Aventail配置管理手册

1AventailSSLVPN配置管理手册2目录1. 说明.............................................................................................3 2. 基本配置管理................................................................................4 2.1、Networksettings（配置网络参数）.....................................6 2.2、SSLsettings（配置SSL证书）....................................7 2.3、Authentication（配置认证服务器）..................................8 2.4、Resources（建立内部服务器资源）..........................11 2.5、Usersandgroups（定义可访问Aventail的用户）...............12 2.6、Accesscontrol（配置访问控制策略）.............................13 2.7、ASAPWorkPlace(配置用户工作台上显示的资源快捷方式）..15 3.系统管理......................................................................................17 3.1可选的网络管理配置...............................................................17 3.2系统日志与监控.....................................................................19 3.3软件授权管理SoftLicense....................................................23 4.系统备份与更新.............................................................................25 4.1AMC中的工具......................................................................25 4.2系统更新与回滚、恢复出厂设置...............................................26 4.3可导入与导出配置文件...........................................................26 4.4通过AMC导出文件................................................................26 5.故障排除......................................................................................28 6.命令行参考...................................................................................29 31.说明在部署Aventail时，我采用单点模式，或双点模式。一般采用单点模式较多。单点模式：只需连接Aventail内网接口于网络中。双点模式：内网接口接入企业内部网络交换机，而外网接口接入Internet.42.基本配置管理Aventail包括两个界面：一个管理界面叫AventailASAP™(AnywhereSecureAccessPolicy)ManagementConsole，简称Aventail管理控制台(AMC)，另一个则是远程用户访问Aventail的首页界面，叫ASAPWorkPlace――用户工作台。初始化设备配置首次配置Aventail请按以下步骤操作：1、使用串口配置好Aventail的IP，命令行下用户名为Root,密码为用户定义，COM口配置参数使用默认配置，如图：52、当配置好AventailIP后，在IE中输入进入AventailAMCWeb管理、界面,X.X.X.X代表AventailIP.进入AMC的用户名：admin密码为用户在步骤1中配置的密码。3、在使用AMC对Aventail进行配置管理时，可按以下步骤进行配置：（AMC右边会显示以下配置步骤;在配置过程中可点击右上角的home按钮，也可出现此配置向导，如果对某些配置项不知如何配置，可点击右上角的help按钮）Systemconfiguration1.Configurenetworksettings（配置网络参数）2.ConfigureanSSLcertificate（配置SSL证书）3.Defineanauthenticationrealm（配置认证服务器）Accesspolicy4.Createapplicationresources（建立用户可访问的内部服务器资源）5.Defineusersandgroups（定义可访问Aventail的用户）66.Createaccesscontrolrules（配置某个用户访问某个内部服务器资源）7.ConfigureASAPWorkPlace（配置用户工作台上显示的资源快捷方式）8．ConfigureEndPointControl(可选)（配置终端控制，可选配置）2.1、Networksettings（配置网络参数）1、点击networksettings,配置内、外网接口IP,和选择是否启用ICMP2、点击routing,配置到Internet和内部服务器的路由。在Defaultgateway处，输入到Internet的网关。在StaticRoutes处，如果Aventail与内部服务器（如Radius，内部Web服务器）位于不同的vlan，可以在此处配置静态路由73、点击NameResolution,配置内部dns服务器和内部域名。默认情况下，Aventail只会对SearchDomain中的域名站点进行代理，2.2、SSLsettings（配置SSL证书）1、配置用户在访问Aventailworkplace时，发放证书的站点名称。点击sslsettings，再点击self-signedcertificate下面的newcerfiticate,82、在下面出现的界面中，输入用户访问Aventail时的IP或域名，2.3、Authentication（配置认证服务器）1、点击Authenticaion92、在authentication下，点new，配置认证服务器，Aventail支持ldap、local、radius、Activedirectory等，在认证方式上可以是用户名/密码，Token,数字证书。Local认证一般用测试使用，如果选择Local认证，需要在命令行下，使用useraddusername和passwdusername配置用户名和密码。103、配置好认证服务器，然后在Realm下，点击new,配置Realm.在Realm中配置调用刚才配置的认证服务器和允许使用的访问方式，配置在realm下，用户可匹配的终端区域－EndPointCotronlZone.112.4、Resources（建立内部服务器资源）1.从主菜单中点击Resources,在Resources页，点击“New”创建一个新的资源2.在Name与各项中录入相应参数,hostname,IPRang,Subnet,domain，主要针对于C/S资源，URL针对于B/S资源，NetworkShae针对于文件共享资源，可以输入\\servername\sharename。CreateshortcutonASAPWorkPlace，是针对Url和networkShare资源的，用户可选择是否在Workplace（用户工作台）上显示该B/S和文件共享资源的快捷方式。122.5、Usersandgroups（定义可访问Aventail的用户）1、点击主菜单userandgroups,用户在此可配置用户或用户组。2、如果使用Radius和local认证，需要手工输入新建的用户或用户组名。3、如果使用ldap或Activedirectory认证，点击Search按钮，可直接读出认证服务器的用户信息。132.6、Accesscontrol（配置访问控制策略）1、点击主菜单Accesscontrol,管理员可新建策略配置用户的访问控制权限。管理员可通过moveup,movedown按钮调整策略执行的优先级，策略由下至下检查，如果都不匹配，则拒绝访问。默认策略允许any访问Workplace，如果删除此策略，用户则不能登录Aventail首页。2、点击new按钮，新建策略，管理员可直接调用建好的用户或用户组，资源名，进行策略控制，可定义用户只能使用的访问方式，并且可配置用户所处于的endpointzone。143、点击Advanced后面的按钮，可指定用户源IP址，可配置用户对文件共享资源的读、写权限，访问内部服务器只开放的port,可配置用户某一个时间段可访问等等。152.7、ASAPWorkPlace(配置用户工作台上显示的资源快捷方式）1、点击主菜单ASAPWorkplace,管理可对workplace上的快捷方式进行管理。这些快捷方式只针对于web和文件共享资源。162、点击WorkPlaceAppearance，管理员可配置workplace（用户工作台）的样色，如颜色、Logo,主题，帮助文件等等。173.系统管理3.1可选的网络管理配置a.SSH远程管理允许远程管理1)从主菜单中，单击Services2)在NetworkServices区域里单击ConfigureSSH3)允许SSH，选中“EnableSSH”184)输入你允许通过SSH的访问主机IP地址与网络掩码，然后点击”Add”5)点击”Save”,保存设置删除一个SSH访问主机1)点击“Delete”按钮，移除选中的主机2)点击”Save”,保存设置注：在进行系统升级时不要使用SSH，推荐便用串口控制台进行升级。b.允许ICMPPing1)在主页面的菜单中，点击“NetworkSettings”2)在ICMP区域，选中“EnableICMPpings”3)点击“Save”，保存设置193.2系统日志与监控日志文件类型Messagelog:日志显示Server的处理与诊断信息，包括WEB、Client/Server服务。也提供详细的所有访问控制信息；每时用户请求与对应的规则、策略，Logfile记录与说明执行的动作。在AMC的ViewLogs可以访问WebandClient/servermessageslog。文件名是/var/log/aventail/access_servers.logAccesslogs:有两个访问日志，一个是WebService，另一个是Client/Server;这两个日志将提供详细的信息：当前有效连接，还包括用户访问表与传送数据统计。在AMC的ViewsLog中访问Client/ServerAccesslog或WebAccesslog.文件名是/var/log/aventail/ertranet_access.log或/var/log/aventail/ertraweb_access.log。ASAPWorkPlacelog:提供关于ASAPWorkPlace文件出错