No1_Array_SPX工程安装配置手册_简介和基本功能配置部分

1ArraySPX工程安装配置手册简介和基本功能配置部分一、(一)概述..................................................................................................................11.前言..................................................................................................................12.SSLVPN简介.................................................................................................23.SSLVPN网络拓扑........................................................................................24.ArraySPX设备配置概述...............................................................................4二、(二)SPX设备基本配置.........................................................................................51.ArraySPX的配置管理方式...........................................................................52.SPX系列产品外观指示灯介绍.....................................................................53.SPX的几种配置模式....................................................................................64.webUI基本介绍..............................................................................................71.1浏览器的版本......................................................................................71.2登陆webUI的过程.............................................................................75.设备硬件信息、OS版本及License管理.....................................................96.SPX设备基本信息配置...............................................................................101.3配置主机名：....................................................................................111.4配置端口IP地址:.............................................................................111.5配置路由：........................................................................................121.6测试网络联通情况............................................................................141.7配置域名服务器................................................................................141.8时区、时间配置................................................................................151.9保存配置............................................................................................161.10查看配置............................................................................................171.11清除配置............................................................................................181.12导入配置............................................................................................191.13升级系统版本....................................................................................201.14重新启动设备、系统关机................................................................211.15更改用户口令和enable口令..........................................................22(一)概述前言在目前各类VPN产品中，SSLVPN正以它的独特优势占据了市场中的主导位置，ArrayNetworks公司是一家专注于开发SSLVPN的厂商。本文力图简洁明了的介绍ArrayNetworks2公司的SSLVPN产品：SPX系列的主要部署结构，建立SPX的大致流程以及它的基本配置命令。SSLVPN简介SSLVPN是采用SSL技术的一种VPN产品，适用于ClienttoSite的安全接入方式。SSL技术是位于TCP之上的协议，具有数字证书身份验证，数据加密等安全手段。在实现VPN访问内部应用时主要采用Proxy、ApplicationTranslation、NetworkExtension等技术手段实现。用户通过SSLVPN访问内部应用系统，必须先用HTTPS协议登陆到SSLVPN网关提供的SSLVPN门户站点，我们称之为VirtualSite，Array的SPX系列单台设备可以配置多个VirtualSite，具体数量视license而定。一般情况下，在数据中心的网络边缘放置SSLVPN网关，如ArrayNetworksSPX系列产品。客户端要访问内部应用服务器，必须通过SSLVPN网关，其过程是先用标准浏览器如IE、Netscape等登陆SSLVPN网关，登陆使用的协议是HTTPS，底层是采用了具有加密算法的SSL协议。登陆SSLVPN是需要经过用户认证、授权、审计的。登陆完成之后，客户端既可以访问内部的各种应用了，无论是B/S还是C/S结构，都能够得到非常好的支持，访问过程中的数据传输都是经过加密处理的，同时是经过SSLVPN授权允许和审计的。SSLVPN网络拓扑SSLVPN网关设备，Array称之为SPX系列产品，她的位置在数据中心的边缘，具体来讲一般放置在防火墙后面，入侵检测设备的前面，这样和其他安全产品一起为数据中心提供安全防护。Array的SSLVPN网关支持双臂结构和单臂结构。单臂结构一般不改变企业的网络拓扑结构，只需一个接口接到防火墙或交换机上，具有方便部署的特点。双臂结构，一般是指连接两个接口，如一个连接内网，一个连接外网，双臂结构具有良好的网络吞吐量。SSLVPN的工作流程是一个Proxy架构，所以考虑拓扑结构时，要满足两点：1)客户端机器要能访问VirtualSiteIP地址；2)SPX设备要能够访问内部各个服务器各个应用。若中间有防火墙等过滤设备，一定要打开相应端口。如在客户端和VirtualSite之间的防火墙3要打开HTTPS访问，典型如TCP443端口。SPX和服务器之间的防火墙要对SPX设备的网络接口打开各个应用的端口。上图是一个典型的双臂结构，outside端口连接外网路由器或防火墙，端口地址为10.1.1.1；inside接口连接内部交换机，端口地址为10.1.2.1。在SPX设备上的VirtualSite地址为10.1.1.2，为内部IP地址，在internet上的客户端要能访问，前面的防火墙或路由器还要做NAT转换，如202.22.2.2－10.1.1.2。当然，VirtualSite地址也可以直接配置成公网地址，这时只需客户端到VirtualSiteIP的路由可达与HTTPS能够访问即可。4上图是典型的单臂结构，SPX设备只需一个接口连接防火墙、路由器或者是交换机。接口IP为10.1.1.1，VirtualSite地址为10.1.1.2，需要NAT设备作转换：如202.22.2.2－10.1.1.2。当然，VirtualSite地址也可以直接配置成公网地址，这时只需客户端到VirtualSiteIP的路由可达与HTTPS能够访问即可。重复一下，无论是单臂还是双臂，无论多么复杂的拓扑结构，中间有什么样的网络设备，都需要满足两点：1)客户端机器要能访问到VirtualSiteIP地址；2)SPX设备要能够访问内部各个服务器各个应用。ArraySPX设备配置概述拿到ArrayNetworks一台新的设备，一般要经过如下几个过程来配置成一台可以工作的SSLVPN系统。1.查看设备的license，如没有license许可，需向总代、Array申请购买新的license。2.了解用户的拓扑结构，DNS系统、应用的大概情况，和用户协商SSLVPN拓扑结构、路由结构、DNS配置、防火墙策略、各个应用通过SSLVPN实现的方式。3.对SPX设备进行基本配置，包括License输入、接口IP地址配置、路由配置、时间配置、DNS配置。4.VirtualSite建立：建立VirtualSite、SSL数字证书配置。5.VirtualSite认证方法配置，如配置LocalDB、Radius、LDAP等。6.VirtualSite各个应用模块的配置，如WRM、ClientApp、L3VPN。7.VirtualSite用户访问策略配置，各个用户或组的访问权限设定。8.管理配置，如SNMP、Log、配置文件管理等。5(二)SPX设备基本配置ArraySPX的配置管理方式ArraySPX设备支持三种配置管理接入方式.Console接入：SPX系列产品默认没有IP地址、路由等配置。需要首先启动电源，通过随设备附带的连接线（console线），一端连接PC机的串口，一端连接SPX系列的Console口。SPX设备有专用的Console线和Console口，通过管理者的PC机串口接入，仿真终端：VT100；BaudRateto9600；DataBitsto8；NOParity；StopBitsto1；NOFlowControl。登陆进入后可以采用命令行方式。SSH接入：通过SSH终端可以接入SPX设备上的任意一个接口IP地