51CTO下载No1Array SPX操作手册基本配置Word格式.docx
《51CTO下载No1Array SPX操作手册基本配置Word格式.docx》由会员分享,可在线阅读,更多相关《51CTO下载No1Array SPX操作手册基本配置Word格式.docx(21页珍藏版)》请在冰豆网上搜索。
(一)概述
前言
在目前各类VPN产品中,SSLVPN正以它的独特优势占据了市场中的主导位置,ArrayNetworks公司是一家专注于开发SSLVPN的厂商。
本文力图简洁明了的介绍ArrayNetworks公司的SSLVPN产品:
SPX系列的主要部署结构,建立SPX的大致流程以及它的基本配置命令。
SSLVPN简介
SSLVPN是采用SSL技术的一种VPN产品,适用于ClienttoSite的安全接入方式。
SSL技术是位于TCP之上的协议,具有数字证书身份验证,数据加密等安全手段。
在实现VPN访问内部应用时主要采用Proxy、ApplicationTranslation、NetworkExtension等技术手段实现。
用户通过SSLVPN访问内部应用系统,必须先用HTTPS协议登陆到SSLVPN网关提供的SSLVPN门户站点,我们称之为VirtualSite,Array的SPX系列单台设备可以配置多个VirtualSite,具体数量视license而定。
一般情况下,在数据中心的网络边缘放置SSLVPN网关,如ArrayNetworksSPX系列产品。
客户端要访问内部应用服务器,必须通过SSLVPN网关,其过程是先用标准浏览器如IE、Netscape等登陆SSLVPN网关,登陆使用的协议是HTTPS,底层是采用了具有加密算法的SSL协议。
登陆SSLVPN是需要经过用户认证、授权、审计的。
登陆完成之后,客户端既可以访问内部的各种应用了,无论是B/S还是C/S结构,都能够得到非常好的支持,访问过程中的数据传输都是经过加密处理的,同时是经过SSLVPN授权允许和审计的。
SSLVPN网络拓扑
SSLVPN网关设备,Array称之为SPX系列产品,她的位置在数据中心的边缘,具体来讲一般放置在防火墙后面,入侵检测设备的前面,这样和其他安全产品一起为数据中心提供安全防护。
Array的SSLVPN网关支持双臂结构和单臂结构。
单臂结构一般不改变企业的网络拓扑结构,只需一个接口接到防火墙或交换机上,具有方便部署的特点。
双臂结构,一般是指连接两个接口,如一个连接内网,一个连接外网,双臂结构具有良好的网络吞吐量。
SSLVPN的工作流程是一个Proxy(代理)架构,所以考虑拓扑结构时,要满足两点:
1)客户端机器要能访问VirtualSiteIP地址;
2)SPX设备要能够访问内部各个服务器各个应用。
若中间有防火墙等过滤设备,一定要打开相应端口。
如在客户端和VirtualSite之间的防火墙要打开HTTPS访问,典型如TCP443端口。
SPX和服务器之间的防火墙要对SPX设备的网络接口打开各个应用的端口。
上图是一个典型的双臂结构,outside端口连接外网路由器或防火墙,端口地址为10.1.1.1;
inside接口连接内部交换机,端口地址为10.1.2.1。
在SPX设备上的VirtualSite地址为10.1.1.2,为内部IP地址,在internet上的客户端要能访问,前面的防火墙或路由器还要做NAT转换,如202.22.2.2-10.1.1.2。
当然,VirtualSite地址也可以直接配置成公网地址,这时只需客户端到VirtualSiteIP的路由可达与HTTPS能够访问即可。
上图是典型的单臂结构,SPX设备只需一个接口连接防火墙、路由器或者是交换机。
接口IP为10.1.1.1,VirtualSite地址为10.1.1.2,需要NAT设备作转换:
如202.22.2.2-10.1.1.2。
重复一下,无论是单臂还是双臂,无论多么复杂的拓扑结构,中间有什么样的网络设备,都需要满足两点:
1)客户端机器要能访问到VirtualSiteIP地址;
ArraySPX设备配置概述
拿到ArrayNetworks一台新的设备,一般要经过如下几个过程来配置成一台可以工作的SSLVPN系统。
1.查看设备的license,如没有license许可,需向总代、Array申请购买新的license。
2.了解用户的拓扑结构,DNS系统、应用的大概情况,和用户协商SSLVPN拓扑结构、路由结构、DNS配置、防火墙策略、各个应用通过SSLVPN实现的方式。
3.对SPX设备进行基本配置,包括License输入、接口IP地址配置、路由配置、时间配置、DNS配置。
4.VirtualSite建立:
建立VirtualSite、SSL数字证书配置。
5.VirtualSite认证方法配置,如配置LocalDB、Radius、LDAP等。
6.VirtualSite各个应用模块的配置,如WRM、ClientApp、L3VPN。
7.VirtualSite用户访问策略配置,各个用户或组的访问权限设定。
8.管理配置,如SNMP、Log、配置文件管理等。
(二)SPX设备基本配置
ArraySPX的配置管理方式
ArraySPX设备支持三种配置管理接入方式.
Console接入:
SPX系列产品默认没有IP地址、路由等配置。
需要首先启动电源,通过随设备附带的连接线(console线),一端连接PC机的串口,一端连接SPX系列的Console口。
SPX设备有专用的Console线和Console口,通过管理者的PC机串口接入,仿真终端:
VT100;
BaudRateto9600;
DataBitsto8;
NOParity;
StopBitsto1;
NOFlowControl。
登陆进入后可以采用命令行方式。
SSH接入:
通过SSH终端可以接入SPX设备上的任意一个接口IP地址,典型的,你可以使用Putty,SecureCRT等软件,SSH2协议,端口22来接入,登陆进入后可以采用命令行方式。
图形化配置:
在通过命令行配置webUIon命令启动图形化管理方式后,使用浏览器通过访问HTTPS:
//<
Interface_IP_address>
:
8888的方式登陆并进行远程管理控制。
SPX系列产品外观指示灯介绍
在SPX系列产品的前面板中具有显示设备运行状态的指示灯,指示灯分为以下三种:
●Power:
表示系统是否处在加电运行状态
●Run:
表示系统运行负载情况,当此灯经常闪烁时,表示系统负载较高。
●Fault:
表示设备是否发生故障,当此灯始终亮时,表示设备硬件故障。
具体状态指示灯的位置如下图所示:
SPX的几种配置模式
ArrayOS的配置管理模式具有三个级别,登陆模式,管理模式和配置模式,在命令行中体现为hostname加上“>
”、“#”或者是“(config)#”。
1.第一个级别登陆模式“AN>
”:
配置好超级终端后,回车登陆。
SPX系列产品默认需要认证,才能进行管理配置,默认的用户名为array,口令为admin。
此时将进入登陆模式,登陆模式的符号是一个大于号“>
”,在此模式下可以实现基本的状态查看功能,通过问号
AN>
?
可以查看此状态下所有可操作的命令。
2.第二个级别管理模式“AN#”:
从第一个级别进入第二个级别,是在第一个级别输入
enable
命令即可进入第二个级别,缺省的口令为空。
第二个级别的能够进行所有状态信息的查看,同一时刻允许有多个管理员处在此模式下。
3.第三个级别配置模式“AN(config)#”:
从第二个级别进入第三个级别,是在第二个级别输入
AN#configterminal
命令即可进入配置模式,同一时刻只允许一个人进入此模式。
只有在此模式下才能够进行设备的配置。
当长时间不敲入命令,系统会自动退出。
从后一个级别回到上一个级别使用exit命令,如果直接关闭终端软件,没有从config模式exit到管理模式,会有缺省三分钟的等待时间才能再次进入config模式。
无论是在那种模式下都可以输入“?
”来了解当前模式下可以执行的命令,或者是某条命令的信息如:
AN(config)#show?
AN(config)#ipaddress?
webUI基本介绍
浏览器的版本
目前ArraySP的webUI支持这些版本:
1.IE(Version6.0或者之后的版本)
2.Netscape(Version7.0或者之后的版本)
3.FireFox(Version1.5)
登陆webUI的过程
1.确认在SP的命令行中webuion(webui默认是关闭的)
2.例如你的SP系统IP地址是172.16.2.75.请在浏览器中输入HTTPS:
//172.16.2.75:
8888
3.你将会看到下面图片,默认用户名/密码是array/admin
4.输入enable密码,缺省是空
5.进入SP的webUI界面
设备硬件信息、OS版本及License管理
拿到Array的设备,你最先作的是通过LED查看设备硬件运行情况,若Fault灯总是亮的,请联系供应商解决设备硬件故障。
其次,您要登陆到设备上,最好用命令行方式,查看设备的系统信息:
ArraySPRel.SP.8.1.0.0Build9:
是指当前运行的ArrayOS版本
SSLHW:
是指SSL硬件加速卡的信息。
CompressionHW:
是指硬件压缩卡的信息
MaximumSessions:
指设备license允许的最大并发用户数
MaximumVBlades:
指设备license允许的最多VirtualSite数量
LicensedFeatures:
指设备license允许的功能模块
LicenseKey:
Array颁发的设备的LicenseKey,最后的几位数字是license截止的日期,以上例子99999999是无限期的license
如果您拿到Array的SPX设备是新的,设备的license是invalidlicense,您需要向供应商申请license,您需要向他提供以上的showversion信息,最主要的是设备的serialnumber。
拿到新的licensekey后,您需要输入:
AN(config)#systemlicense<
licensekey>
即可使新的license生效,输入后您可以通过showversion查看license信息。
SPX设备基本信息配置
本文以如下的拓扑结构为例作配置说明,双臂结构,以192.168.1.0/24来模拟公网,以10.1.0.0/16来模拟内网。
VirtualSiteIP地址为:
192.168.1.2/24。
设备的outsideIPaddress:
192.168.1.1/24,insideIPaddress为:
10.1.40.2/16
配置主机名:
AN(config)#hostname<
hostname>
:
其中主机名长度最长为64字节
实例:
例如需要配置设备的名称为sp-demo,则命令如下。
AN(config)#hostnamesp-demo
配置端口IP地址:
AN(config)#ipaddress{outside|inside}<
ip-address>
<
netmask>
例如需要对设备的Outside端口和Inside端口进行配置
AN(config)#ipaddressinside10.1.1.2255.255.255.0
AN(config)#ipaddressoutside192.168.1.1255.255.255.0
查看当前端口IP地址命令:
AN(config)#showipaddress
配置路由:
配置默认路由命令:
AN(config)#iproutedefault<
nexthop-gateway-address>
配置静态路由命令:
AN(config)#iproutestatic<
dest-IP>
dest-mask>
实例:
增加一条默认路由和一条静态路由
AN(config)#iproutedefault10.1.1.1
AN(config)#iproutestatic192.168.20.0255.255.255.0192.168.1.1
webUI->
SystemConfiguration->
BasicNetworking->
Interface->
Outside
Inside
Routing
测试网络联通情况
SPX系列产品提供了Ping和traceroute来检查网路的联通状况
ping命令示例:
AN(config)#ping192.168.10.1
Traceroute命令示例:
AN(config)#traceroute192.168.10.1
AdminTools->
Troubleshooting
配置域名服务器
SPX需要指明DNS服务器以提供域名解析服务,尤其是当需要内部域名服务器解析内部域名时。
命令行:
AN(config)#ipdnsnameserverserver_ip
AN(config)#ipdnsnameserver10.1.10.33该IP地址是和server连接的端口地址
DNS
在BasicNetworking和AdvancedNetworking中都有DNS的配置.Basic中的DNS只是配置一条DNSIP,所有DNS查询都会指向这个DNSServer.Advanced中的DNS是SP本机做DNSServer,所有DNS解析都由SP来做,这种情况比较少用.
时区、时间配置
时区、时间的设置对于SSLVPN配置来讲非常重要,这主要是和数字证书的验证有关,数字证书一般是有期限设定的。
时区设定
AN(config)#systemtimezone"
Asia/China/Chinacoast"
时间设定
AN(config)#systemdate<
year>
month>
date>
AN(config)#systemtime<
hour>
minute>
second>
举例:
AN(config)#systemdate200288
AN(config)#systemtime16280
GeneralSettings->
Date/Time
保存配置
SPX系列产品默认有两种配置,一是runningconfig配置,一是startup配置。
Runningconfig配置是系统当前正在应用生效的配置文件,而startup配置文件是系统启动时使用的配置文件。
保存配置命令有以下几种:
AN(config)#writememoryall
作用:
使用runningconfig覆盖全局的startupconfig
SP-Demo(config)#writememory
使用runningconfig覆盖VirtualSite的startupconfig.注意此时是在VirtualSite中
AN(config)#writefileall<
filename>
将当前的runningconfig以文件的形式保存在系统中,待以后应用
AN(config)#writenetscp<
scp-server-ip-address>
user-name>
filepath>
AN(config)#writenettftp<
tftp-ip-address>
[filename]
作用:
将当前的runningconfig以文件的形式保存第三方的scp或tftp服务器上,待以后应用。
ConfigManagement0>
backup
查看配置
AN(config)#showrunning
显示出所有runningconfig的配置内容
AN(config)#showstartup
显示出所有startupconfig的配置内容
AN(config)#showconfigfile[filename]
显示出所有保存的文件列表,或文件中的所有配置内容
View->
StartupConfig
清除配置
AN(config)#clearconfigall
清除所有配置,恢复到出厂状态
AN(config)#no…
清除特定配置命令行
Clear
导入配置
AN(config)#configurememoryall
应用startupconfig覆盖runningconfig
AN(config)#configurefileall<
应用保存的文件中的配置覆盖当前runningconfig
AN(config)#configurenetscp<
scp-ip-address>
AN(config)#configurenettftp<
应用保存在第三方scp或tftp服务器上配置文件覆盖当前runningconfig
Load
升级系统版本
AN(config)#systemupdate<
HTTP/FTP-URL>
升级系统版本,以满足应用需求
AN(config)#systemupdatehttp:
//192.168.1.101/ArrayOS_Re7.3.3.15.click
AN(config)#systemcomponentupdate
给系统更新相应的patch
SystemManagement->
Update
重新启动设备、系统关机
AN(config)#systemreboot
系统重新启动(此时不自动保存配置)
AN(config)#systemshutdown
关闭系统(此时不自动保存配置)
Shutdown/Reboot
更改用户口令和enable口令
AN(config)#passwdenable
更改enable口令,做为runningconfig并立即生效,但不对startup配置有影响
AN(config)#passwduser<
user_name>
更改登陆用户口令
AN(config)#passwdenableabcd
将enable的口令更改为abcd
AN(config)#passwduserarrayabcd
将用户名array的口令更改为abcd
ChangePassword->
ChangePassword
升级会员 