AG 移动应用接入配置指南

AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.1AG移动应用接入配置指南发布日期：2015年2月12日版本：1.5修订记录版本日期描述1.02014-5-9首次发布。1.12014-6-25更新VOD域名相关描述。1.22014-8-22更新4.2.2小节中生成CSR的图片。1.32014-9-3更新4.2.3小节中配置DeviceID的图片。1.42014-9-10更新5.2小节中验证步骤的图片。1.52015-2-12修改iOSIPSec为SSLAG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.21目的本文档介绍如何配置Array的AG设备，来实现iOS/Android平台上的应用安全地访问远程服务。2功能概述Array移动应用接入方案提供的主要功能包括：安全认证：–支持硬件特征码绑定；–支持证书认证；–支持用户名密码认证；–支持任意组合上述认证方式；L3VPN：–支持设备级L3VPN和应用级的VPN（通过ArraySDK实现）；–支持Split-tunneling和Full-tunneling模式；–支持SplitDNS；–支持3G/4G/Wi-FI不同网络切换时，VPN自动重连；–支持休眠后VPN自动重连；企业应用门户：–提供统一门户，集成了企业的Web、Mail、文件、远程桌面及应用及第三方应用；–提供应用商店功能，帮助企业快速发布/更新应用；–内置浏览器，快速访问Web应用，支持SSO；–内置远程电源唤醒，快速节能的桌面发布；–内置本地应用快速启动；客户端安全：–支持定义基于用户和组的客户端安全策略，例如检查OS类型和版本、Wifi接入点的SSID、设备是否越狱、安装的应用程序列表等。–在客户端登陆前、登陆后或者周期性地检查客户端的安全是否满足安全标准，并执行相应的动作。AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.33应用场景Figure3–1应用场景拓扑图上图为一种典型的移动应用接入的应用场景。用户需要使用iPad、iPhone、Android手机和平板电脑通过互连网远程访问内网的Web服务器和应用服务器。同时，在企业内部，随着BYOD需求增长，企业网也要支持员工使用自带的移动终端安全访问服务器。4配置示例4.1前置条件外部条件：为AG的VPN服务分配一个内网IP（如图192.168.0.100）。在防火墙上为外网接口（如图8.8.8.8）配置端口映射，使TCP443端口都映射到VPN服务IP，保证通过外网可以正常访问VPN服务。内网DNS服务器192.168.0.2能够正常解析域名“”。（可选项）为了使用户通过互联网和内网都可以使用域名访问VPN服务，需要为外网接口IP“8.8.8.8”申请一个域名(如图vpn.abc.com)。同时在企业内网的DNS上增加一条域名记录（如图vpn.abc.com=192.168.0.100）。内部条件：AG的软件版本升级到9.3.0.55及以上。AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.44.2配置步骤4.2.1配置基本网络和DNS配置AG设备接口IP地址和掩码在全局范围下，选择系统设置基本网络设置接口物理接口，在网络接口设置区域，指定参数接口序号、接口名称、接口速率、系统IP地址(v4)和系统子网掩码，然后点击应用修改按钮，如下图所示。设置默认路由在全局范围下，选择系统设置基本网络设置路由缺省路由，在全局默认路由区域，指定参数默认路由IP地址(v4)，然后点击应用修改按钮，如下图所示。添加DNS服务器在全局范围下，选择系统设置基本网络设置DNS，在名称解析服务器IP地址区域，点击添加DNS服务器IP地址操作链接，如下图所示。在添加DNS服务器IP地址区域，设置参数IP地址并点击保存。AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.54.2.2创建移动接入的虚拟站点在全局范围下，选择虚拟站点虚拟站点虚拟站点，在添加新的虚拟站点区域，将虚拟站点类型设置为“MotionPro”，设置参数站点名称、描述、站点FQDN和IP地址，如下图所示。在SSL服务器证书区域，设置生成CSR和测试证书所需的参数，并点击添加新的虚拟站点区域右上角的保存操作链接，如下图所示。4.2.3配置AAA配置认证在“mobile_access”虚拟站点范围下，在虚拟站点首页页面，点击GotoMotionProPilot链接进入MotionProPilot，如下图所示。AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.6选择站点设置AAA认证，在认证方法区域，设置参数认证方法（以LocalDB+DeviceID为例），并点击应用，如下图所示。在DeviceID区域，勾选复选框自动核准和绑定用户名，设置参数每用户最大设备数和每设备最大用户数，然后点击应用，如下图所示。添加授权用户AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.7选择站点设置AAA授权，在基本任务区域，点击用户链接，如下图所示。在用户区域，点击用户表格右上方+，如下图所示。在用户区域，设置参数用户名、密码和确认密码，然后点击应用，如下图所示。4.2.4配置L3VPN设置Full-tunnelingVPNMotionPro站点已经默认设置了full-tunnelingVPN。选择站点设置VPNonDemandVPNonDemand，在授权网络区域查看表格中存在“0.0.0.0/0.0.0.0”网路资源配置项。AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.84.2.5发布Web应用选择站点设置授权资源Web资源基本任务Web应用，在Web应用区域，点击Web应用表上右上方+，如下图所示。在基本设置区域，设置参数URL、描述和文件夹，如下图所示。点击分配页签，在分配区域，将类型设置为Users，在可选表格中选择用户“test”，点击按钮加入到已分配表格，然后点击应用操作链接，如下图所示。4.2.6发布Native应用的安装程序添加Native应用选择站点设置授权资源本地应用，在本地应用区域，点击本地应用表右上方+，如下图所示。AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.9为Android添加Native应用。在本地应用区域，设置参数应用名称、描述、操作系统类型、应用类型和参数，然后点击应用，如下图所示。为iOS添加Native应用。在本地应用区域，设置参数应用名称、描述、操作系统类型、应用类型和参数，如下图所示。注意：对iOS的Native应用来说，参数必须设置为该应用的URLScheme，否则该应用不能被MotionPro客户端启动。点击分配页签，在分配区域，将类型设置为Users，在可选表格中选择用户“test”，点击按钮加入到已分配表格，然后点击应用操作链接，如下图所示。AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.10上传本地应用的安装包到企业应用商店选择站点设置企业应用商店企业应用商店，在应用商店区域，点击本地应用表右上方+，如下图所示。上传Android应用的安装包到企业应用商店。在属性区域，设置参数应用名和描述，将平台设置为Android，关联的本地应用设置为Android_Demo，位置设置为本地，然后点击应用，如下图所示。在应用软件包区域，点击上传操作链接。在弹出的上传软件包对话框，单击上传按钮选择本地的应用安装包，如下图所示。AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.11应用安装包上传后，确认应用的信息会显示在软件包列表表格中，然后点击应用，如下图所示。上传iOS应用的安装包到企业应用商店。在属性区域，设置参数应用名和描述，将平台设置为iOS，关联的本地应用设置为iOS_Demo，位置设置为本地，然后点击应用，如下图所示。在应用软件包区域，点击上传操作链接。在弹出的上传软件包对话框，单击上传按钮选择本地的应用安装包，如下图所示。AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.12应用安装包上传后，确认应用的信息会显示在软件包列表表格中，然后点击应用，如下图所示。5配置验证5.1前置条件在验证前，请确保：在Android和iOS测试设备上安装相应的MotionPro客户端。从管理员处获取站点信息、登陆账号等。设备通过WiFi（推荐）或者3G/4G网络可以访问虚拟站点。5.2验证步骤5.2.1Android验证步骤1.启动MotionPro客户端，并在网关页面点击+添加一个站点，并点击OK按钮，如下图所示：AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.132.在网关页面选中该配置项，点击SignOn，输入正确的用户和密码，并注册设备，如下图所示：3.确认所有授权的资源都会被显示在Webs，Applications或Desktops页签下，如下图所示：AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.144.确认VPN已经连接，客户端的状态栏将会出现图标。5.在Webs页签下，进入web文件夹，点击webapp图标即可通过内置浏览器打开该Web应用，如下图所示：6.在Applications页签下，点击Install安装企业应用商店中的应用，经过确定之后，开始下载安装包，如下图所示：7.下载完成，根据安装提示，点击安装，此应用就能成功安装在客户端上。然后在资源列表中点击该应用的图表，即可启用该Native应用，如下图所示：5.2.2iOS验证步骤1.启动MotionProPlus客户端，并在网关页面点击+添加一个站点，并点击Save按钮，如下图所示：AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.152.如需要使用应用商店功能，首次登陆该站点需要安装VPNprofile，如下图所示：3.在网关页面选中该配置项，点击SignOn，输入正确的用户和密码，并注册设备，如下图所示：4.回到MotionPro主页面，查看授权资源。确认所有授权的资源都会被显示在Webs，Applications或Desktops页签下，如下图所示：AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.165.确认SSLVPN已经连接，客户端的状态栏将会增加图标。6.在Webs页签下，进入web文件夹，点击web_app图标即可通过内置浏览器打开该Web应用，如下图所示：7.在Applications页签下，点击Install按钮安装企业应用商店中的应用，然后再点击Install确认安装。应用将在客户端上开始安装，如下图所示：AG移动应用接入配置指南2014ArrayNetworks,Inc.AllRightsReserved.178.应用安装成功后，点击Back回到Applications页面，点击该应用的图标即可启用该Native应用，如下图所示：6故障排除问题1：在iOS平台上，Native应用无法通过MotionProClient启动1.检查该应用是否支持URLScheme。–不支持：结