一、拓扑：

二、简介：

        1、最近发现公司的防火墙到核心交换机的静态路由（多数为回程路由）多达209条之多，每次在核心交换机上新建一个vlan或接口网段，一旦此网段需要上网的话，都需要在防火墙写一条回程路由到核心上，时间久了十分不好维护庞大的静态路由表项。遂打算测试下静态路由换OSPF方式让核心交换和FW可以相互学习彼此的路由。

       2、 但换了OSPF之后发现，SSLAPN用户无法访问内网了，一时间无法定位问题点，但短暂回想此次配置之后，发现是由于删除了所有的FW-核心交换的静态路由，导致在FW上的SSLAPN网段没有被核心交换机学习到所致，通过在防火墙的OSPF进程中宣告一下SSLVPN网段后，SSLAPN用户恢复正常使用。（重要）

       3、 对于OSPF基本的配置本实验不再赘述（请看另一篇博文），本文将会主要介绍H3C防火墙的SSLAPN的基本配置（仅基本逻辑或框架的配置，其他SSLAPN周边配置暂不涉及，例如结合AD、权限划分等，略。），跟做后将会成功搭建一个基本的SSLAPN环境。

实验环境介绍：

HCL版本：V 5.3.0   Windows版本：Windows11(22H2)

实验需求：防火墙设备作为出口设备，外网PC通过inode软件拨SSLAPN，认证成功后可以访问内网。

三、实验步骤：

*防火墙、核心交换如何配置使得内网几个网段可以上网相关配置略、设备各接口IP配置方法略、OSPF配置略。

1、 配置SSLAPN网关：
#SSLAPN网关IP地址填写防火墙1口地址10.10.10.67，端口号修改为8443，缺省端口为443，443端口和https端口冲突，然后使能网关配置。

<FW>sys   //进入系统视图

[FW]sslApn gateway SSLAPN   //创建sslvpn网关 名称SSLAPN

[FW-sslApn-gateway-SSLAPN]ip address 10.10.10.67 port 8443  

// SSLAPN网关IP地址填写防火墙0口地址10.10.10.67，端口号修改为8443.

[FW-sslApn-gateway-SSLAPN]service enable   //使能sslApn

[FW-sslApn-gateway-SSLAPN]quit   //退出

#创建SSL APN AC接口1,配置接口IP为 8.8.8.8/24

[FW]interface SSLAPN-AC 1   //创建SSL APN AC接口1

[FW-SSLAPN-AC1] ip address 8.8.8.8 255.255.255.0   //配置接口IP为 8.8.8.8 掩码255.255.255.0

[FW-SSLAPN-AC1]quit  //退出当前视图

 #创建地址池名称为“ssl”，指定IP地址范围为8.8.8.10~8.8.8.100

[FW]sslApn ip address-pool ssl 8.8.8.10 8.8.8.100

 #创建ACL 3000，允许SSL APN用户访问的内网资源全部网段（也可以细分，写成内网详细网段.）

[FW]acl advanced 3000   //创建ACL 3000

[FW-acl-ipv4-adv-3000]rule 0 permit ip   //本实验acl允许其访问所有。

[FW-acl-ipv4-adv-3000]quit  //退出当前视图

2、  配置SSL APN实例

# 配置SSL APN访问实例“SSAPN”引用SSL APN网关“SSLAPN”

 [FW] sslvpn context SSLAPN   //创建SSL APN访问实例“SSAPN”

 [FW-sslvpn-context-SSAPN]gateway SSLAPN   //引用SSL APN网关“SSLAPN”

#引用SSL APN接口1

 [FW-sslApn-context-SSAPN] ip-tunnel interface SSLAPN-AC1   //引用SSL APN接口1

#引用SSL APN地址池，掩码和dns

 [FW-sslApn-context-SSVPN]ip-tunnel address-pool ssl mask 255.255.255.0   //引用SSL APN地址池，掩码

 [FW-sslvpn-context-SSVPN]ip-tunnel dns-server primary 114.114.114.114   //设置客户端dns服务器，有内网DNS服务器的建议写一个内网的DNS地址。

#创建路由列表“access_lan”，添加路由表项192.168.10.0/24

 [FW-sslApn-context-SSAPN] ip-route-list access_lan  

//创建路由列表“access_lan”,即：允许sslApn地址池能够访问的内网网段。
 [FW-sslApn-context-SSAPN-route-list-access_lan] include 2.2.2.0 255.255.255.0  
 [FW-sslApn-context-SSAPN-route-list-access_lan] include 3.3.3.0 255.255.255.0  
 [FW-sslApn-context-SSAPN-route-list-access_lan] include 4.4.4.0 255.255.255.0  
 [FW-sslApn-context-SSAPN-route-list-access_lan] include 5.5.5.0 255.255.255.0 

# 创建SSL APN策略组“access”，引用路由列表“access_lan”，配置ACL限制，只有通过ACL检查的报文才可以访问IP资源

[FW-sslApn-context-SSAPN] policy-group access   //创建SSL VPN策略组“access”

[FW-sslApn-context-SSAPN-policy-group-access]filter ip-tunnel acl 3000   //配置ACL限制，只有通过ACL检查的报文才可以访问IP资源

[FW-sslApn-context-SSAPN-policy-group-access]ip-tunnel access-route ip-route-list access_lan   //引用路由列表“access_lan”

[FW-sslApn-context-SSAPN-policy-group-access]quit   //退出

[FW-sslApn-context-SSAPN] service enable   //使能sslvpn策略组

[FW-sslApn-context-SSAPN]quit    //退出

3、  新建SSL APN用户，关联SSLAPN资源组

#创建SSLAPN本地用户,配置用户名密码xxxx,服务类型sslApn，引用之前创建的SSLAPN资源组

[FW]local-user vegeta class network   //创建SSLAPN本地用户,配置用户名密码xxxx,

[FW-luser-network-vegeta]password simple xxxx   //配置密码xxxx

[FW-luser-network-vegeta]service-type sslApn   //服务类型sslvpn

[FW-luser-network-vegeta]authorization-attribute sslvpn-policy-group access   //引用所创建的SSLVPN资源组access

[FW-luser-network-vegeta]quit   //退出

4、  将SSL APN端口加入安全域

 #进入安全域“Trust”，将SSL APN端口1加入到安全域“Trust”

 [FW]security-zone name Trust   //进入安全域“Trust”

 [FW-security-zone-SSLAPN]import interface SSLAPN-AC1   //将SSL APN端口1加入到安全域“Trust”安全域。

 [FW-security-zone-SSLAPN]quit   //退出

5、  保存配置

[FW]save force

6、客户端拨号（右边是拨号完成的界面）

     

7、  配置验证，查看拨号成功的用户

至此，H3C 防火墙的SSLweiPN配置完毕！审核求放过，，我改过字母了，图都改了= =！感谢！