H3C SSLVPN同一个访问实例中新增一个用户权限组


1、在域控Active Directory用户和计算机中任意OU下创建一个组。

image1.png

2、例如:命名为SHsslvpnzituras。

image2.png

image3.png

3、创建组后,打开网络策略服务器(NPS),在策略-网络策略-新建。

image4.png

4、例如:命名h3csslvpnzitura后下一步。

image5.png

5、添加步骤2中创建好的组和服务类型Framed、Login。下一步。

image6.png

image7.png

image8.png

6、选择已授予访问权限,下一步。

image9.png

7、默认是勾选了前4个,这里追加勾选加密身份认证和未加密身份认证,下一步后会提示一个警告选择否。

image10.png

image11.png

8、默认直接下一步。

image12.png

9、标准里删掉Framed-Protocol PPP,再添加一个Login-Service Telnet。

image13.png

image14.png

10、供应商特定里选择添加,选择Vendor-Specific RADIUS Standard(图一)点击添加后弹出一个属性信息再次点击添加(图二),选择输入供应商代码25506和“是。它符合”(图三),点击配置属性-供应商分配的属性号填写140,属性格式选择字符串,属性值可以自定义,例如:sslvpnzituras。(图四)确定完成,路由和远程访问都是默认,下一步查看结果数值完成。

注:这里的属性值(sslvpnzituras)会和后面的防火墙组名称一致。

image15.png

image16.png

image17.png

image18.png

11、在创建一个组和NPS,参考上面相同的步骤(步骤10中的属性值要区分)

image19.png

image20.png

12、在H3C防火墙-网络-安全域中新建一个,例如:VPN。

image21.png

13、网络-SSL VPN-创建一个网关,例如:sslvpnwgtest,IP地址***.**.***.**(公网IP),端口自定义。

6.png

14、再创建一个客户端地址池,例如:sslvpnpool3,IP:10.100.140.10-10.100.140.254。

image23.png

15、再创建一个IP接入接口,例如:接口4-点击确定-安全域选择步骤12中新建的“VPN”-IP地址:10.100.140.1/24。

image24.png

image25.png

image26.png

16、SSLVPN-新建访问实例-名字(例如:zituras)-网关新建选择步骤13中创建的网关-最大会话限制要关闭,空闲超时最好填写最大,最后要开启访问实例,下一步。

image27.png

image28.png

image29.png

17、认证配置选择域控的域名。(例如:zeotrue.com)

image30.png

18、URI ACL默认下一步,业务选择勾选IP业务,IP接入口选择步骤15中创建的,客户端地址池选择步骤14中创建的,掩码24,DNS服务器选择域控IP。IP接入资源新建路由,例如sslvpnzituras和sslvpntest,这里可以限制VPN的访问权限可以包含和排除。然后下一步,快捷方式直接默认下一步。

7.png

image32.png

image33.png

image34.png

19、资源组-新建资源组-完成,例:资源组名称“resgrpzituras”-指定路由接入VPN“子网资源”-子网资源“选择前面IP业务的sslvpnzituras”-客户端地址池“选择步骤14中创建的”-客户端地址掩码24-ACL默认IP,resgrptest同上。

image35.png

image36.png

20、点击对象-用户-用户管理-本地用户-用户组-新建,输入用户组名,SSLVPN策略组选择步骤12访问实例中创建的资源组。(这里新建的用户组对应域控NPS里的属性值,查看步骤10),例:sslvpnzituras和sslvpntest。

image37.png

image38.png