摘要：客户原有锐捷EG310G-E路由器，WAN0连接一条电信的拨号宽带，LAN0-3连接网络交换机和无线AP，为内网的有线和无线终端设备提供上网服务。最近新增了一台华为USG6307E防火墙，需要实现SSL VPN功能。

客户原有锐捷EG310G-E路由器，WAN0连接一条电信的拨号宽带，LAN0-3连接网络交换机和无线AP，为内网的有线和无线终端设备提供上网服务。最近新增了一台华为USG6307E防火墙，需要实现SSL VPN功能。

考虑到现网的网络架构和业务需求，决定将USG防火墙旁挂在锐捷路由器上，无需改变原有网络配置，只需要在锐捷路由器配置两个接口：WAN1和LAN5，与防火墙进行三层组网。WAN1连接防火墙GE9，LAN5连接防火墙GE2。远端用户通过ssl VPN拨入的流量经过路由器WAN1接口进入防火墙GE9，再通过防火墙GE2口转发至路由器LAN5接口进入企业内网。

手绘组网拓扑图

1、申请花生壳动态域名解析服务，将花生壳账号和密码填入路由器DDNS，与拨号获取的公网IP地址进行绑定；

2、路由器WAN1接口配置IP地址：10.1.1.1/30，与USG防火墙GE9口对接；

3、路由器新增VLAN2222，VLANIF:10.2.2.1/30，LAN5接口配置access 2222，与USG防 火墙GE2口对接；

4、路由器新增端口映射1，WAN0接口4433，映射至10.1.1.2接口4433；

5、路由器添加静态路由，目的IP：10.10.10.0/24（SSL VPN使用的网段），出接口：vlan 2222，下一跳10.2.2.2。

一、配置防火墙接口

1、GE9接口，区域：Untrust，相当于防火墙的WAN接口，与锐捷路由器WAN1对接

interface GigabitEthernet0/0/9

undo shutdown

ip address 10.1.1.2 255.255.255.252

alias To_RuiJie_WAN1

service-manage ping permit

2、GE2接口，区域：Trust，相当于LAN接口，与锐捷路由器LAN5对接

interface GigabitEthernet0/0/2

undo shutdown

ip address 10.2.2.2 255.255.255.252

alias To_RuiJie_LAN5

service-manage https permit

二、默认路由

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 10.2.2.1

三、SSL VPN

#****BEGIN***gateway**1****#

v-gateway gateway

basic

dns-server 223.5.5.5 114.114.114.114

ssl version tlsv11 tlsv12

ssl timeout 5

ssl lifecycle 1440

ssl public-key algorithm rsa

ssl ciphersuit custom aes256-sha aes128-sha

service

network-extension enable

network-extension keep-alive enable

network-extension keep-alive interval 120

network-extension netpool 10.10.10.50 10.10.10.250 255.255.255.0

netpool 10.10.10.50 default

network-extension mode manual

network-extension manual-route 192.168.1.0 255.255.255.0

network-extension manual-route 192.168.130.0 255.255.255.0

network-extension manual-route 192.168.150.0 255.255.255.0

network-extension manual-route 10.2.2.2 255.255.255.255

security

policy-default-action permit vt-src-ip

certification cert-anonymous cert-field user-filter subject cn group-filter subject cn

certification cert-anonymous filter-policy permit-all

certification cert-challenge cert-field user-filter subject cn

certification user-cert-filter key-usage any

undo public-user enable

hostchecker

cachecleaner

vpndb

group /default

group /default/sslvpn

role

role default

role default condition all

role sslvpn

role sslvpn condition all

#****END****#

四、安全策略

ip address-set 内网 type object

address 0 192.168.1.0 mask 24

address 1 192.168.130.0 mask 24

address 2 192.168.150.0 mask 24

security-policy

rule name ssl_vpn1

source-zone untrust

destination-zone local

destination-address 10.1.1.2 mask 255.255.255.255

action permit

rule name ssl_vpn2

source-zone untrust

destination-zone trust

source-address 10.10.10.0 mask 255.255.255.0

destination-address 10.2.2.2 mask 255.255.255.255

destination-address address-set 内网

action permit

rule name To_Internet

source-zone local

action permit

五、其它

待补充……

通信&网络工程师，从业27年，只分享IT技术干货与项目实施经验；另承接语音及网络产品安装调试，不限时间地点，也不限品牌，现场（大粤湾地区）&远程（全国范围）都可以。感谢阅读，欢迎关注！

来源：热爱摇滚的网络工程师