AG-PC-L3VPN-配置指南

AGPCL3VPN配置指南2014ArrayNetworks,Inc.AllRightsReserved.1AGPCL3VPN配置指南发布日期：2014年9月3日版本：1.2修订记录版本日期描述1.02014-6-14首次发布。1.12014-8-22更新4.2.1.4启用VPN章节的截图。1.22014-9-3更新5.1L3VPN章节的验证步骤。AGPCL3VPN配置指南2014ArrayNetworks,Inc.AllRightsReserved.21目的本文档介绍如何配置Array的AG设备的L3VPN，来实现Windows/MacOS/Linux平台上的应用安全地访问远程内部资源。2功能概述ArrayPC应用接入L3VPN方案提供的主要功能包括：安全认证：–支持硬件特征码绑定；–支持证书认证；–支持用户名密码认证；–支持任意组合上述认证方式；Web应用发布：–支持域名资源发布；–支持SSO；C/S应用发布：–支持所有基于IP的资源访问；DNS管理：–本地DNS缓存；–DNS优先级设置；安全管理：–基于用户/组/角色的ACL–动态ACL客户端安全：–主机检测；–缓存清理；–适应性策略；AGPCL3VPN配置指南2014ArrayNetworks,Inc.AllRightsReserved.33应用场景Figure3–1应用场景拓扑图上图为一种典型的L3VPN的应用场景。用户在Windows/MacOS/Linux系统上通过浏览器可以访问虚拟站点的门户页面，建立SSLVPN隧道，确保安全地访问内网的Web服务器和应用服务器。此外，如果客户配置了L3VPN自动启动，其用户通过Web方式启动VPN后，AG为客户端分配了内网IP地址。此时用户可以通过VPN隧道直接访问Welcome页面中的内网Web资源，而无需通过WRM或QuickLink方式来改写Web资源。此类Web资源称为DirectLink。AG支持FrontendSSO功能，可以为DirectLink资源进行单点登录。如果内网Web资源需要登录且登录凭证与虚拟站点的登录凭证不一致，为Web应用开启ApplicationSSO就可将用户从账户传给后台Web服务器。这样用户登录虚拟站点的门户后访问内网Web资源无需再次输入用户名和密码。目前FrontendSSO只支持最常见的Post登录方式。4配置示例4.1前置条件外部条件：在AG上创建了虚拟站点，作为发布内部资源的统一门户。为虚拟站点配置了相应的AAA。内部条件：AG的软件版本升级到ArrayOSAG9.3.0.55及以上。AGPCL3VPN配置指南2014ArrayNetworks,Inc.AllRightsReserved.44.2配置步骤4.2.1基本配置4.2.1.1添加Netpool在虚拟站点下，选择访问方法VPN通用设置Netpool，在Netpool区域点击增加Netpool操作链接，如下图所示。在增加Netpool页面，指定参数Netpool名称，根据需要设置其他参数，然后点击保存，如下图所示。选中并双击Netpool配置项，如下图所示。选择常规IP地址，在动态IP地址范围表中，设置起始IP地址和结束IP地址参数，然后点击添加按钮，如下图所示。AGPCL3VPN配置指南2014ArrayNetworks,Inc.AllRightsReserved.54.2.1.2添加VPN网络资源在虚拟站点下，选择访问方法VPN通用设置VPN资源，在VPN资源组列表区域点击增加操作链接，如下图所示。在添加VPN资源组区域，设置参数组名。在网络类型VPN资源项区域，设置网络资源参数，并将类型指定为“Network”，然后点击保存，如下图所示。注意：网络资源指定为0.0.0.0，表示FullTunnel；若指定为非0.0.0.0，表示SplitTunnel。4.2.1.3将VPNNetpool和网络资源分配给指定角色定义角色AGPCL3VPN配置指南2014ArrayNetworks,Inc.AllRightsReserved.6在虚拟站点下，选择用户策略角色角色，在角色列表表格中，设置参数角色名称、描述和优先级，然后点击添加角色按钮，如下图所示。点击角色资格页签，在角色资格列表区域点击添加操作链接，如下图所示。在添加角色资格区域，设置参数角色名称和资格，然后点击保存操作链接，如下图所示。注意：如果不指定资格的条件参数，那么所有用户都满足该资格，也就能够获得该角色。也可以根据需要设定资格的条件，让部分用户能够获得该角色。分配Netpool资源给角色选择角色资源VPN，在Netpool资源区域，点击添加操作链接，如下图所示。AGPCL3VPN配置指南2014ArrayNetworks,Inc.AllRightsReserved.7在添加Netpool资源区域，指定参数角色名称和Netpool名称，然后点击保存操作链接，如下图所示。分配VPN网络资源给角色在VPN资源组资源区域，点击添加操作链接，如下图所示。在添加VPN资源组资源区域，指定参数角色名称和组名，然后点击保存操作链接，如下图所示。AGPCL3VPN配置指南2014ArrayNetworks,Inc.AllRightsReserved.84.2.1.4启用VPN在虚拟站点下，选择访问方法VPNSSLVPN，勾选启用VPN复选框，然后点击应用修改按钮，如下图所示。4.2.2DirectLink和FrontendSSO配置在虚拟站点下，选择用户策略角色角色资源Web，在WRM资源区域点击添加操作链接，如下图所示。在添加WRM资源区域，指定参数角色名称、URL、显示名称和位置，勾选直连连接和启用前端SSO复选框，然后点击保存操作链接，如下图所示。AGPCL3VPN配置指南2014ArrayNetworks,Inc.AllRightsReserved.9选择访问方法Web访问服务器访问基本设置，在SSOPost区域点击添加操作链接，如下图所示。在添加SSOPost区域，设置参数主机名称、登陆URL、用户名字段和密码字段，根据需要设置其它可选参数，然后点击保存操作链接，如下图所示。AGPCL3VPN配置指南2014ArrayNetworks,Inc.AllRightsReserved.10注意：启用书签和HTTP首部字段两个参数对FrontendSSO无效。主机名称与登录URL拼接起来必须与角色资源的WebURL一致。例如如果资源的WebURL是，那么主机名称应为doc.arraynetworks.com.cn，登陆URL为/OpenKM/frontend/j_security_check。5配置验证5.1L3VPN1.在PC上打开浏览器（以IE为例），在地址栏中输入虚拟站点URL，例如，然后按Enter键。2.在Login页面，设置Username和Password，然后点击SignIn，如下图所示。3.登录成功后，在弹出的Welcome页面的VPNNetwork区域，点击Connect按钮，根据提示安装Web-LaunchVPNClient，如下图所示。AGPCL3VPN配置指南2014ArrayNetworks,Inc.AllRightsReserved.114.右键单击红色，点击ViewVPNStatus，如下图所示。5.在Status页签，确认AssignedIPAddress在Netpool的动态IP地址范围中。6.点击NetworkResource页签，确认NetworksList为配置的VPN网络资源，如下图所示。5.2DirectLink和FrontendSSO1.返回Welcome页面（保持VPN已连接），在WebLinks页面，点击DirectLink资源的链接，如下图所示。AGPCL3VPN配置指南2014ArrayNetworks,Inc.AllRightsReserved.122.确认地址栏中的DirectLink的URL未经改写，不需输入用户名和密码即可访问该资源，如下图所示。