junipersslvpn配置手册.docx
《junipersslvpn配置手册.docx》由会员分享,可在线阅读,更多相关《junipersslvpn配置手册.docx(29页珍藏版)》请在冰豆网上搜索。
junipersslvpn配置手册
JuniperNetscreenSSLVPN
配置手册
一、初始化设置
、通过Console连接SSLVPN
SSLVPN的初始化是通过设备的Console端口完成的,Console的设置如下:
9600,8,N,1。
在管理员的计算机上使用任意终端软件,包括HyperTerminal,Crt,SecureCrt等等都行。
把设备的Console线连接至SSLVPN的Console端口,开启电源开关,通过终端软件就能观察到设备启动自检的过程。
、填写初始化信息
当系统自检到如下信息时:
Welcometotheinitialconfigurationofyourserver!
NOTE:
Press'y'ifthisisastand-aloneserverorthefirst
machineinaclusteredconfiguration.
Ifthisisgoingtobeamemberofanalreadyrunningcluster
pressntoreboot.Whenyouseethe'HitTABforclusteringoptions'
messagepressTABandfollowthedirections.
Wouldyouliketoproceed(y/n):
y(选择Y)
Notethatcontinuingsignifiesthatyouaccepttheterms
oftheNeoterislicenseagreement.Type"r"toreadthe
licenseagreement(thetextisalsoavailableatanytime
fromtheLicensetabintheAdministratorConsole).
Doyouagreetothetermsofthelicenseagreement(y/n/r):
y(选择Y)
初始化网络信息:
Pleaseprovideethernetconfigurationinformation
IPaddress:
Networkmask:
Defaultgateway:
(填入用户需要的IP地址,掩码和网关等信息。
注意:
所有网络信息都会设置到SSLVPN的InternalInterface上)
Linkspeed[Auto]:
0)Auto
1)1000Mb/s,FullDuplex
2)1000Mb/s,HalfDuplex
3)100Mb/s,FullDuplex
4)100Mb/s,HalfDuplex
5)10Mb/s,FullDuplex
6)10Mb/s,HalfDuplex
Select0-6:
0(选择用户需要的速率)
PleaseprovideDNSnameserverinformation:
PrimaryDNSserver:
Secondary(optional):
(填入用户需要的DNS地址,可以是内部的DNS服务器的IP地址)
DNSdomain(s):
(填入用户需要的域名,无特别限制)
PleaseprovideMicrosoftWINSserverinformation:
WINSserver(optional):
确认初始化信息:
Pleaseconfirmthefollowingsetup:
IPaddress:
Networkmask:
GatewayIP:
Linkspeed:
Auto
PrimaryDNSserver:
SecondaryDNS:
DNSdomain(s):
WINSserver:
Correct(y/n):
y(确认无误后,选择Y)
初始化安全信息:
Adminusername:
admin
Password:
Confirmpassword:
Theadministratorwassuccessfullycreated.(填入用户设定的管理员帐号和密码)
设置SSLVPN自签证书:
Pleaseprovideinformationtocreateaself-signedWebserverdigitalcertificate.
Commonname(example:
Organizationname(example:
CompanyInc.):
juniper
(这个部分输入用户的证书信息,无特殊限制)
Pleaseentersomerandomcharacterstoaugmentthesystem'srandomkeygenerator.Werecommendthatyouenterapproximatelythirtycharacters.
Randomtext(hitenterwhendone):
dkfjlkkjffieejjkdnfkkfjiiiffoperjoootpqe454646
(这个部分输入30个左右的字符以产生证书)
Creatingself-signeddigitalcertificate...
Theself-signeddigitalcertificatewassuccessfullycreated.
Congratulations!
Youhavesuccessfullycompletedtheinitialsetupofyourserver.
(当您看到这句话时证明你已经成功的初始化SSLVPN了)
(notethe's'in10.10.22,管理员可以通过URL来管理设备啦)
、使用浏览器连接SSLVPN
如下图:
在这个Web页面中填入刚刚建好的管理员帐号和密码就可以登陆到SSLVPN进行管理啦,至此SSLVPN初始化过程完毕。
二、SSLVPN基本设置
、网络接口设置
在初始化过程中我们设置了SSLVPN的InternalInterface,接下来我们设置ExternalInterface。
在浏览器上点击“Network--ExternalPort--Setting”得到下图:
在上图中,填入相应的ExternalPort设置,即完成了SSLVPN的网络初始设置。
、设置SSLVPN的License
SSLVPN要正常工作,必须要有合适的License,所以给SSLVPN添加License是必不可少的。
在浏览器上点击“Configuration--Licensing”得到下图:
如上图所示,此设备拥有的是一个临时License,包括了1000并发用户数和4周的试用期限等。
在添加License过程中,只需要在CompanyName和LicenseKey两个空栏中填入相关信息即可。
、添加用户认证服务器
在配置完SSLVPN网络信息和License之后,就可以正常的使用SSLVPN了。
为了让用户能够顺利的登入企业网,必须给用户进行身份认证。
在身份认证的过程中,管理员可以选择使用SSLVPN内部的自建帐号认证用户,也可以结合企业内部的认证服务器进行认证。
对于选择不同的认证服务器的帐号,他们将会属于不同的SSLVPN认证域。
例如,我们可以利用一个SSLVPN自建的认证服务器,认证合作伙伴和分支机构的用户;利用内部的LDAP服务器认证总部本地的员工。
在浏览器上点击“Signing--Authentication/Authorization”得到下图
在这个页面中,管理员将看到两个内置的认证服务器,Administrators和SystemLocal。
其中Administrator是添加SSLVPN管理员帐号的,而SystemLocal是SSLVPN内建的一个普通用户的认证服务器。
这是如果我们想添加一个新认证服务器及认证域时,点击页面上的“NewServer”,并在New的选栏中选择“IVEAuthentication”得到下图:
在该页面上的Name中输入认证服务器的名字(本例中是:
IveLocal)等用户需要填入和勾选的其他选项,最后点击SaveChanges即完成新加一个认证服务器的设置了。
、添加认证用户
在的图中选择Users,即可进入到新建认证服务器的用户添加页面,如下图:
点击New,即可加入在新建的认证服务器(本例的认证服务器是IveLocal)中添加一个用户,如下图:
添加用户名和密码后,认证服务器Ivelocal就可以对这个新建用户进行身份的认证了。
、添加SSLVPN的认证域
每一个不同的认证服务器都可以有自己一套的用户数据库,无论使用的是SSLVPN内置机制建立的用户帐号数据库,还是使用集成企业内网的目录数据库,为了使认证机制更加合理和条理化,避免出现帐号重复和认证混乱的局面,JuniperSSLVPN引入了认证域的功能,在SSLVPN上把不同的认证服务器加入到不同的域,来认证不同域上的用户,同时也方便用户了解自己登陆时应该选择哪一个认证域和哪一个认证帐号。
点击“Authentication”,得到下图:
点击“new”,得到下图:
在“Name”中,填入用户希望填入的认证域名。
在“Authentication”中,选择使用认证服务器Ivelocal来认证用户,最后点击“SaveChanges”即完成了认证域的添加。
至此,JuniperSSLVPN的基本配置,包括添加License和身份认证等设置都已完毕。
三、角色映射和功能模块
、添加角色
在用户通过SSLVPN的身份认验证之后,需要给用户分配角色,这个角色是在SSLVPN中设置的,并且这个角色决定了用户能够在企业内网中享有什么样的权限和能访问什么样的资源。
点击,SSLVPN管理界面左栏的Roles,如下图:
得到下图:
点击NewRole添加一个角色:
、角色映射
在添加完角色后,就需要进行角色映射的工作,因为任何一个用户在身份认证之后,必须要把他映射成为SSLVPN中的一个角色,这样他才能拥有这个角色所能使用SSLVPN的功能模块和这个角色所能访问企业内网资源的权利。
以Office-Realm中的用户为例,点击Authentication-Office-Realm-RoleMapping,得到下图:
选择NewRule…
在“is”的下拉菜单右边文本框中填入相应的用户名字,可以是某一具体的用户名,也可以用通配符表示用户名,例如:
“*”表示人任何用户。
在“AvailableRoles:
”下的文本框中,选择相应的角色,分配给这个用户。
例如如果我要把所有用户都分配给Users这个角色,则需要在”IS”下拉菜单右边的文本框中填入“*”,在“AvailableRoles”中选择“Users”加入到“SelectedRoles”中即可。
这样一个用户的角色映射就完成啦。
、功能模块
JuniperSSLVPN上有三个功能模块,一个是基于Web功能和文件共享的Core模块,一个是保证C/S结构应用(例如:
Lotus,Exchange,ER
升级会员 