SCVPN配置举例二

本节提供一个利用用USB KEY方式进行认证的SCVPN配置实例。

外网PC1（IP：6.6.6.5/24）通过Hillstone设备访问内网服务器Server1（IP：10.160.65.52/21），要求使用SCVPN对数据进行加密，并且通过USB KEY方式对用户进行认证，即只有当用户的Hillstone UKey中存储的证书合法时，用户才可以登录设备。

组网图如下：

准备工作

使用USB KEY认证，用户需要做以下准备工作：

• 准备数字证书和相应的CA证书。
• 准备Hillstone UKey和配套光盘。
• 使用Hillstone UKey管理员软件导入数字证书到UKey，一个UKey导入一张证书。

请按照以下步骤进行配置：

第一步：创建本地用户。

1. 访问“用户用户”，进入用户列表页面。
2. 在<AAA服务器>下拉菜单中选择本地服务器“local”，并点击『新建用户』按钮，主窗口显示新建用户配置选项。具体配置信息如下：

• 名称：user1
• 密码：hillstone
• 确认：hillstone

3. 点击『确定』按钮保存所做配置并返回用户列表页面。

第二步：配置PKI信任域。

1. 点击“用户PKI信任域”，进入PKI信任域列表页面。
2. 点击『新建』按钮，主窗口显示PKI信任域基本配置选项。具体配置信息如下：

• 信任域：stone
• 证书获取方法：手动输入

3. 点击『下一步』按钮进入CA证书配置页面，点击<导入CA证书>部分的『浏览』按钮，选中需要导入的CA证书文件，然后点击『导入』按钮进行导入。
4. 点击『确定』按钮保存所做配置并返回信任域列表页面。

第三步：配置SCVPN地址池。

1. 访问“SCVPN地址池”，进入SCVPN地址池列表页面。
2. 点击SCVPN地址池列表中的『新建』按钮，弹出<地址池配置>对话框。具体配置信息如下：

• 池名称：pool1
• 起始IP地址：20.1.1.1
• 终止IP地址：20.1.1.255
• 网络掩码：255.255.255.0
• DNS1：20.1.1.1
• WINS1：20.1.1.2
  

3. 点击『确定』按钮保存所做配置并返回地址池列表页面。

第四步：配置SCVPN实例。

1. 访问“SCVPNSCVPN实例”，进入SCVPN实例列表页面。
2. 点击SCVPN实例列表中的『新建』按钮，主窗口显示SCVPN配置选项。具体配置信息如下：

• 名称：ssl1
• HTTPS服务端口：4433
• 出接口1：ethernet0/5
• 地址池：从下拉菜单中选择“pool1”
• 信任域：从下拉菜单中选择“stone”
• 客户端证书认证：选中<启用>复选框

3. 点击『确定』按钮保存所做配置并返回SCVPN实例列表页面。
4. 点击列表中“ssl1”<操作>栏中的『编辑』按钮对SCVPN实例“ssl1”进行编辑。具体配置信息如下：

• 隧道路由：点击『多个』按钮，进入隧道路由配置页面，为当前实例添加隧道路由：IP地址/网络掩码“10.160.64.0/21”。
• AAA服务器：点击『多个』按钮，进入AAA服务器配置页面，为当前实例配置AAA服务器：AAA服务器“local”。

5. 点击『确定』按钮保存所做配置并返回SCVPN实例列表页面。

第五步：创建隧道接口并把SCVPN实例绑定到此接口（隧道接口的IP地址必须与SCVPN地址池的IP地址在同一网段）。

1. 访问“网络安全域”，进入安全域列表页面。
2. 点击列表中的『新建』按钮，弹出<安全域配置>对话框。具体配置信息如下：

• 安全域名称：VPN
• 安全域类型：三层安全域
• 虚拟路由器：从下拉菜单中选择“trust-vr”

3. 点击『确定』按钮将配置的安全域添加进系统并且显示在安全域列表中。
4. 访问“网络接口”，进入接口列表页面。
5. 点击接口列表中的『新建』按钮，并选中<隧道接口>，主窗口显示隧道接口基本配置选项。具体配置信息如下：

• 接口名：tunnel1
• 安全域类型：三层安全域
• 安全域：从下拉菜单中选择“VPN”
• 类型：静态IP
• IP/网络掩码：20.1.1.1/24
• 隧道类型：SCVPN
• VPN名称：从下拉菜单中选择“ssl1”

6. 点击『应用』按钮保存所做配置，或者点击『确定』按钮保存所做配置并返回接口列表页面。

第六步：配置从VPN到trust安全域的策略。

1. 访问“防火墙策略”，进入策略列表页面。
2. 在列表<源安全域>下拉菜单中选中“VPN”，<目的安全域>下拉菜单中选中“trust”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：VPN
• 源地址：Any
• 目的安全域：trust
• 目的地址：Any
• 服务簿：Any
• 行为：允许

3. 点击『确定』按钮将配置的策略添加进系统并且显示在策略列表中。

第七步：在PC1的浏览器中输入https://6.6.6.1:4433，在弹出的登录页面输入用户名密码，分别是“user1”和“hillstone”。认证通过后下载并安装Hillstone Secure Connect。

第八步：客户端操作。

1. 在客户端PC安装Hillstone UKey驱动程序。
2. 插入UKey。
3. 打开SCVPN客户端，按下图所示依次填写登录信息（密码为“hillstone”；UK PIN为UKey的用户口令，默认为1111）。填写完毕，点击『登录』按钮，进行连接。