SSL-VPN案例

#
interface SSLVPN-AC1  //创建一个名为 SSLVPN-AC1 的虚拟接口，专用于 SSL VPN 隧道通信。
ip address xxx.xxx.xxx.xxx xx //这个IP地址是在设备中没有的地址为该接口分配 IP 地址 ，子网掩码（此地址是 VPN 客户端的网关）
#    
sslvpn ip address-pool 1 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx  //这条命令用于定义 SSL VPN 客户端的 IP 地址池，地址池编号1 IP范围是 1-253
#    
sslvpn gateway name      //配置SSL-VPN网关名字
 ip address xxx.xxx.xxx.xxx port  xxxx    // 配置的地址是公网地址、端口号。（用户通过此地址和端口连接 VPN）
 service enable    //启用SSL-VPN 该网关
#        
sslvpn context GD    //创建 SSL VPN 上下文（策略组）GD
 gateway gw    //关联网关 gw。
 ip-tunnel interface SSLVPN-AC1    //关联虚拟接口 SSLVPN-AC1。
 ip-tunnel address-pool 1 mask 255.255.255.0    //地址池 1 分配范围xxx.xxx.254.1-200.34.254.100（VPN 客户端连接后从此范围获取 IP）
 ip-route-list GD    //路由列表 GD 包含允许 VPN 用户访问的内网网段（如xxx.xxx.0.0/16,xxx.xxx.10.0/24 等
 include ip段 掩码  //允许访问xxx.xxx.0.0/16 网段（范围：200.34.0.1 ~xxx.xxx.255.254）
policy-group GD    //策略组 GD 的权限配置
  filter ip-tunnel acl 3000    //使用 ACL 3000 放行所有 IP 流量（rule 0 permit ip）
  ip-tunnel access-route ip-route-list GD     //将路由列表 GD 绑定到 VPN 用户，限制他们只能访问指定内网网段
 default-policy-group GD    //default-policy-group GD 将此策略设为默认组
 service enable    //启用该网关
#    
acl advanced 3000    创建ACL 3000
 rule 0 permit ip    规则可以通过所有
#
security-zone name Untrust
 import interface GigabitEthernet1/0/5
 import interface SSLVPN-AC1     //将import interface GigabitEthernet1/0/5和SSLVPN-ACL 接口导入到了untrust
#    
security-policy ip    
 rule 2 name GuideSecPolicy    // 规则 2 GuideSecPolicy：默认放行流量（需结合其他规则细化）
  action pass    
 rule 3 name trust-untrust    // 规则 3 trust-untrust：允许内网（Trust）访问外网（Untrust）
  action pass    
  source-zone Trust    
  destination-zone Untrust    
 rule 4 name untrust-trust    // 规则 4 untrust-trust：允许外网（Untrust）访问内网（Trust）（需谨慎配置）。
  action pass      
  source-zone Untrust    
  destination-zone Trust    
#    
 ip https port xxxx    ip https port xxxx：设置 HTTPS 管理端口为 5505。
 ip https enable    
#    
 ssh server enable    ssh server port xxxx：设置 SSH 管理端口为 4094（用户通过此端口远程登录设备）
 ssh server port xxxx    
#    
interface GigabitEthernet1/0/5  //防火墙公网接口    这是设备的物理接口（通常是设备的第5个千兆以太网口），用于连接外网（如互联网）。
 port link-mode route    设置接口工作模式为路由模式（三层模式），表示该接口直接处理 IP 路由，而非二层交换。
 description GuideWan Interface    接口描述为“外网接口”，便于管理员识别用途。
 ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx    为接口分配公网 IP 地址 223.83.152.209，子网掩码 255.255.255.0（属于公网 IP 段，用于与互联网通信）
 dns server xxx.xxx.xxx.xxx    设置 DNS 服务器地址为 211.141.90.68，用于域名解析（如访问网站时解析域名到 IP）
 nat outbound 2000    启用源地址转换（SNAT），匹配 ACL 2000 的内网流量，在通过此接口时会被转换为公网 IP 223.83.152.209。
 manage http inbound    允许通过 HTTP 协议管理设备（入站和出站）
 manage http outbound    
 manage https inbound    允许通过 HTTP 协议管理设备（入站和出站）
 manage https outbound    
 manage ping inbound    允许通过 Ping 测试接口连通性。
 manage ping outbound    
 manage ssh inbound    允许通过 SSH 协议远程登录设备（加密通信，推荐使用）。
 manage ssh outbound    
 gateway xxx.xxx.xxx.xxx    配置默认网关为 223.83.152.193（通常是运营商提供的上级路由器地址），所有非本地的流量通过此网关转发。
#    
interface GigabitEthernet1/0/2 //防火墙内网接口    这是设备的物理接口（通常是设备的第2个千兆以太网口），用于连接外网（如互联网）。
 port link-mode route    
 description GuideLan Interface    
 ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
 manage ping inbound    允许通过 Ping 测试接口连通性。
 manage ping outbound    
 undo dhcp select server    关闭接口上的 DHCP 服务器功能。
 gateway xxx.xxx.xxx.xxx    
#    
security-zone name Local    Local（本地管理区） 和 Management（管理区）：用于设备自身管理
#    
security-zone name Trust    Trust（信任区）：包含内网接口 GigabitEthernet1/0/2、1/0/4、1/0/7。
 import interface GigabitEthernet1/0/2    
 import interface GigabitEthernet1/0/4    
 import interface GigabitEthernet1/0/7    
#    
security-zone name DMZ    
#    
security-zone name Untrust    
 import interface GigabitEthernet1/0/5    
 import interface SSLVPN-AC1      //Untrust（不信任区）：包含外网接口 GigabitEthernet1/0/5 和 VPN 接口 SSLVPN-AC1。
#    
security-zone name Management    Local（本地管理区） 和 Management（管理区）：用于设备自身管理
 import interface M-GigabitEthernet1/0/0    
#        
local-user 用户名 class network    local-user 用户名 class network：创建 VPN 用户
 password cipher 密码    password cipher 密码：加密存储用户密码。
 service-type sslvpn    service-type sslvpn：允许用户使用 SSL VPN
 authorization-attribute user-role network-operator    
 authorization-attribute sslvpn-policy-group GD    authorization-attribute sslvpn-policy-group GD：用户登录后应用策略组 GD。
 description SSLVPN-USER    备注信息:SSL-VPN用户
#    
acl basic 2000    
 rule 0 permit source xxx.xxx.0.0 0.0.0.255    
 rule 5 permit source xxx.xxx.1.0 0.0.0.255    
 rule 10 permit source xxx.xxx.2.0 0.0.0.255    
 rule 15 permit source xxx.xxx.3.0 0.0.0.255    
 rule 20 permit source xxx.xxx.5.0 0.0.0.255    
 rule 30 permit source xxx.xxx.10.0 0.0.0.255    
 rule 40 permit source xxx.xxx.100.0 0.0.0.255    
 rule 45 permit source xxx.xxx.201.0 0.0.0.255    
 rule 50 deny    
#    
acl advanced 3000    
 rule 0 permit ip    
#