Array SPX工程安装配置手册
简介和基本功能配置部分
一、(一)概述 .................................................................................................................. 1
1. 前言.................................................................................................................. 1 2. SSL VPN简介 ................................................................................................. 2 3. SSL VPN 网络拓扑 ........................................................................................ 2 4. Array SPX设备配置概述 ............................................................................... 4 二、(二)SPX 设备基本配置......................................................................................... 5
1. Array SPX的配置管理方式 ........................................................................... 5 2. SPX系列产品外观指示灯介绍 ..................................................................... 5 3. SPX 的几种配置模式 .................................................................................... 6 4. webUI基本介绍 .............................................................................................. 7
1.1 浏览器的版本 ...................................................................................... 7 1.2 登陆webUI的过程 ............................................................................. 7 5. 设备硬件信息、OS版本及License管理 ..................................................... 9 6. SPX设备基本信息配置 ............................................................................... 10
1.3 配置主机名: .................................................................................... 11 1.4 配置端口IP地址: ............................................................................. 11 1.5 配置路由: ........................................................................................ 12 1.6 测试网络联通情况 ............................................................................ 14 1.7 配置域名服务器 ................................................................................ 14 1.8 时区、时间配置 ................................................................................ 15 1.9 保存配置 ............................................................................................ 16 1.10 查看配置 ............................................................................................ 17 1.11 清除配置 ............................................................................................ 18 1.12 导入配置 ............................................................................................ 19 1.13 升级系统版本 .................................................................................... 20 1.14 重新启动设备、系统关机 ................................................................ 21 1.15 更改用户口令和enable口令 .......................................................... 22
(一) 概述
前言
在目前各类VPN产品中,SSL VPN正以它的独特优势占据了市场中的主导位置,Array
1
Networks公司是一家专注于开发SSL VPN的厂商。本文力图简洁明了的介绍Array Networks
公司的SSL VPN产品:SPX系列的主要部署结构,建立SPX的大致流程以及它的基本配置命令。
SSL VPN简介
SSL VPN是采用SSL 技术的一种VPN产品,适用于Client to Site的安全接入方式。SSL
技术是位于TCP之上的协议,具有数字证书身份验证,数据加密等安全手段。在实现VPN访问内部应用时主要采用 Proxy 、Application Translation 、Network Extension 等技术手段实现。
用户通过SSL VPN访问内部应用系统,必须先用HTTPS协议登陆到SSL VPN网关提
供的SSL VPN门户站点,我们称之为Virtual Site,Array 的SPX系列单台设备可以配置多个Virtual Site ,具体数量视license而定。
一般情况下,在数据中心的网络边缘放置SSL VPN网关,如Array Networks SPX 系列
产品。客户端要访问内部应用服务器,必须通过SSL VPN网关,其过程是先用标准浏览器如IE、Netscape等登陆SSL VPN网关,登陆使用的协议是HTTPS,底层是采用了具有加密算法的SSL 协议。登陆SSL VPN是需要经过用户认证、授权、审计的。登陆完成之后,客户端既可以访问内部的各种应用了,无论是B/S还是C/S结构,都能够得到非常好的支持,访问过程中的数据传输都是经过加密处理的,同时是经过SSL VPN授权允许和审计的。
SSL VPN 网络拓扑
SSL VPN网关设备,Array 称之为SPX系列产品,她的位置在数据中心的边缘,具体
来讲一般放置在防火墙后面,入侵检测设备的前面,这样和其他安全产品一起为数据中心提供安全防护。
Array 的SSL VPN网关支持双臂结构和单臂结构。单臂结构一般不改变企业的网络拓
扑结构,只需一个接口接到防火墙或交换机上,具有方便部署的特点。双臂结构,一般是指连接两个接口,如一个连接内网,一个连接,双臂结构具有良好的网络吞吐量。
SSL VPN的工作流程是一个Proxy(代理)架构,所以考虑拓扑结构时,要满足两点:
1) 客户端机器要能访问Virtual Site IP地址;2) SPX设备要能够访问内部各个服务器各个应用。若中间有防火墙等过滤设备,一定要打开相应端口。如在客户端和Virtual Site之间的
2
防火墙要打开HTTPS访问,典型如TCP 443端口。SPX和服务器之间的防火墙要对SPX设备的网络接口打开各个应用的端口。
上图是一个典型的双臂结构,outside 端口连接路由器或防火墙,端口地址为
10.1.1.1;inside接口连接内部交换机,端口地址为10.1.2.1。在SPX设备上的Virtual Site地址为 10.1.1.2,为内部IP地址,在internet上的客户端要能访问,前面的防火墙或路由器还要做NAT转换,如202.22.2.2 - 10.1.1.2。当然,Virtual Site地址也可以直接配置成公网地址,这时只需客户端到Virtual Site IP的路由可达与HTTPS能够访问即可。
3
上图是典型的单臂结构,SPX设备只需一个接口连接防火墙、路由器或者是交换机。
接口IP为10.1.1.1,Virtual Site 地址为10.1.1.2,需要NAT设备作转换:如202.22.2.2 - 10.1.1.2。当然,Virtual Site地址也可以直接配置成公网地址,这时只需客户端到Virtual Site IP的路由可达与HTTPS能够访问即可。
重复一下,无论是单臂还是双臂,无论多么复杂的拓扑结构,中间有什么样的网络设备,
都需要满足两点:1) 客户端机器要能访问到Virtual Site IP地址;2) SPX设备要能够访问内部各个服务器各个应用。
Array SPX设备配置概述
拿到Array Networks一台新的设备,一般要经过如下几个过程来配置成一台可以工作的
SSL VPN系统。
1. 查看设备的license,如没有license许可,需向总代、Array申请购买新的license。 2. 了解用户的拓扑结构,DNS系统、应用的大概情况,和用户协商SSL VPN拓扑结
构、路由结构、DNS配置、防火墙策略、各个应用通过SSL VPN实现的方式。 3. 对SPX设备进行基本配置,包括License输入、接口IP地址配置、路由配置、时
间配置、DNS配置。
4. Virtual Site 建立:建立Virtual Site、SSL 数字证书配置。 5. Virtual Site 认证方法配置,如配置LocalDB、Radius、LDAP等。 6. Virtual Site 各个应用模块的配置,如WRM、ClientApp、L3VPN。 7. Virtual Site 用户访问策略配置,各个用户或组的访问权限设定。 8. 管理配置,如SNMP、Log、配置文件管理等。
4
(二) SPX 设备基本配置
Array SPX的配置管理方式
Array SPX设备支持三种配置管理接入方式.
Console接入:SPX系列产品默认没有IP地址、路由等配置。需要首先启动电源,通过
随设备附带的连接线(console线),一端连接PC机的串口,一端连接SPX系列的Console口。SPX设备有专用的Console线和Console口,通过管理者的PC机串口接入,仿真终端:VT100;Baud Rate to 9600;Data Bits to 8;NO Parity;Stop Bits to 1; NO Flow Control。登陆进入后可以采用命令行方式。
SSH 接入:通过SSH终端可以接入SPX设备上的任意一个接口IP地址,典型的,你
可以使用Putty,Secure CRT等软件,SSH2 协议 ,端口 22来接入,登陆进入后可以采用命令行方式。
图形化配置:在通过命令行配置webUI on命令启动图形化管理方式后,使用浏览器通
过访问HTTPS:// SPX系列产品外观指示灯介绍 在SPX系列产品的前面板中具有显示设备运行状态的指示灯,指示灯分为以下三种: Power: 表示系统是否处在加电运行状态 Run: 表示系统运行负载情况,当此灯经常闪烁时,表示系统负载较高。 Fault: 表示设备是否发生故障,当此灯始终亮时,表示设备硬件故障。 具体状态指示灯的位置如下图所示: 5 SPX 的几种配置模式 Array OS的配置管理模式具有三个级别,登陆模式,管理模式和配置模式,在命令行中体现为hostname 加上“>”、“#”或者是“(config)#”。 1. 第一个级别登陆模式 “AN>”: 配置好超级终端后,回车登陆。SPX系列产品默认需要认证,才能进行管理配置,默认的用户名为array,口令为admin。此时将进入登陆模式,登陆模式的符号是一个大于号“>”,在此模式下可以实现基本的状态查看功能,通过问号 AN>? 可以查看此状态下所有可操作的命令。 2. 第二个级别管理模式 “AN #”: 从第一个级别进入第二个级别,是在第一个级别输入 AN>enable 命令即可进入第二个级别,缺省的口令为空。第二个级别的能够进行所有状态信息的查看,同一时刻允许有多个管理员处在此模式下。 3. 第三个级别配置模式 “AN (config)#”: 从第二个级别进入第三个级别,是在第二个级别输入 AN#config terminal 命令即可进入配置模式,同一时刻只允许一个人进入此模式。只有在此模式下才能够进行设备的配置。 当长时间不敲入命令,系统会自动退出。从后一个级别回到上一个级别使用 exit 6 命令,如果直接关闭终端软件,没有从config 模式exit到管理模式,会有缺省三分钟的等待时间才能再次进入config模式。 无论是在那种模式下都可以输入 “?” 来了解当前模式下可以执行的命令,或者是某条命令的信息如: AN (config)#show ? AN (config)#ip address ? webUI基本介绍 浏览器的版本 目前Array SP 的webUI支持这些版本: 1. IE(Version6.0 或者之后的版本) 2. Netscape(Version7.0或者之后的版本) 3. FireFox(Version1.5) 登陆webUI的过程 1. 确认在SP的命令行中 webui on(webui默认是关闭的) 2. 例如你的SP系统IP地址是172.16.2.75.请在浏览器中输入 HTTPS://172.16.2.75:8888 3. 你将会看到下面图片,默认用户名/密码是array/admin 7 4. 输入enable密码,缺省是空 5. 进入SP的webUI界面 8 设备硬件信息、OS版本及License管理 拿到Array的设备,你最先作的是通过LED查看设备硬件运行情况,若Fault灯总是亮 的,请联系供应商解决设备硬件故障。 其次,您要登陆到设备上,最好用命令行方式,查看设备的系统信息: 9 Array SP Rel.SP.8.1.0.0 Build 9 : 是指当前运行的Array OS版本 SSL HW: 是指SSL 硬件加速卡的信息。 是指硬件压缩卡的信息 Compression HW: Maximum Sessions : 指设备license允许的最大并发用户数 Maximum VBlades: 指设备license 允许的最多Virtual Site 数量 Licensed Features : LicenseKey : 指设备license 允许的功能模块 Array 颁发的设备的License Key,最后的几位数字是license截止的 日期,以上例子99999999是无限期的license 如果您拿到Array 的 SPX设备是新的,设备的license是 invalid license ,您需要向供 应商申请license ,您需要向他提供以上的show version 信息,最主要的是设备的serial number。 拿到新的license key 后,您需要输入: AN(config)#system license 即可使新的license生效,输入后您可以通过show version 查看license 信息。 SPX设备基本信息配置 本文以如下的拓扑结构为例作配置说明,双臂结构,以192.168.1.0/24来模拟公网,以 10.1.0.0/16来模拟内网。Virtual Site IP地址为:192.168.1.2/24。设备的outside IP address:192.168.1.1/24,inside IP address为:10.1.40.2/16 10 配置主机名: AN(config)#hostname AN(config)#hostname sp-demo 配置端口IP地址: AN(config)#ip address {outside | inside} AN(config)# ip address inside 10.1.1.2 255.255.255.0 AN(config)# ip address outside 192.168.1.1 255.255.255.0 查看当前端口IP地址命令: 11 AN(config)#show ip address 配置路由: 配置默认路由命令: AN(config)#ip route default route static 实例:增加一条默认路由和一条静态路由 AN(config)# ip route default 10.1.1.1 AN(config)# ip route static 192.168.20.0 255.255.255.0 192.168.1.1 webUI->System Configuration->Basic Networking->Interface->Outside webUI->System Configuration->Basic Networking->Interface->Inside 12 webUI->System Configuration->Basic Networking->Routing 13 测试网络联通情况 SPX系列产品提供了Ping和traceroute来检查网路的联通状况 ping命令示例: AN(config)#ping 192.168.10.1 Traceroute命令示例: AN(config)#traceroute 192.168.10.1 webUI->Admin Tools->Troubleshooting 配置域名服务器 SPX需要指明DNS服务器以提供域名解析服务,尤其是当需要内部域名服务器解析内部域名时。 命令行: AN(config)#ip dns nameserver server_ip AN(config)#ip dns nameserver 10.1.10.33 该IP地址是和server连接的端口地址 14 webUI->System Configuration->Basic Networking->DNS 在Basic Networking和Advanced Networking中都有DNS的配置.Basic中的DNS只是 配置一条DNS IP,所有DNS查询都会指向这个DNS Server. Advanced中的DNS是SP本机做DNS Server,所有DNS解析都由SP来做,这种情况比较少用. 时区、时间配置 时区、时间的设置对于SSL VPN配置来讲非常重要,这主要是和数字证书的验证有关,数字证书一般是有期限设定的。 时区设定 AN(config)#system timezone \"Asia/China/China coast\" 时间设定 AN(config)#system date 15 AN(config)#system time AN(config)#system date 2002 8 8 AN(config)#system time 16 28 0 webUI->System Configuration->General Settings->Date/Time 保存配置 SPX系列产品默认有两种配置,一是running config配置,一是startup配置。 Running config配置是系统当前正在应用生效的配置文件,而startup配置文件是系统启动时使用的配置文件。 保存配置命令有以下几种: AN(config)#write memory all 作用:使用running config覆盖全局的startup config SP-Demo(config)#write memory 作用:使用running config覆盖Virtual Site的startup config.注意此时是在 16 Virtual Site中 AN(config)#write file all 作用:将当前的running config以文件的形式保存在系统中,待以后应用 AN(config)#write net scp 作用:将当前的running config以文件的形式保存第三方的scp或tftp服务器上, 待以后应用。 webUI->Admin Tools->Config Management0>backup 查看配置 AN(config)#show running 作用:显示出所有running config的配置内容 AN(config)#show startup 作用:显示出所有startup config的配置内容 AN(config)#show config file [filename] 17 作用:显示出所有保存的文件列表,或文件中的所有配置内容 webUI->Admin Tools->Config Management0>View->Startup Config 清除配置 webUI->Admin Tools->Config Management0>Clear 18 AN(config)#clear config all 作用:清除所有配置,恢复到出厂状态 AN(config)#no „ 作用:清除特定配置命令行 导入配置 webUI->Admin Tools->Config Management0>Load 19 AN(config)#configure memory all 作用:应用startup config覆盖running config AN(config)#configure file all 作用:应用保存的文件中的配置覆盖当前running config AN(config)#configure net scp 作用:应用保存在第三方scp或tftp服务器上配置文件覆盖当前running config 升级系统版本 webUI->Admin Tools->System Management->Update 20 AN(config)#system update AN(config)#system update http://192.168.1.101/ArrayOS_Re7.3.3.15.click AN(config)#system component update 给系统更新相应的patch 重新启动设备、系统关机 webUI->Admin Tools->System Management->Shutdown/Reboot 21 AN(config)#system reboot 作用:系统重新启动(此时不自动保存配置) AN(config)#system shutdown 作用:关闭系统(此时不自动保存配置) 更改用户口令和enable口令 AN(config)#passwd enable 作用:更改enable口令,做为running config并立即生效,但不对startup配置 有影响 webUI->Admin Tools->Change Password->Change Password 22 AN(config)#passwd user 23
因篇幅问题不能全部显示,请点此查看更多更全内容