H3C SSL***配置命令（h3c官网）

H3C SSL***配置命令（h3c官网）

1 .配置接口IP地址、路由、安全域及域间安全策略保证网络可达，具体配置步骤略

2 .配置SSL *网关

配置SSL *网关gw的IP地址为1.1.1.2（公网地址），端口号为4430。

system-view

[Device] ssl* gateway gw

[Device-ssl*-gateway-gw] ip address X.150.20.24 port 4430

[Device-ssl*-gateway-gw] service enable

[Device-ssl*-gateway-gw] quit

3.创建SSL *客户端地址池

创建为SSL 客户端分配地址的地址池sslpool，地址范围为10.1.1.1～10.1.1.10。

[Device] ssl ip address-pool SslPool 10.1.1.1 10.1.1.10

4.创建SSL * AC接口

创建SSL * AC接口1，配置该接口的IP地址为10.1.1.254/24。

[Device] interface ssl*-ac 1

[Device-SSL*-AC1] ip address 10.1.1.254 24

[Device-SSL*-AC1] quit

将SSL*-AC1接口加入到安全域

[Device]security-zone name Untrustimport interface SSL*-AC1

5.配置SSL *访问实例

配置SSL 访问实例Ssl，引用SSL *网关gw，指定域名为domainip。

[Device] ssl context Ssl

[Device-ssl-context-ctxip] gateway gw domain Ssl

配置IP接入引用的SSL * AC接口1.

[Device-ssl-context-ctxip] ip-tunnel interface ssl-ac 1

创建路由表rtlist，并添加路由表项192.168.200.0/24。

[Device-ssl***-context-ctxip] ip-route-list SERVER

[Device-ssl***-context-ctxip-route-list-rtlist] include 192.168.7.0 24

[Device-ssl***-context-ctxip-route-list-rtlist] quit

引用SSL 客户端地址池SslPool和配置下发DNS。

[Device-ssl-context-ctxip] ip-tunnel address-pool SslPool mask 24

[Device-ssl***-context-ctxip] ip-tunnel dns-server primary 192.168.7.2

创建SSL 策略组Ssl，引用路由列表rtlist，并同时配置对IP接入进行ACL过滤。

[Device-ssl-context-ctxip] policy-group Ssl

[Device-ssl***-context-ctxip-policy-group-resourcegrp] ip-tunnel access-route ip-route-list SERVER

[Device-ssl***-context-ctxip-policy-group-resourcegrp] filter ip-tunnel 3300

[Device-ssl***-context-ctxip-policy-group-resourcegrp] quit

开启SSL ***访问实例ctxip。

[Device-ssl***-context-ctxip] service enable

[Device-ssl***-context-ctxip] quit

#创建ACL 3300，规则为允许源IP为10.1.1.0/24的报文访问目标IP网段192.168.200.0/24。

[Device] acl advanced 3300

[Device-acl-ipv4-adv-3300] rule permit ip source 10.1.1.0 0.0.0.255 destination 192.168.200.0 0.0.0.255

[Device-acl-ipv4-adv-3300] quit

6.配置SSL ***用户

创建本地SSL 用户ssluser，密码为123456，用户角色为network-operator，授权用户的SSL ***策略组为resourcegrp。

local-user weixy class networkpassword simple weixyservice-type sslauthorization-attribute ssl-policy-group Ssl***authorization-attribute user-role network-operatorquit

WEN:sslvpn context Weixygateway Weixy domain Weixyurl-list URLLISTheading weburl Tongyirenzheng url-value Weixyresources url-list URLLISTservice enable

sslvpn gateway Weixyip address 182.150.20.24 port 65002service enable

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。