工作在路由模式下，而且要配置同一網(wǎng)段的IP以保證相互通信。接口屬性必須要勾選“ha-static”選項，否則HA心跳口的IP地址信息會在主從墻運行配置同步時被對方覆蓋。

主墻配置：

① 配置HA心跳口地址。

● 選擇“網(wǎng)絡(luò)管理”→“接口”命令，然后選擇“物理接口”頁簽，單擊Eth2接口后的“設(shè)置”圖標，配置基本信息，如圖2-21所示。

單擊“確定”按鈕保存配置。

● 在“路由模式”下方配置心跳口的IP地址，然后單擊“添加”按鈕，如圖2-22所示。

“ha-static”選項必須勾選，否則運行狀態(tài)同步時IP地址信息也會被同步。

單擊“確定”按鈕保存配置。

② 配置Eth1和Eth0接口的IP地址。

配置Eth1和Eth0的IP地址分別為192.168.83.219和172.16.1.20，具體操作請參見配置HA心跳口地址。

從墻配置：

① 配置HA心跳口地址。

配置從墻HA心跳口地址為10.1.1.2，具體步驟請參見主墻的配置，此處不再贅述。

② 配置Eth1和Eth0接口的IP地址。

配置從墻Eth1和Eth0的IP地址分別為192.168.83.219和172.16.1.20，具體步驟請參見主墻的配置，此處不再贅述。

（2）設(shè)置除心跳口以外的其余通信接口屬于VRID2。

主備模式下，只能配置一個VRRP備份組，而且通信接口必須加入到具體的VRID組中，VPN才會根據(jù)此接口的up、down狀態(tài)，來判斷本機的工作狀態(tài)，以進行VRID組內(nèi)主備狀態(tài)的切換。

主墻配置：

① 選擇“網(wǎng)絡(luò)管理”→“接口”命令，然后選擇“物理接口”頁簽，在除跳口以外的接口后單擊“設(shè)置”圖標（以Eth0為例）。

② 勾選“高級屬性”右側(cè)的復(fù)選框，設(shè)置該接口屬于VRID2，如圖2-23所示。

③ 參數(shù)設(shè)置完成后，單擊“確定”按鈕保存配置。

從墻具體步驟請參見主墻的配置，此處不再贅述。

（3）指定HA的工作模式及心跳口的本地地址和對端地址。

需要設(shè)置HA工作在“雙機熱備”模式下，并設(shè)置當前VPN為主墻或從墻，心跳口的本地及對端IP地址信息、心跳間隔等屬性。

主墻配置：

① 選擇“高可用性”→“雙機熱備”命令，選中“雙機熱備”左側(cè)的單選按鈕，配置基本信息，如圖2-24所示。

設(shè)置本機地址為心跳口Eth2的IP地址（10.1.1.1）。

設(shè)置對端地址為從墻心跳口Eth2的IP地址（10.1.1.2），超過兩臺設(shè)備時，必須將“對端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持8臺對端設(shè)備）。

心跳間隔可以使用默認值（1秒），心跳間隔是兩個VPN間互通狀態(tài)信息報文的時間間隔，也是用于檢測對端設(shè)備是否異常的重要參數(shù)，互為熱備的VPN的此參數(shù)必須設(shè)置一致，否則很可能導(dǎo)致從墻的主從狀態(tài)的來回切換。

設(shè)置熱備組為通信接口的VRID2，選擇身份為“主機”。

“搶占”模式，是指主墻宕機后，重新恢復(fù)正常工作時，是否重新奪回主墻的地位。只有當主墻與從墻相比有明顯的性能差異時，才需要配置主墻工作在“搶占”模式，否則當主墻恢復(fù)工作時主從墻的再次切換浪費系統(tǒng)資源，沒有必要。案例中兩臺VPN相同，所以主墻不需要配置為“搶占”模式。

② 勾選“高級配置”左側(cè)的復(fù)選框，進行高級配置，如圖2-25所示。

③ 參數(shù)設(shè)置完成后，單擊“應(yīng)用”按鈕保存配置。

④ 單擊“啟用”按鈕，啟動該主備模式，心跳口連接建立。

從墻配置操作和主墻的基本相同，但注意身份為“從屬機”，本機地址為10.1.1.2，對端地址為10.1.1.1，不選擇“搶占”。

（4）主從VPN的配置同步

在主墻單擊“本機同步到對端機”，將主墻的當前配置同步到從墻。

至此，主墻和從墻的雙機熱備就可以正常使用了。

2.配置總部VPN網(wǎng)關(guān)及VPN客戶端

為保證分行總部與各支行端以VPN硬件客戶端及客戶端與總部VPN硬件服務(wù)器端建立隧道加密傳輸數(shù)據(jù)的方式，使其傳輸?shù)臄?shù)據(jù)能夠具備完整性、防篡改和防抵賴。

WebUI配置步驟如下。

（1）開放總部VPN的Eth0接口的IPSecVPN服務(wù)，綁定虛接口。

① 在導(dǎo)航菜單中選擇“資源管理”→“區(qū)域”命令，設(shè)置Eth0所屬區(qū)域（area_eth0），如圖2-26所示。

② 在導(dǎo)航菜單中選擇“系統(tǒng)管理”→“配置”命令，選擇“開放服務(wù)”頁簽，開放Eth0接口IPSecVPN服務(wù)，如圖2-27所示。

③ 在導(dǎo)航菜單中選擇“虛擬專網(wǎng)”→“虛接口綁定”命令，單擊“添加”按鈕，將虛接口與物理接口Eth0綁定，如圖2-28所示。

（2）開放分支機構(gòu)VPN的Eth0接口的IPSecVPN服務(wù)，綁定虛接口IPSec0。

① 在導(dǎo)航菜單中選擇“資源管理”→“區(qū)域”命令，設(shè)置Eth0所屬區(qū)域，如圖2-29所示。

② 在導(dǎo)航菜單中選擇“系統(tǒng)管理”→“配置”命令，選擇“開放服務(wù)”頁簽，開放Eth0接口IPSecVPN服務(wù)，如圖2-30所示。

③ 在導(dǎo)航菜單中選擇“虛擬專網(wǎng)”→“虛接口綁定”命令，單擊“添加”按鈕。將虛擬接口和Eth0口綁定。

（3）在導(dǎo)航菜單中選擇“虛擬專網(wǎng)”→“靜態(tài)隧道”命令，單擊“添加隧道”按鈕，在FW1上設(shè)置VPN靜態(tài)隧道參數(shù)。

① 選擇“第一階段協(xié)商”選項卡，設(shè)置參數(shù)如圖2-31所示。

高級配置使用系統(tǒng)默認值。

② 選擇“第二階段協(xié)商”選項卡，設(shè)置參數(shù)如圖2-32所示。

高級配置使用系統(tǒng)默認值。

（4）在分支機構(gòu)VPN登錄界面的導(dǎo)航菜單中選擇“虛擬專網(wǎng)”→“靜態(tài)隧道”命令，單擊“添加隧道”按鈕設(shè)置分支機構(gòu)VPN的靜態(tài)隧道參數(shù)。

① 選擇“第一階段協(xié)商”選項卡，設(shè)置參數(shù)如圖2-33所示。

② 選擇“第二階段協(xié)商”選項卡，設(shè)置參數(shù)如圖2-34所示。

高級配置使用系統(tǒng)默認值。

總部VPN可以通過選擇“虛擬專網(wǎng)”→“靜態(tài)隧道”命令，查看到協(xié)商成功的隧道，如圖2-35所示。

分支機構(gòu)VPN可以通過選擇“虛擬專網(wǎng)”→“靜態(tài)隧道”命令，查看到協(xié)商成功的隧道，如圖2-36所示。

當“狀態(tài)”顯示為“第二階段協(xié)商成功”，表示隧道成功建立，可以使用。

（5）驗證。

總部VPN的靜態(tài)路由表中會添加到分支機構(gòu)VPN保護子網(wǎng)（10.10.11.0/24）的路由，如圖2-37所示。

分支機構(gòu)VPN的靜態(tài)路由表中會添加到FW1保護子網(wǎng)（10.10.10.0/24）的路由，如圖2-38所示。

分支機構(gòu)VPN保護子網(wǎng)中的主機（10.10.11.2/24）可以訪問總部VPN子網(wǎng)中的主機（10.10.10.22/24），如圖2-39所示。

3.選用加密算法

本教材采用的天融信VPN設(shè)備，可以提供多種加密算法，建議根據(jù)方案需求情況進行選用，算法管理界面如圖2-40所示。

4.其他幾點說明

（1）本教材采用的天融信VPN設(shè)備，可以支持多種認證方式，建議根據(jù)方案需求情況進行選用。

（2）為方便客戶端用戶遠程接入總部辦公系統(tǒng)，需部署VRC客戶端，具體配置方式見任務(wù)3。

（3）可以啟用服務(wù)器端VPN設(shè)備的日志功能，配置日志服務(wù)器，對VPN連接等做日志記錄，方便事后審計。

（4）項目中涉及的產(chǎn)品具備遠程管理與基本的集中管理功能，根據(jù)需要，可進一步使用VPN集中管理器，對部署在××地區(qū)范圍的VPN客戶及部署在××銀行分行的VPN服務(wù)器進行集中管理和維護。

（5）通過部署無線CDMA無線路由、VPN系統(tǒng)，能夠滿足××銀行快速發(fā)展的需要，將ATM機方便地部署到全轄區(qū)范圍的任何有CDMA信號的地方，同時可方便地開展移動銀行業(yè)務(wù)；另外，在部署高可靠性VPN設(shè)備后，使通過CDMA網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)均經(jīng)過加密、驗證，保證所傳輸數(shù)據(jù)的機密性、可用性和完整性。

2.5.2 任務(wù)2：VPN認證方法

1.遠程用戶本地認證

WebUI配置步驟如下。

（1）開放總部VPN的Eth0接口的IPSecVPN服務(wù)，綁定虛接口。

① 在導(dǎo)航菜單中選擇“資源管理”→“區(qū)域”命令，設(shè)置Eth0所屬區(qū)域（area_eth0），如圖2-41所示。

② 在導(dǎo)航菜單中選擇“系統(tǒng)管理”→“配置”命令，選擇“開放服務(wù)”頁簽，開放Eth0口IPSecVPN服務(wù)，如圖2-42所示。

③ 在導(dǎo)航菜單中選擇“虛擬專網(wǎng)”→“虛接口綁定”命令，單擊“添加”按鈕，將虛接口與物理接口Eth0綁定，如圖2-43所示。

（2）配置PKI功能。

① 選擇“PKI設(shè)置”→“本地CA策略”命令，然后選擇“根證書”頁簽。

② 在“客戶端證書”界面中單擊“獲取證書”獲取客戶端根證書，如圖2-44所示。

本例中，使用了本機設(shè)備證書作為客戶端的根證書，只需選中“以本機設(shè)備證書導(dǎo)入”左側(cè)的單選按鈕，然后單擊“確定”按鈕即可。

③ 選擇“PKI”→“本地CA策略”命令，激活“簽發(fā)證書”頁簽，單擊“生成新證書”單選按鈕，為VRC用戶生成一個新證書，如圖2-45所示。

參數(shù)設(shè)置完成后，單擊“確定”按鈕即可。

④ 單擊“下載”圖標，將客戶端證書下載到本地，如圖2-46所示。

選擇證書類型為“PKCS12格式”，輸入密碼，然后單擊“導(dǎo)出證書”按鈕，如圖2-47所示。

至此，總部VPN服務(wù)器端配置完畢，再正確配置VRC客戶端即可正常登錄。

2.本地證書認證

為了保護SSL VPN網(wǎng)關(guān)的安全，管理員一般將VPN的Eth1接口所在的區(qū)域設(shè)置為“禁止”，然后通過定義訪問控制規(guī)則，定義允許遠程用戶對SSL VPN網(wǎng)關(guān)上特定端口的訪問。

（1）在VPN上添加自定義服務(wù)：443和4430（4430為全網(wǎng)接入模塊的端口，不開放該端口無法使用全網(wǎng)接入服務(wù)），如圖2-48所示。

（2）設(shè)置自定義服務(wù)組，如圖2-49所示。

（3）定義訪問控制規(guī)則，如圖2-50所示。

（4）配置主機地址，即SSL VPN網(wǎng)關(guān)的真實地址“172.16.1.1”和映射地址“10.10.10.10”，如圖2-51所示。

（5）配置目的地址轉(zhuǎn)換（到SSL VPN網(wǎng)關(guān)的映射），如圖2-52所示。

WebUI配置步驟如下。

3.創(chuàng)建本地根證書

（1）管理員登錄管理界面后，選擇導(dǎo)航菜單“PKI設(shè)置”→“本地CA策略”命令，然后選擇“根證書”頁簽，單擊“獲取證書”按鈕，如圖2-53所示。

（2）選中“生成新證書”左側(cè)的單選按鈕，然后填寫相應(yīng)項目，如圖2-54所示。

（3）單擊“確定”按鈕，完成根證書創(chuàng)建。

4.啟用USBKey端口，并正確設(shè)置USB的廠商和PIN碼

（1）選擇導(dǎo)航菜單“PKI設(shè)置”→“USBKey”命令，如圖2-55所示。

（2）“USB廠商”用于選擇USBKey設(shè)備廠商/型號，該選項根據(jù)插在安全設(shè)備上的不同USBKey進行選擇。目前只支持epass1000。

“PIN碼”用于輸入USBKey的管理員PIN碼。

“確認PIN碼”用于管理員再次輸入USBKey的管理員PIN碼。

（3）單擊“確定”按鈕，完成設(shè)置。

5.簽發(fā)并保存用戶證書

（1）選擇導(dǎo)航菜單“PKI設(shè)置”→“本地CA策略”命令，然后選擇“簽發(fā)證書”頁簽，單擊“生成新證書”按鈕。

（2）配置普通職員證書，如圖2-56所示。

（3）配置經(jīng)理證書，如圖2-57所示。

兩種移動用戶證書的區(qū)別在于“單位（OU）”項的內(nèi)容不同。根據(jù)該項的區(qū)別，SSL VPN網(wǎng)關(guān)將在移動用戶登錄時判斷其身份并把用戶歸入不同的角色中。單擊“確定”按鈕，完成移動用戶證書的創(chuàng)建。

（4）在“簽發(fā)證書”頁面，分別單擊“user1”和“manager1”條目后的“下載”圖標，如圖2-58所示。

（5）選擇簽發(fā)的證書類型，使用USBKey保存的證書必須是“PKCS12”格式，對于使用文件方式頒發(fā)的證書，則可以采用PEM或者DER格式。本例中導(dǎo)出普通職員證書和經(jīng)理證書時均采用“PKCS12”方式，如圖2-59所示。參數(shù)設(shè)置完成后，單擊“導(dǎo)出證書”按鈕，界面出現(xiàn)“證書點擊下載”，在IE彈出操作界面圖，單擊“保存”按鈕后，為證書文件指定保存路徑進行保存，以便日后向USBKey導(dǎo)入或直接發(fā)放時使用。

（6）對于經(jīng)理證書“manager1”，需要導(dǎo)入USBKey（epass1000）中。

① 在導(dǎo)入前需要安裝USBKey驅(qū)動，雙擊驅(qū)動程序“eps1k_full.exe”，依照提示進行安裝即可。安裝完成后，底部托盤出現(xiàn)“USB Token 1000證書管理工具”的圖標。

② 將epass1000插入主機的USB口。

③ 雙擊證書寫入工具“ePassMgr.exe”，進入“USB Token 1000管理工具”界面，激活界面左下方的“驗證用戶PIN”，然后輸入正確的PIN碼，如圖2-60所示。

單擊“登入”按鈕，稍后彈出對話框，提示用戶成功登入USBKey，單擊“確定”按鈕后，會出現(xiàn)導(dǎo)入界面。

單擊“導(dǎo)入”按鈕，然后單擊界面中的“…”按鈕，找到證書文件導(dǎo)入證書，并輸入證書密碼。

單擊“下一步”按鈕，稍后彈出對話框，提示證書導(dǎo)入成功。

6.配置DHCP地址池

（1）選擇“網(wǎng)絡(luò)管理”→“DHCP”命令，然后選擇“DHCP服務(wù)器”頁簽，單擊“添加DHCP地址池”按鈕，添加作用域為“10.10.10.0/24”的DHCP地址池（用于分配給全網(wǎng)接入客戶端），如圖2-61所示。

參數(shù)設(shè)置完成后，單擊“確定”按鈕即可。

（2）將DHCP服務(wù)器的“運行接口”設(shè)置為“l(fā)o”，并單擊“運行”按鈕啟動DHCP服務(wù)器進程，如圖2-62所示。

7.添加角色

（1）選擇導(dǎo)航菜單“用戶認證”→“角色管理”DHCP，單擊“添加角色”按鈕。

（2）添加普通職員角色“clerk”，如圖2-63所示。

參數(shù)設(shè)置完成后，單擊“確定”按鈕即可。

（3）添加經(jīng)理角色“manager”，如圖2-64所示。

參數(shù)設(shè)置完成后，單擊“確定”按鈕即可。

8.配置用戶證書映射

（1）選擇導(dǎo)航菜單“用戶認證”→“證書設(shè)置”命令，然后單擊證書服務(wù)器“cert”條目右側(cè)的“修改”圖標，配置后的界面如圖2-65所示。

（2）參數(shù)設(shè)置完成后，單擊“確定”按鈕即可。

9.配置用戶登錄界面信息

選擇導(dǎo)航菜單“SSL VPN”→“安全性設(shè)置”命令，然后選擇“基本設(shè)置”頁簽進行配置，如圖2-66所示。

參數(shù)設(shè)置完成后，單擊“應(yīng)用”按鈕即可。

10.驗證

不同安全級別的用戶采用證書認證方式進行認證登錄。假設(shè)用戶“user1”和“manager1”使用同一主機“10.10.10.2”登錄，并且該主機已經(jīng)下載完所有的控件。

（1）用戶“user1”采用文件方式證書登錄SSL VPN網(wǎng)關(guān)（對外IP為10.10.10.10）用戶界面。

① 雙擊用戶“user1”的“PKCS12”格式的文件證書，根據(jù)提示將客戶端證書安裝到本機中。

② 在瀏覽器的URL地址欄輸入SSL VPN網(wǎng)關(guān)的公網(wǎng)IP，進入用戶登錄界面。由于管理員已經(jīng)設(shè)定用戶只能通過證書認證方式進行登錄，所以用戶登錄界面中只有“證書認證”按鈕。

③ 單擊“證書認證”按鈕，彈出選擇證書界面。

④ 選擇user1用戶證書后，單擊“確定”按鈕即可成功登錄到user1用戶界面中。

（2）用戶“manager1”采用USBKey證書登錄SSL VPN網(wǎng)關(guān)（對外IP為10.10.10.10）用戶界面。

① 安裝epass1000的驅(qū)動程序。

② 將裝有證書的epass1000插入主機的USB接口。

③ 在瀏覽器的URL地址欄輸入SSL VPN網(wǎng)關(guān)的公網(wǎng)IP，進入用戶登錄界面。因為已經(jīng)設(shè)定用戶只能通過證書認證方式進行登錄，所以用戶登錄界面中只有“證書認證”按鈕。

④ 單擊“證書認證”按鈕，彈出選擇數(shù)字證書界面，如圖2-67所示。

⑤ 選擇manager1用戶證書后，單擊“確定”按鈕，彈出驗證用戶PIN碼界面，如圖2-68所示。

⑥ 輸入用戶PIN后，單擊“登錄”按鈕即可成功登錄到manager1用戶界面中。

2.5.3 任務(wù)3：客戶端初始化配置

WebUI配置步驟如下。

（1）配置地址池，并啟動lo接口的DHCP服務(wù)。

選擇“網(wǎng)絡(luò)管理”→“DHCP地址池”命令，然后激活“DHCP服務(wù)器”頁簽，單擊“添加DHCP地址池”設(shè)置VRC用戶分配的地址池，如圖2-69所示。

參數(shù)設(shè)置完成后，單擊“確定”按鈕。需要注意的是，地址池的選擇一定不能與內(nèi)部網(wǎng)段有包含關(guān)系，更不能分配與內(nèi)部網(wǎng)絡(luò)在同一網(wǎng)段的地址池。

然后，在接口lo上運行DHCP服務(wù)，如圖2-70所示。

（2）設(shè)置認證管理模式為本地管理。

選擇“虛擬專網(wǎng)”→“VRC管理”命令，然后激活“基本設(shè)置”頁簽，設(shè)置相關(guān)內(nèi)容，如圖2-71所示。

（3）設(shè)置VRC用戶的默認權(quán)限。

選擇“虛擬專網(wǎng)”→“VRC管理”命令，然后激活“權(quán)限對象”頁簽，單擊“權(quán)限對象”右側(cè)的“”按鈕，如圖2-72所示。

參數(shù)設(shè)置完成后，單擊“確定”按鈕。

單擊“默認權(quán)限”右側(cè)的“添加”按鈕，將默認權(quán)限名稱設(shè)定為234，如圖2-73所示。

選擇默認權(quán)限名稱后，單擊“確定”按鈕即可。說明：默認權(quán)限可以添加一個或多個權(quán)限對象。

（4）選擇“用戶認證”→“用戶管理”命令，然后激活“用戶管理”頁簽，單擊“添加用戶”按鈕設(shè)置VRC用戶，如圖2-74所示。

設(shè)置用戶的權(quán)限使用“默認權(quán)限”，可以使用自定義權(quán)限，但應(yīng)保證步驟（1）中的“證書權(quán)限控制”設(shè)定為ON。

（5）選擇“虛擬專網(wǎng)”→“VRC管理”命令，然后激活“用戶權(quán)限”頁簽，單擊VRC用戶右側(cè)的“權(quán)限設(shè)置”圖標，配置VRC用戶權(quán)限，如圖2-75所示。

單擊“添加”按鈕，如圖2-76所示。

選擇完畢，單擊“確定”按鈕即可。

（6）在遠程VRC客戶機上安裝并配置VRC遠程客戶端，客戶端主機上會添加一個IPSecVPN虛擬網(wǎng)卡。

打開VPN客戶端，單擊“新建VPN連接”。網(wǎng)關(guān)地址設(shè)為VPN Eth2接口的地址（10.10.11.1），連接使用IP，如圖2-77所示。認證使用“X509證書認證”，如圖2-78所示。

單擊“加載證書”按鈕加載證書。單擊“確定”按鈕后，提示“證書加載成功”，導(dǎo)入證書如圖2-79所示。

（7）驗證。

① 啟動VPN客戶端，建立隧道。

在“VPN客戶端連接管理”窗口中雙擊新建連接“10.10.11.1”，啟動VPN客戶端。在連接窗口中輸入VRC用戶口令，然后單擊“連接”按鈕，如圖2-80所示。

如果隧道協(xié)商成功，則“VPN客戶端屬性”界面如圖2-81所示。

在“VPN客戶端屬性”界面中選中“顯示IKE協(xié)商進程”左側(cè)的復(fù)選框，則客戶端桌面彈出如圖2-82所示窗口。

② 用ipconfig/all命令查看本地IP配置，如圖2-83所示。

③ 選擇“網(wǎng)絡(luò)管理”→“路由”命令，然后激活“靜態(tài)路由”標簽，查看VPN上的路由信息。如圖2-84所示的信息，則表示客戶端初始化完成，并連接成功。