1.1   适用的产品和版本

表1-1     配置示例使用的产品和版本

设备类型	设备型号	版本
网关	RG-NBR-N7000系列网关	适用于NBR_NTOS 1.0R8或更高版本

 

1.2   业务需求

如下图所示，企业内网出口以路由模式部署了一台NBR网关，保护内网安全的同时，作为SSL VPN网关为远程移动办公员工用户提供SSL VPN服务。

由于外网口Ge0/5以PPPoE方式连接Internet，IP地址会发生变化，IP地址变化后隧道将无法建立。为解决该问题，管理员希望配置DDNS客户端功能，在DDNS服务商PubYun(3322)申请域名3322ddns.x3322.net，将其与Ge0/5绑定，用户通过域名3322ddns.x3322.net访问SSL VPN网关，从而保证出接口IP地址变化不影响SSL VPN服务。

图1-1     DDNS组网图

 

1.3   配置限制与说明

l  设备作为出口网关并且出接口能够获取公网地址，出接口是私网地址情况下与域名绑定，DDNS功能可能无法生效。因为域名指向私网IP导致公网设备无法访问，内网设备因为IP可达而能访问。

l  目前支持的DDNS服务商有花生壳(Oray)、PubYun(3322)、DynDns、NO-IP以及自定义运营商（西门子类型的DDNS服务器）。

l  一个域名只能绑定一个接口，若接口同时配置了IPv6和IPv4地址，优先以IPv4的地址通告，若接口只配置了IPv6地址，请先和DDNS服务商确认是否支持IPv6。

l  配置DDNS前请先确认接口是否已获取IP地址。

l  最多只能配置8条DDNS策略。

1.4   前置条件

l  已完成基础上网配置，如接口IP、路由、NAT等。

l  已在DDNS服务商完成账号和域名注册。本案例以PubYun(3322)为例，并已提前申请好域名3322ddns.x3322.net。

l  设备能与DDNS Server之间网络互通，即设备可以访问Internet。

1.5   配置步骤

1.5.1  配置DDNS

(1)   进入[网络]>>[DNS]>>[DDNS]菜单项，点击<新增>按钮。

 

(2)   配置DDNS策略。

l  服务提供商选择PubYun(3322)，实际场景中请根据实际情况选择。

l  输入在PubYun(3322)注册的账号密码。

l  绑定接口选择设备外网口，本案例为Ge0/5。

l  域名选择在PubYun(3322)上提前申请好的域名，本案例为3322ddns.x3322.net。

 

配置完成后，页面显示如下。若出现工作状态异常，请检查设备出接口是否已获得公网IP，并且设备与DDNS服务器之间是否网络互通，服务商提供的域名状态是否正常等。

 

1.5.2  为移动办公用户配置SSL VPN账号

     说明

设备支持使用外部Radius服务器进行认证，本例仅以本地用户认证为例，如需使用外部服务器认证，请参考SSL VPN配置案例。

 

(1)   点击[策略] >> [用户认证] >> [用户管理]菜单项。

(2)   点击<新增用户组>，添加一个名为“group1”的用户组。

 

(3)   点击<保存>。

(4)   点击<新增>，选择“用户”。

 

(5)   按照下图配置用户信息：

l  登录名：user2

l  所属分组：/default/group1

l  密码：test@123

 

(6)   点击<保存>。

1.5.3  配置SSL VPN网关

1.    基本配置

(1)   点击[网络]>>[SSLVPN]>>[SSLVPN网关]菜单项。

(2)   点击<新增>，按照下图创建一个SSL VPN网关：

l  网关地址选择设备外网口Ge0/5，端口号根据实际情况配置，本案例设置为8445

l  域名设置为在PubYun(3322)上提前申请好的域名（与DDNS策略中设置的域名一致），本案例为“3322ddns.x3322.net”

l  最大并发用户数按实际授权允许配置

l  其他参数使用默认配置

 

(3)   点击<下一步>。

(4)   若配置的域名无法被DNS解析成对应的地址，设备将弹出如下提示信息，可点击<下一步>继续配置或者选择返回修改。

 

2.    认证配置

(1)   本案例使用的默认认证域，所以本页面参数使用默认配置即可。

 

(2)   点击<下一步>。

3.    添加资源

(1)   可分配IP网段根据实际情况设置，本案例为172.17.151.0/255.255.255.0。

(2)   隧道接入保活、失联最大时间使用默认配置。

 

(3)   在“隧道资源组列表”区域点击<新增>创建隧道资源组“resource_grp_1”，并在该组中添加一条资源：

l  资源名称：resource_1

l  资源类型：网段

l  资源：10.2.0.0/24

l  协议：any

 

 

(4)   点击<确认>创建资源。

(5)   点击<下一步>。

4.    绑定资源

设备默认提供一条default策略，未绑定任何资源，且不可删除。管理员可以选择编辑default策略或新增一条策略。本案例选择新增一条策略。

(1)   点击<新增>新增一条授权策略：

l  授权策略名称：policy_1

l  用户/用户组：选择前面创建的用户user2。

l  IP隧道资源：resource_grp_1

 

(2)   点击<确认>保存授权策略。

(3)   点击<完成>按钮。

(4)   创建成功后，在SSL VPN网关列表中找到相应网关，点击<复制登录信息>，并将登录信息分发给移动办公用户。

 

1.6   验证配置结果

1.6.1  移动办公用户可以ping通域名3322ddns.x3322.net

移动办公用户可以ping通域名3322ddns.x3322.net。

 

1.6.2  移动办公用户通过SSL VPN成功访问内网资源

(1)   远程用户登录安全云平台（https://secloud1.ruijie.com.cn/SSLVPNClient）下载并安装适用的SSL VPN客户端。

 

(2)   打开客户端，输入配置的SSL VPN网关域名、用户名、密码，点击<登录>。

 

(3)   阅读如下提示，点击<确认>。

 

(4)   登录成功，客户端获取到分配的虚地址。

 

(5)   客户端通过浏览器可以成功访问内网资源，本案例以成功访问一个简单的Web Server为例。