ASG典型配置指导

《ASG典型配置指导》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、SSL远程登陆配置指导一、网络配置（提示勾选默认路由）在网络配置中，选择相应的网口，此例以单臂部署方式为例。勾选的缺省路由为设备的默认路由。二、用户组在远程访问---用户组与用户管理中，添加用户组。此用户组为所有应用控制策略的对象，既应用控制策略以组的方式划分。一、组高级配置---网络资源配置1、地址池在地址池中配置用户远程访问到VPN后，被分配的内网地址。启用地址伪装后，所有用户访问VPN的源地址被伪装成单臂的内网口地址；不启用地址伪装，将使用地址池分配的地址（分配的地址不可与内网其他地址重复，需再内网内可路由）。

2、2、静态路由静态路由，为组自己的路由，优先级高于设备默认路由。如果未配置此项，数据包将走设备默认的路由。故勾选默认路由和组路由必须至少填写一项。1、http服务菜单http服务菜单为组内的资源。其与用户登录后的组内资源页面相对应。分为反向代理和插件两种。反向代理是纯web应用的即B/S架构应用，访问时会改写URL，可以在不登陆插件下使用；插件支持所有C/S架构应用，其中包括：https、本身带插件的应用如CRM和U8、客户端模式的如notes等，不会改写URL，但必须登陆插件才可使用。四、应用程序库配置在远程访问应用

3、程序库配置中，添加调用项，本例以增加策略网段为例。其中执行文件名称是用户端执行文件是否可访问VPN的限制，*表示所有应用。目的地址为策略网段，其他默认即可。五、组高级配置---策略配置1、Web插件应用程序策略组web插件应用程序策略，为使用web插件时所遵循的应用程序控制策略。它分成默认策略和例外策略。例外策略将调用上文所设置的应用程序库配置项。默认策略为用户登陆VPN插件后，PC端默认路由策略。使用插件：所有流量将优先放入VPN隧道，如访问百度，将请求发送到VPN中，如果VPN设备本身被限定不能上网则将无法连通连

4、通百度。不使用插件：所有流量默认情况下默认在本地网络出口流出，不优先放入VPN隧道，即访问百度不会讲请求发到VPN来。禁止访问：所有流量默认情况下不允许发送，除非匹配下面的例外情况。默认策略和下面的例外策略配合使用，可产生多种结果。一般情况下，配置策略如图，效果为用户登陆VPN插件可以上网，只有在访问下面策略网段时才会把流量发送到VPN来。2、客户端应用程序配置客户端应用程序配置与web插件应用程序配置类似，只不过它是控制客户端登陆情况下的应用。所不同的是，它只能选择允许和禁止。节点互联配置指导一、隧道配置Ø目前节点

5、互联支持IPSEC协议，密钥协商协议为IKEV2。Ø部署模式是上可选用网关或者单臂模式，两端设备可以有一段为非固定IP。两方都为非固定IP可选用第三方的web代理做中转，如花生壳。Ø配置之后两端路由器要分别添加静态路由，一般情况下添加一个到对端子网发往VPN的路由即可。1、中心节点隧道配置需要区分分支和中心，分支节点会主动发起密钥协商请求。配置如图所示，其中本地和远端与对端设备对应，中心的本地就是分支的远端。本地子网必须添加，2、分支节点分支节点会主动发起密钥协商请求。所以在远端地址必须填写对端公网可访问IP。当隧道

6、配置中显示已连接时，说明密钥协商成功。隧道信息中双方都有流量说明路由器路由配置正确，已完成配置。