渠道高级认证培训12_特殊需求配置指导培训课件.ppt

培训内容 培训目标 特殊需求配置指导 1.客户端去除警告框提示配置指导 2.通过SSL接入访问IPSEC VPN对端服务 客户端去除警告框提示配置指导 深信服公司简介 通过SSL接入访问IPSEC VPN对端服务 SANGFOR SSL 客户端去除警告框提示配置指导 客户端去除警告框提示配置指导 介绍：SSL 客户端使用IE登录时，会弹出安全警报框，影响客户端的登录。文 档主要介绍针对客户端为IE8.0的情况下，去除安全警报的操作。 一、客户端使用IE8.0的操作方法： 现象：客户端登录SSL VPN弹出安全警报框： 1.“该安全证书由您没有选定信 任的公司颁发，可以查看证书以 便确定您是否信任该验证机构” 标记为“感叹号”：根证书在本 地电脑没有正确安装导致。 2.“安全证书到期”标记为“感 叹号”：客户端电脑时间不在服 务器证书有效时间内。 3. “安全证书名称无效” 标记为 “感叹号”：SSL设备下发的服务 器证书中的域名与客户端电脑实 际访问的不一致。 为什么会出现这个警告呢？ 客户端去除警告框提示配置指导 二、去除“安全警报”框步骤： 1.登录SSL设备控制台---SSL VPN设置---认证配置---证书与USB-KEY认证---设置 点击更新证书，选择内置CA---修改，点击下一步 勾选同时更新设备证书，选择第一项，点击下一步 注意：此处生成的证书为设备下 发的客户端证书。“颁发给”一 定要填上登录SSL VPN客户端的 固定IP或者域名。 点击立即生效，重启SSLVPN服务。 客户端去除警告框提示配置指导 2.登录SSL客户端，点击继续浏览此网站--证书错误---查看证书 点击“证书路径”，选择根 证书，点击“查看证书”。 此处“SUPPORT”就是SSL 根证书 点击“安装证书”，按照提 示，把证书安装上 客户端去除警告框提示配置指导 点击“安装证书”，按照提 示，把证书安装上 注意：要保证电脑的时间要 在证书的有效起始日期内。 安装完后，结果如左图： 客户端去除警告框提示配置指导 三、效果展示： 在IE工具中查看受信任的根证书安装情况 做完以上步骤，重启IE重新登录SSLVPN客户端就不会弹出“安全警报”框了。 通过SSL接入访问 IPSEC VPN对端服务 通过SSL接入访问IPSEC VPN对端服务 一、需求背景 分支和总部建立IPSEC VPN，分支SSL移动用户接入SSL后，需要访问总部的服务器，根据客户需求构建拓扑如下： 部署方案： 1、总部与各个分支通过深信服IPSEC VPN组成VPN网络。 2、各地均选用SSL VPN设备，以实现安全便捷的接入。 3、各地SSL接入后，再通过IPSEC VPN访问总部服务。 通过SSL接入访问IPSEC VPN对端服务 二、配置思路 步骤二：分支SSL添加总部服务器资源，资源类型任意。 步骤一：分支和总部建立IPSEC VPN连接。 步骤三：移动SSL用户接入SSL VPN后，访问总部服务器资源，总部需要注意回包 路由，保证服务器的回包能正常回到总部设备上。 注：步骤一和步骤二配置比较简单，此处不讲，本PPT主要讲步骤三的配置。 通过SSL接入访问IPSEC VPN对端服务 三、步骤三配置指导 SSL资源服务模式有两种，如下图 数据包从SSL隧道进入IPSEC隧道 之后的源IP地址是IPSEC VPN的 虚拟网卡接口IP 数据包从SSL隧道进入IPSEC隧道 后的源IP地址是SSL虚拟IP池地址 所以数据包到达总部服务器的源IP也对应不同，服务器的回包目的IP也相应不同， 分为下面两种情况： 通过SSL接入访问IPSEC VPN对端服务 SSL资源服务模式 使用设备的 IP地址作为 源地址 使用分配的 虚拟IP地址 作为源地址 源IP地址是 IPSEC 虚拟 网卡接口IP 源IP地址是 SSL虚拟IP 池地址 网关模式 单臂模式 网关模式 单臂模式 三、步骤三配置指导 此时服务器的回包一般经过总 部设备，可以正常访问 总部内网需要添加到分支设备 IPSEC 虚拟网卡接口IP的回 包路由 此时服务器的回包一般经过总 部设备，可以正常访问 方法1:总部内网添加到分支SSL 设备虚拟IP池网段的回包路由 方法2:总部设备LAN口做SNAT 将源IP转化成总部LAN口地址 总部部署模式 通过SSL接入访问IPSEC VPN对端服务 步骤三如果是上述这种情况，通过上面的配置，服务器的回包到达总部设备，此时总部设备并没有分支SSL虚拟池网段的路由，需要添加到SSL虚拟池网/24的路由，解决方法： 方法1:总部设备添加隧道间路由，目标/24，下一跳为分支设