山石SA2001A VPN防火墙简明配置手册(7)

山石SA2001A操作指导手册 然后我们可以配置保留地址池，保留地址池中的 IP 地址为地址池中的部分 IP

地址，当 SCVPN 设备端从地址池里取出 IP 地址分配给客户端时，需要保留已经被占用的部分 IP 地址（如网关、FTP 服务器等），不进行分配。

配置保留地址池，在 SCVPN 地址池配置模式下使用命令“exclude address”，具体如下：

表示配置保留地址池为172.3.2.254 到172.3.3.3。

接着需要配置IP地址绑定规则，SA2001A SCVPN 通过创建和执行 IP 地址绑定规

则来满足客户端的固定 IP 地址需求。IP 地址绑定规则包括静态 IP 地址绑定规则和角色-IP 地址绑定规则。静态 IP 地址绑定规则将客户端用户与已配置地址池中的某个固定 IP 地址绑定，当客户端连接成功后，设备端会将绑定的 IP 地址分配给客户端；角色-IP 地址绑定规则是将角色与已配置地址池中的某一 IP 地址范围绑定，当此客户端连接成功后，设备端会从绑定的地址范围中取出一个 IP 地址分配给客户端。

当 SCVPN 设备端通过地址池给客户端分配 IP 地址时，系统会按照一定的顺序对客户端的 IP地址绑定规则进行检查，决定如何为客户端分配 IP 地址：

1，检查是否已为客户端用户配置静态 IP 地址绑定规则，如果是，则将绑定的 IP 地址分配给客户端；否则，需要进一步检查。注意，如果此静态 IP 地址绑定规则中的 IP 地址已被占用，则该用户无法登录。

2，检查是否已为客户端用户配置角色-IP 地址绑定规则，如果是，则从绑定的地址范围中取出一个 IP 地址分配给客户端；否则，该用户无法登录。

注意：静态 IP 地址绑定规则中的 IP 地址和角色-IP 地址绑定规则中的 IP 地址不能重叠。

配置静态 IP 地址绑定规则，在 SCVPN 地址池配置模式下使用命令“ip-binding user”，具体如下：

表示把172.3.0.1这个地址静态分配给用户“test”。

配置角色 IP 地址绑定规则，在 SCVPN 地址池配置模式下使用命令“ip-binding role”，具体如下：

表示把角色“test”和IP地址范围在172.3.0.2 和172.3.0.10之间的地址进行绑定。

注意：这里要保证角色“test”已经在全局配置模式下创建。如下：

信息中心

7/11/2013

31

山石SA2001A操作指导手册

即需要在全局配置模式下使用命令“role test”创建角色“test”。

下面配置DNS和WINS服务器，具体如下：

表示配置DNS服务器地址为172.3.0.254;

表示配置WINS服务器地址为172.3.0.253.

用 “show scvpn pool test”命令可以显示SCVPN地址池TEST的相关信息，具

体如下：

在下面的图中显示的是地址池 “test”的统计信息：

表示此地址池中共有771个地址，6个保留地址，10个绑定地址，已用的地址为

0，已用的绑定地址也为0，可用的地址为765个。

信息中心

7/11/2013

32

山石SA2001A操作指导手册 9.2.2 SCVPN实例配置

创建 SCVPN 实例，在全局配置模式下，使用命令“tunnel scvpn”,具体如下：

为 SCVPN 实例“test”指定 SCVPN 地址池,如下：

客户端通过 HTTPS 协议访问设备端接口。指定设备端 SCVPN 接口，在 SCVPN 实例配置模下，使用命令“interface”,如下：

表示绑定接口Eth0/2为客户端访问的接口。

为 SCVPN 指定 SSL 协议，在 SCVPN 实例配置模式下，使用命令

“ssl-protocol”,如下：

表示指定协议为“sslv3”。

指定的 PKI 信任域用于 HTTPS 访问认证。为 SCVPN 指定 PKI 信任域，在 SCVPN 实例配置模式下，使用命令“trust-domain”，如下：

表示指定信任域为默认域。

指定隧道密码，隧道密码包括加密算法和验证算法。为 SCVPN 指定隧道密码，在 SCVPN 实例配置模式下，使用命令“tunnel-cipher encryption 3des hash sha”，如下：

表示指定加密算法为 “3des” 验证算法为 “sha”。

指定 AAA 服务器为进行客户端用户身份认证的 AAA 服务器。指定 AAA 服务

器，在SCVPN 实例配置模式下，使用命令“aaa-server”,如下：

信息中心

7/11/2013

33

山石SA2001A操作指导手册 表示AAA服务器为本地。

配置SCVPN隧道路由

SCVPN 隧道路由是指通过 SCVPN 隧道到指定网段的路由。SCVPN 客户端通过设备下发的路由可以访问到指定的网段。配置 SCVPN 隧道路由，在 SCVPN 实例配置模式下，使用命令“split-tunnel-route”，如下：

表示配置到192.168.0.0/24网段的隧道路由。

绑定SCVPN实例到隧道接口

配置好的 SCVPN 实例需要绑定到隧道接口，才能够生效。绑定 SCVPN 实例到隧道接口，在隧道接口配置模式下，使用命令“tunnel scvpn”,如下：

表示绑定成功。 注意：一个隧道接口只能绑定某一个类型的VPN实例，不能够既绑定IPSEC类型的隧道接口又绑定SCVNP类型的接口到一个隧道接口。如下：

表示当在隧道接口上绑定了SCVPN类型实例隧道接口的前提下，再想绑定IPSEC类型的接口实例是不允许的，反之亦然，即隧道接口和隧道实例是一对一的关系。

信息中心

7/11/2013

34

山石SA2001A操作指导手册

结束语

由于本人水平有限，本指导手册介绍内容告一段落，希望本手册能够给各位带来一

点帮助，同时敬请各位同事提出修改意见，谢谢！

2010-12-22

信息中心

7/11/2013

35

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库山石SA2001A VPN防火墙简明配置手册(7)在线全文阅读。