21、华为AR2240系列HTTPS以及SSL VPN配置详解(TEST系列文档) V1.0

admin管理员组

文章数量:1535375

2024年7月10日发(作者：)

TEST系列文档

-----------------------------------------------------------------------------------------------------------------------------------------------

为AR2240系列HTTPS以及SSL VPN配置详解

Version 1.0 update:2014-09-11 By：鲍中帅

一、配置HTTPS服务器 ................................................................................................................................... 2

二、配置SSL VPN ............................................................................................................................................ 2

三、访问SSL VPN ............................................................................................................................................ 3

四、注意事项 .................................................................................................................................................. 4

1 / 5

TEST系列文档

-----------------------------------------------------------------------------------------------------------------------------------------------

一、配置HTTPS服务器

pki realm default //可以直接使用默认的域

enrollment self-signed

#

ssl policy 1 type server //创建一个ssl 服务类型的策略；并关联pki域

pki-realm default

#

http secure-server port 4431 //如有有需要可以更改默认的端口，默认端口443；

http secure-server ssl-policy 1 //与SSL策略关联；

http secure-server enable//开启HTTPS服务；

#

需要注意的是，在配置SSL VPN之前，必须要先配置成HTTPS服务器；

二、配置SSL VPN

#

sslvpn gateway test

//创建SSLVPN的网关，名称为bdms；后续访问这个网关的方式为：ip/test；

intranet interface GigabitEthernet0/0/1

//指定一下连接内部用户的接口，部分设备上还需要配置外网接口；命令类似；

bind domain default

//绑定验证的用户的AAA域；部分设备上sslvpn的用户是直接在这个下面配置的，但相对于调用

aaa域，很明显域更好用；

2 / 5

TEST系列文档

-----------------------------------------------------------------------------------------------------------------------------------------------

Enable //开启这个网关；

service-type ip-forwarding resource ipforwardresource

//提供ip转发服务；SSL VPN提供的服务还有web代理以及端口转发总共三种；

bind ip-pool ssh_user //IP转发需要给SSLVPN登入的用户分配一个内网地址，这里就是绑定之

前在全局下创建的地址池；

#

ip pool ssh_user //创建给SSLVPN用户分配的内网地址，有需要可以设置网关、DNS；

network 10.10.10.0 mask 255.255.255.0

#

aaa //在AAA域里创建SSL VPN的用户，注意服务类型一定要有sslvpn；

local-user test password simple test

local-user test service-type sslvpn

另外，如果有需要可以修改SSL VPN登入的端口，默认情况下为443；

sslvpn server port 4111

三、访问SSL VPN

在浏览器输入AR2240设备的公网接口，格式为：

ip/sslvpn网关名称；

例如：112.112.112.112/test，其中test为刚刚在上面创建的sslvpn网关名；

3 / 5

TEST系列文档

-----------------------------------------------------------------------------------------------------------------------------------------------

这就是登陆后的界面，此界面可以定制；包括logo以及名称；

输入之前在AAA中创建的user即可登录；

之后会出现登录成功的界面，左边栏显示的是具有的服务；右边是启动相应的服务；点击启动即

可；

四、注意事项

A、SSL VPN无须使用专门的VPN客户端，而是采用HTTPS方式登录，简单、高效；但在后续的

用户交互过程中是通过调用JAVA组件来实现的，其中就需要访问者PC上安装相应的软件，在第一次

登录时，也会提示去访问去下载最新的组件；用户只需要第一次安装即可，以后无须再

安装；安装完成后，重启浏览器才能生效；

B、由于JRE组件默认情况下，安全级别设置较高，可能会导致SSL VPN被拒绝的情况；若出现

这种情况，需要到PC的“控制面板”中找到“JAVA”，再到弹出的窗口中选择“安全”选项卡，将安全

4 / 5

TEST系列文档

-----------------------------------------------------------------------------------------------------------------------------------------------

级别设置为“中”；点击确定即可；如下图

C、在登录SSL VPN的过程中可能会遇到多次Java程序弹出的窗口，我们只需要选择“允许”、“启

动”、或者“运行”按钮即可；

5 / 5

本文标签： 需要用户默认服务接口