山石网科 Hillstone 安全网关SCVPN配置命令

应用场景：

为解决远程用户安全访问私网数据的问题，Hillstone安全网关提供基于SSL 的远程登录解决方案——Secure Connect VPN，简称为SCVPN。SCVPN 功能可以通过简单易用的方法实现信息的远程连通。

  

SCVPN配置实例-SCVPN 实例拓扑图：

PC

Untrust zone

IP:10.88.1.249/24

SA Series Firewall

Eth0/4:10.88.1.250/24   外网

Eth0/0:192.168.100.1/24  内网

FTP server

Trust zone

IP:192.168.100.2/24

配置说明：

该实例通过使用一台SA系列的Hillstone安全网关的SCVPN功能，搭建了一个SCVPN，从而实现了外网用户（Untrust zone 中的PC）访问公司内部的资源（trust zone中FTP server）。

安全网关的SCVPN 功能配置包括以下各部分：
 安全网关网络接口基本配置  配置SCVPN地址池  SCVPN实例配置
 创建隧道接口并和SCVPN实例进行绑定  配置安全域访问策略  创建本地用户  验证和测试  
CLI配置：  
1、安全网关网络接口基本配置。
SA-2001(config)#interface ethernet0/0 SA-2001(config-if-eth0/0)#zone trust


SA-2001(config-if-eth0/0)#ip address 192.168.100.1/24 SA-2001(config-if-eth0/0)#exit
SA-2001(config)#interface ethernet0/4 SA-2001(config-if)#zone untrust
SA-2001(config-if-eth0/4)#ip address 10.88.1.250/24 SA-2001(config-if-eth0/4)#exit

2、配置SCVPN地址池，包括DNS。
SA-2001(config)#scvpn pool pool1
SA-2001(config-pool-scvpn)#address 10.10.10.2 10.10.10.254 netmask 255.255.255.0
SA-2001(config-pool-scvpn)#dns 10.188.7.10 61.177.7.1

3、SCVPN实例配置，创建SCVPN实例test并且指定地址池，AAA-server服务器，接口和相应的https端口，最后添加隧道路由。
SA-2001(config)#tunnel scvpn test SA-2001(config-tunnel-scvpn)#pool pool1 SA-2001(config-tunnel-scvpn)#aaa-server local SA-2001(config-tunnel-scvpn)#interface ethernet0/4 SA-2001(config-tunnel-scvpn)#https-port 4433
SA-2001(config-tunnel-scvpn)#split-tunnel-route 192.168.100.0/24 SA-2001(config-tunnel-scvpn)#exit

4、创建隧道接口并把SCVPN实例绑定到此接口（隧道接口的IP 地址必须与SCVPN 地址池的IP 地址在同一网段）：
SA-2001(config)#zone VPN SA-2001(config-zone-VPN)#exit SA-2001(config)#interface tunnel1 SA-2001(config-if-tun1)#zone VPN
SA-2001(config-if-tun1)#ip address 10.10.10.1/24 SA-2001(config-if-tun1)#tunnel scvpntest SA-2001(config-if-tun1)#exit

5、配置从VPN 安全域到trust 安全域的策略：
SA-2001(config)#policy-global
SA-2001(config-policy)#exit rule from any to any service any permit

6、创建本地用户，用于验证vpn访问：
SA-2001(config)#aaa-server local SA-2001(config-aaa-server)#user bblu SA-2001(config-user)#password hillstone SA-2001(config-user)#exit

7、在PC的浏览器中输入https://10.88.1.250:4433，在弹出的登录页面输入用户名



“bblu”密码“hillstone”，通过Web认证方式成功后，PC便可通过SCVPN 安全访问trust 安全域中192.168.100.0/24网段的资源（PC也可以通过下载客户端来进行访问）。  

配置要点：

1、 在配置SCVPN实例中，不要忘记指定AAA-server和配置隧道路由。

2、 创建隧道接口后不要忘记绑定相应的SCVPN实例。