No3_Array_SPX工程安装配置手册_应用模块配置部分

1ArraySPX工程安装配置手册应用模块配置部分一、VirtualSite中各个应用模块的配置.....................................................................11.WRMPortal配置........................................................................................12.FileSharing配置............................................................................................43.ApplicationManager配置.............................................................................51.1JavaApplet方式..................................................................................61.2WindowsRedirect方式.......................................................................94.隧道式L3VPN配置.....................................................................................10VirtualSite中各个应用模块的配置SSLVPN不同于IPSecVPN、MPLSVPN之一便是对于用户内部应用访问可以是多种方式，在不同的层次上实现。我们以其中主要的几个模块为例来介绍其配置过程。WRMPortal配置WRM模块是访问用户内部WEB服务器的一种方法，我们成为L7访问模式。这里主要介绍Portal的客户化配置。SiteConfiguration-Portal-GeneralSettings-CommonSettings2如果您不想用ArraySPX提供的缺省Portal界面，可以采用内部WEB服务器提供的Portal界面，即UserCustomPage选项。不过要使用SSLVPN提供的各个应用模块，注意需要将相应的link指向SPX。命令行为SP-Demo(config)$portalcustomurl如：SP-Demo(config)$portalcustom如果您使用SPX提供的缺省Portal界面，则不需要配置PortalCustomer选项，这时您可以配置一些欢迎信息，即PortalPages命令行为SP-Demo(config)$portalmessagewelcomemessageSP-Demo(config)$portaltitletitle如：3SP-Demo(config)$portaltitleWelcomeToVsTepcoSP-Demo(config)$portalmessagewelcomewelcometoarraynetworks您可以将Array的logo换成您自己的logo图片命令行为SP-Demo(config)$portallogourl如：SP-Demo(config)$portallogo您可以将Portal配置成中文界面命令行为SP-Demo(config)$portallanguagelanguage如：SP-Demo(config)$portallanguagechinese-GB2312建立快速连接，您可以在Portal上列出几个快速连接的站点，只需要鼠标点击相应link即可访问：4命令行为：SP-Demo(config)$portallinkurllink_text[link_position]如：SP-Demo(config)$portallink配置通过这个模块，您可以通过SSLVPN的门户安全访问内部的文件共享服务器。我们以Windows文件服务器为例。为了安全，可以选择不显示导航工具栏。注意：为了保证文件共享功能的正常，请保证SPX与文件服务器之间的通讯。如果是微软的WINDOWS文件服务器，请保证SPX可以访问其TCP445（MicrosoftDS）端口。AccessMethods-FileAccess-CIFSServices5命令行为：SP-Demo(config)$filesharecifs{on|off}SP-Demo(config)$filesharecifslinklink_textserviceworkgroup]如：SP-Demo(config)$filesharecifsonSP-Demo(config)$filesharenavbarSP-Demo(config)$filesharecifslinksoft1//10.1.175.7/softApplicationManager配置ClientApp是实现用户内部C/S结构应用的一种方法，其核心思想是TCPForwardingProxy机制，我们称为L4方式。这里又分为JavaApplet方式和WindowsRedirect方式两种。6JavaApplet方式这种方式客户端需要从SPX上下载一个javaapplet，他工作在客户端起到一个TCPforwardingproxy作用，监听特定的域名和特定TCP端口范围的应用访问，转换到SSLVPN访问。例如，用户内部有邮件服务器，SMTP服务，TCP25端口，域名：smtp.arraydemo.com，服务器IP：10.1.10.33。clientapponclientappautohostmap会在客户端自动修改hosts文件，改变域名映射关系。clientapphostlocal_host[local_ip]Local_host：指映射的域名，如smtp.arraydemo.com，客户端访问的域名，客户端的hosts文件会修改映射关系，将smtp.arraydemo.com指向本机Local_ip。Local_IP：指映射的本机IP，可以是127.0.0.X，如127.0.0.1。clientappservicelocal_hostlocal_portdescriptionserver_ip[server_port][server_port_last]local_host：指映射的域名，如smtp.arraydemo.com，同上。Local_port：TCP服务器监听的TCP端口，本例指向25端口。Description：简单的服务描述，会显示在客户端。Server_ip：邮件服务器的IP地址。Server_port：运行在客户端的javaapplet监听的端口，可以和服务器的相同，也可以不同。若不同于服务器端的，需要改变客户端应用所指的服务端口。如：SP-Demo(config)$clientapponSP-Demo(config)$clientappautohostmap7SP-Demo(config)$clientapphostsmtp.arraydemo.com127.0.0.1SP-Demo(config)$clientappservicesmtp.arraydemo.com25smtpservices10.1.10.3325AccessMethods-TCPApplications-GeneralSettings8AccessMethods-TCPApplications-HostMappingAccessMethods-TCPAplications-Services9WindowsRedirect方式这种方式只能运行在Windows的客户端，并且是使用IE浏览器的系统里，需要客户端支持Java或ActiveX。具体又分为两种模式，基于目标IP方式，基于客户端应用程序名字方式。1.基于目标IP地址方式：当使用SSLVPN的客户端访问特定的IP地址和特定TCP端口范围时，客户端下载的插件会将应用Direct到SSLVPN里面。这里有个限制，客户端的访问是基于IP地址的。我们还是以访问内部应用服务器为例，服务器地址为：10.1.10.33，端口范围为25－8888。这里包括SMTP服务，POPO3服务等很多端口。命令行为：clientappwinredir{on|off}clientappwinrediripdescriptionlocalip[server_port][server_port_last]LocalIP：内部服务器的IP地址，这里指10.1.10.33Server_Port：监听的起始TCP端口Server_Port_last：监听的末TCP端口如：SP-Demo(config)$clientappwinredironSP-Demo(config)$clientappwinrediriptest10.1.33.4410.1.33.442588882.基于客户端应用程序方式：当使用SSLVPN的客户端运行特定的应用程序时，客户端下载的插件会将应用Direct到SSLVPN里面。也同样必须是Windows，使用IE浏览器的客户端系统。我们以客户端使用secureCRT.exe应用程序为例。命令行为：clientappwinredir{on|off}10clientappwinredirexeexe_name[md5_hash]exe_name：客户端应用程序的名字，这里指secureCRT.exemd5_hash：经常用0将所有这些可以执行程序Direct到SSLVPN。如：SP-Demo(config)$clientappwinredironSP-Demo(config)$clientappwinredirexe“crtexeserviceSecureCRT.exe0AccessMethods-TCPApplications-WindowsRedirector隧道式L3VPN配置这个模块会在SSLVPN客户端生成一个虚拟网卡，在客户端与SPX之间形成一个隧道，这要求客户端具有Administrator权限并且支持ActiveX插件。目前可以在Windows、Linux、MacOS操作系统上运行。当使用隧道VPN时，客户端就好像已经连接到企业内网，所以建议使用L3VPN时通过ACL控制列表加以权限控制。配置过程为：111．启动L3VPN功能2．建立L3VPN地址池，同时确定使用SplitTunnel还是FullTunnel模式。SplitTunnel模式可以让客户端只有访问企业内网（特定地址范围）才走L3VPN，而FullTunnel将所有的数据流都导入到L3VPN。3．在相应地址池内建立客户端IP地址分配规则，如果采用Split模式，还要确定授权L3VPN访问的地址段。命令行为：vpn{on|off}vpnautolaunchvpnnetpoolnamenetpool_name{split|nosplit}建立一个地址池，并确定采用SplitTunnel还是FullTunnel。vpnnetpooldefaultnetpool_name确定使用哪个地址池时缺省地址池，此项一定要选。vpnnetpooliprangedynamicnetpool_namefirst_iplast_ip确定地址池的IP地址范围vpnnetpoolzonenetpool_name