No1_Array_SPX工程安装配置手册_简介和基本功能配置部分

Array SPX工程安装配置手册 简介和基本功能配置部分 一、 (一)概述 2 1. 前言 2 2. SSL VPN简介 2 3. SSL VPN 网络拓扑 2 4. Array SPX设备配置概述 4 二、 (二)SPX 设备基本配置 5 1. Array SPX的配置管理方式 5 2. SPX系列产品外观指示灯介绍 5 3. SPX 的几种配置模式 6 4. webUI基本介绍 7 1.1 浏览器的版本 7 1.2 登陆webUI的过程 7 5. 设备硬件信息、OS版本及License管理 9 6. SPX设备基本信息配置 10 1.3 配置主机名：
11 1.4 配置端口IP地址: 11 1.5 配置路由：
12 1.6 测试网络联通情况 14 1.7 配置域名服务器 14 1.8 时区、时间配置 15 1.9 保存配置 16 1.10 查看配置 17 1.11 清除配置 18 1.12 导入配置 19 1.13 升级系统版本 20 1.14 重新启动设备、系统关机 21 1.15 更改用户口令和enable口令 22 (一) 概述 前言 在目前各类VPN产品中，SSL VPN正以它的独特优势占据了市场中的主导位置，Array Networks公司是一家专注于开发SSL VPN的厂商。本文力图简洁明了的介绍Array Networks公司的SSL VPN产品：SPX系列的主要部署结构，建立SPX的大致流程以及它的基本配置命令。

SSL VPN简介 SSL VPN是采用SSL 技术的一种VPN产品，适用于Client to Site的安全接入方式。SSL 技术是位于TCP之上的协议，具有数字证书身份验证，数据加密等安全手段。在实现VPN访问内部应用时主要采用 Proxy 、Application Translation 、Network Extension 等技术手段实现。

用户通过SSL VPN访问内部应用系统，必须先用HTTPS协议登陆到SSL VPN 网关提供的SSL VPN门户站点，我们称之为Virtual Site，Array 的SPX系列单台设备可以配置多个Virtual Site ，具体数量视license而定。

一般情况下，在数据中心的网络边缘放置SSL VPN网关，如Array Networks SPX 系列产品。客户端要访问内部应用服务器，必须通过SSL VPN网关，其过程是先用标准浏览器如IE、Netscape等登陆SSL VPN网关，登陆使用的协议是HTTPS，底层是采用了具有加密算法的SSL 协议。登陆SSL VPN是需要经过用户认证、授权、审计的。登陆完成之后，客户端既可以访问内部的各种应用了，无论是B/S还是C/S结构，都能够得到非常好的支持，访问过程中的数据传输都是经过加密处理的，同时是经过SSL VPN授权允许和审计的。

SSL VPN 网络拓扑 SSL VPN网关设备，Array 称之为SPX系列产品，她的位置在数据中心的边缘，具体来讲一般放置在防火墙后面，入侵检测设备的前面，这样和其他安全产品一起为数据中心提供安全防护。

Array 的SSL VPN网关支持双臂结构和单臂结构。单臂结构一般不改变企业的网络拓扑结构，只需一个接口接到防火墙或交换机上，具有方便部署的特点。双臂结构，一般是指连接两个接口，如一个连接内网，一个连接外网，双臂结构具有良好的网络吞吐量。

SSL VPN的工作流程是一个Proxy架构，所以考虑拓扑结构时，要满足两点：1) 客户端机器要能访问Virtual Site IP地址；
2) SPX设备要能够访问内部各个服务器各个应用。若中间有防火墙等过滤设备，一定要打开相应端口。如在客户端和Virtual Site 之间的防火墙要打开HTTPS访问，典型如TCP 443端口。SPX和服务器之间的防火墙要对SPX设备的网络接口打开各个应用的端口。

上图是一个典型的双臂结构，outside 端口连接外网路由器或防火墙，端口地址为10.1.1.1；
inside接口连接内部交换机，端口地址为10.1.2.1。在SPX设备上的Virtual Site地址为 10.1.1.2，为内部IP地址，在internet上的客户端要能访问，前面的防火墙或路由器还要做NAT转换，如202.22.2.2 － 10.1.1.2。当然，Virtual Site地址也可以直接配置成公网地址，这时只需客户端到Virtual Site IP的路由可达与HTTPS能够访问即可。

上图是典型的单臂结构，SPX设备只需一个接口连接防火墙、路由器或者是交换机。接口IP为10.1.1.1，Virtual Site 地址为10.1.1.2，需要NAT设备作转换：如202.22.2.2 － 10.1.1.2。当然，Virtual Site地址也可以直接配置成公网地址，这时只需客户端到Virtual Site IP的路由可达与HTTPS能够访问即可。

重复一下，无论是单臂还是双臂，无论多么复杂的拓扑结构，中间有什么样的网络设备，都需要满足两点：1) 客户端机器要能访问到Virtual Site IP地址；
2) SPX设备要能够访问内部各个服务器各个应用。

Array SPX设备配置概述 拿到Array Networks一台新的设备，一般要经过如下几个过程来配置成一台可以工作的SSL VPN系统。

1. 查看设备的license，如没有license许可，需向总代、Array申请购买新的license。

2. 了解用户的拓扑结构，DNS系统、应用的大概情况，和用户协商SSL VPN拓扑结构、路由结构、DNS配置、防火墙策略、各个应用通过SSL VPN实现的方式。

3. 对SPX设备进行基本配置，包括License输入、接口IP地址配置、路由配置、时间配置、DNS配置。

4. Virtual Site 建立：建立Virtual Site、SSL 数字证书配置。

5. Virtual Site 认证方法配置，如配置LocalDB、Radius、LDAP等。

6. Virtual Site 各个应用模块的配置，如WRM、ClientApp、L3VPN。

7. Virtual Site 用户访问策略配置，各个用户或组的访问权限设定。

8. 管理配置，如SNMP、Log、配置文件管理等。

(二) SPX 设备基本配置 Array SPX的配置管理方式 Array SPX设备支持三种配置管理接入方式. Console接入：SPX系列产品默认没有IP地址、路由等配置。需要首先启动电源，通过随设备附带的连接线（console线），一端连接PC机的串口，一端连接SPX系列的Console口。SPX设备有专用的Console线和Console口，通过管理者的PC机串口接入，仿真终端：VT100；
Baud Rate to 9600；
Data Bits to 8；
NO Parity；
Stop Bits to 1；

NO Flow Control。登陆进入后可以采用命令行方式。

SSH 接入：通过SSH终端可以接入SPX设备上的任意一个接口IP地址，典型的，你可以使用Putty，Secure CRT等软件，SSH2 协议 ，端口 22来接入，登陆进入后可以采用命令行方式。

图形化配置：在通过命令行配置webUI on命令启动图形化管理方式后，使用浏览器通过访问HTTPS://<Interface_IP_address>:8888的方式登陆并进行远程管理控制。

SPX系列产品外观指示灯介绍 在SPX系列产品的前面板中具有显示设备运行状态的指示灯，指示灯分为以下三种：
l Power: 表示系统是否处在加电运行状态 l Run: 表示系统运行负载情况，当此灯经常闪烁时，表示系统负载较高。

l Fault: 表示设备是否发生故障，当此灯始终亮时，表示设备硬件故障。

具体状态指示灯的位置如下图所示：
SPX 的几种配置模式 Array OS的配置管理模式具有三个级别，登陆模式，管理模式和配置模式，在命令行中体现为hostname 加上“>”、“#”或者是“(config)#”。

1. 第一个级别登陆模式 “AN>”：
配置好超级终端后，回车登陆。SPX系列产品默认需要认证，才能进行管理配置，默认的用户名为array，口令为admin。此时将进入登陆模式，登陆模式的符号是一个大于号“>”，在此模式下可以实现基本的状态查看功能,通过问号 AN>? 可以查看此状态下所有可操作的命令。

2. 第二个级别管理模式 “AN #”: 从第一个级别进入第二个级别，是在第一个级别输入 AN>enable 命令即可进入第二个级别，缺省的口令为空。第二个级别的能够进行所有状态信息的查看，同一时刻允许有多个管理员处在此模式下。

3. 第三个级别配置模式 “AN (config)#”: 从第二个级别进入第三个级别，是在第二个级别输入 AN#config terminal 命令即可进入配置模式，同一时刻只允许一个人进入此模式。只有在此模式下才能够进行设备的配置。

当长时间不敲入命令，系统会自动退出。从后一个级别回到上一个级别使用 exit 命令，如果直接关闭终端软件，没有从config 模式exit到管理模式，会有缺省三分钟的等待时间才能再次进入config模式。

无论是在那种模式下都可以输入 “?” 来了解当前模式下可以执行的命令，或者是某 条命令的信息如：
AN (config)#show ? AN (config)#ip address ? webUI基本介绍 浏览器的版本 目前Array SP 的webUI支持这些版本：
1. IE(Version6.0 或者之后的版本) 2. Netscape(Version7.0或者之后的版本) 3. FireFox(Version1.5) 登陆webUI的过程 1. 确认在SP的命令行中 webui on 2. 例如你的SP系统IP地址是172.16.2.75.请在浏览器中输入HTTPS://172.16.2.75:8888 3. 你将会看到下面图片，默认用户名/密码是array/admin 4. 输入enable密码，缺省是空 5. 进入SP的webUI界面 设备硬件信息、OS版本及License管理 拿到Array的设备，你最先作的是通过LED查看设备硬件运行情况，若Fault灯总是亮的，请联系供应商解决设备硬件故障。

其次，您要登陆到设备上，最好用命令行方式，查看设备的系统信息：
Array SP Rel.SP.8.1.0.0 Build 9 ：
是指当前运行的Array OS版本 SSL HW：
是指SSL 硬件加速卡的信息。

Compression HW：
是指硬件压缩卡的信息 Maximum Sessions ：
指设备license允许的最大并发用户数 Maximum VBlades：
指设备license 允许的最多Virtual Site 数量 Licensed Features ：
指设备license 允许的功能模块 LicenseKey ：
Array 颁发的设备的License Key，最后的几位数字是license截止的日期，以上例子99999999是无限期的license 如果您拿到Array 的 SPX设备是新的，设备的license是 invalid license ，您需要向供应商申请license ，您需要向他提供以上的show version 信息，最主要的是设备的serial number。

拿到新的license key 后，您需要输入：
AN(config)#system license <license key> 即可使新的license生效，输入后您可以通过show version 查看license 信息。

SPX设备基本信息配置 本文以如下的拓扑结构为例作配置说明，双臂结构，以192.168.1.0/24来模拟公网，以10.1.0.0/16来模拟内网。Virtual Site IP地址为：192.168.1.2/24。设备的outside IP address：192.168.1.1/24，inside IP address为：10.1.40.2/16 配置主机名：
AN(config)#hostname <hostname> ：其中主机名长度最长为64字节 实例：例如需要配置设备的名称为sp-demo，则命令如下。

AN(config)#hostname sp-demo 配置端口IP地址: AN(config)#ip address {outside | inside} <ip-address> <netmask> 实例：例如需要对设备的Outside端口和Inside端口进行配置 AN(config)# ip address inside 10.1.1.2 255.255.255.0 AN(config)# ip address outside 192.168.1.1 255.255.255.0 查看当前端口IP地址命令：
AN(config)#show ip address 配置路由：
配置默认路由命令：
AN(config)#ip route default <nexthop-gateway-address> 配置静态路由命令：
AN(config)#ip route static <dest-IP> <dest-mask> <nexthop-gateway-address> 实例：增加一条默认路由和一条静态路由 AN(config)# ip route default 10.1.1.1 AN(config)# ip route static 192.168.20.0 255.255.255.0 192.168.1.1 webUI->System Configuration->Basic Networking->Interface->Outside webUI->System Configuration->Basic Networking->Interface->Inside webUI->System Configuration->Basic Networking->Routing 测试网络联通情况 SPX系列产品提供了Ping和traceroute来检查网路的联通状况 ping命令示例：
AN(config)#ping 192.168.10.1 Traceroute命令示例：
AN(config)#traceroute 192.168.10.1 webUI->Admin Tools->Troubleshooting 配置域名服务器 SPX需要指明DNS服务器以提供域名解析服务，尤其是当需要内部域名服务器解析内部域名时。

命令行：
AN(config)#ip dns nameserver server_ip AN(config)#ip dns nameserver 10.1.10.33 webUI->System Configuration->Basic Networking->DNS 在Basic Networking和Advanced Networking中都有DNS的配置.Basic中的DNS只是配置一条DNS IP,所有DNS查询都会指向这个DNS Server. Advanced中的DNS是SP本机做DNS Server,所有DNS解析都由SP来做,这种情况比较少用. 时区、时间配置 时区、时间的设置对于SSL VPN配置来讲非常重要，这主要是和数字证书的验证有关，数字证书一般是有期限设定的。

时区设定 AN(config)#system timezone “Asia/China/China coast“ 时间设定 AN(config)#system date <year> <month> <date> AN(config)#system time <hour> <minute> <second> 举例：
AN(config)#system date 2002 8 8 AN(config)#system time 16 28 0 webUI->System Configuration->General Settings->Date/Time 保存配置 SPX系列产品默认有两种配置，一是running config配置，一是startup配置。Running config配置是系统当前正在应用生效的配置文件，而startup配置文件是系统启动时使用的配置文件。

保存配置命令有以下几种：
AN(config)#write memory all 作用：使用running config覆盖全局的startup config SP-Demo(config)#write memory 作用：使用running config覆盖Virtual Site的startup config.注意此时是在 Virtual Site中 AN(config)#write file all <filename> 作用：将当前的running config以文件的形式保存在系统中，待以后应用 AN(config)#write net scp <scp-server-ip-address> <user-name> <filepath> AN(config)#write net tftp <tftp-ip-address> [filename] 作用：将当前的running config以文件的形式保存第三方的scp或tftp服务器上，待以后应用。

webUI->Admin Tools->Config Management0>backup 查看配置 AN(config)#show running 作用：显示出所有running config的配置内容 AN(config)#show startup 作用：显示出所有startup config的配置内容 AN(config)#show config file [filename] 作用：显示出所有保存的文件列表，或文件中的所有配置内容 webUI->Admin Tools->Config Management0>View->Startup Config 清除配置 AN(config)#clear config all 作用：清除所有配置，恢复到出厂状态 AN(config)#no … 作用：清除特定配置命令行 webUI->Admin Tools->Config Management0>Clear 导入配置 AN(config)#configure memory all 作用：应用startup config覆盖running config AN(config)#configure file all <filename> 作用：应用保存的文件中的配置覆盖当前running config AN(config)#configure net scp <scp-ip-address> <user-name> <filename> AN(config)#configure net tftp <tftp-ip-address> <filename> 作用：应用保存在第三方scp或tftp服务器上配置文件覆盖当前running config webUI->Admin Tools->Config Management0>Load 升级系统版本 AN(config)#system update <HTTP/FTP-URL> 作用：升级系统版本，以满足应用需求 AN(config)#system update http://192.168.1.101/ArrayOS_Re7.3.3.15.click AN(config)#system component update 给系统更新相应的patch webUI->Admin Tools->System Management->Update 重新启动设备、系统关机 AN(config)#system reboot 作用：系统重新启动（此时不自动保存配置）
AN(config)#system shutdown 作用：关闭系统（此时不自动保存配置）
webUI->Admin Tools->System Management->Shutdown/Reboot 更改用户口令和enable口令 AN(config)#passwd enable 作用：更改enable口令,做为running config并立即生效，但不对startup配置有影响 AN(config)#passwd user <user_name> 作用：更改登陆用户口令 AN(config)#passwd enable abcd 作用：将enable的口令更改为abcd AN(config)#passwd user array abcd 作用：将用户名array的口令更改为abcd webUI->Admin Tools->Change Password->Change Password