为保证VPN设备的单点故障，不影响正常的网络通信，建议分行总部VPN服务器端以双机热备旁路方式部署，其他VPN硬件客户端的部署采用透明网桥方式部署，这样在VPN隧道没有建立（或在极其特殊情况下，隧道无法建立）时，不影响正常的网络通信，最大限度地保证网络数据的不间断传输。

　　HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项，否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。

　　● 选择“网络管理”→“接口”命令，然后选择“物理接口”页签，单击Eth2接口后的“设置”图标，配置基本信息，如图2-21所示。

　　主备模式下，只能配置一个VRRP备份组，而且通信接口必须加入到具体的VRID组中，VPN才会根据此接口的up、down状态，来判断本机的工作状态，以进行VRID组内主备状态的切换。

　　① 选择“网络管理”→“接口”命令，然后选择“物理接口”页签，在除跳口以外的接口后单击“设置”图标（以Eth0为例）。

　　需要设置HA工作在“双机热备”模式下，并设置当前VPN为主墙或从墙，心跳口的本地及对端IP地址信息、心跳间隔等属性。

　　① 选择“高可用性”→“双机热备”命令，选中“双机热备”左侧的单选按钮，配置基本信息，如图2-24所示。

　　设置对端地址为从墙心跳口Eth2的IP地址（10.1.1.2），超过两台设备时，必须将“对端地址”设为本地地址所在子网的子网广播地址（最多支持8台对端设备）。

　　心跳间隔可以使用默认值（1秒），心跳间隔是两个VPN间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的VPN的此参数必须设置一致，否则很可能导致从墙的主从状态的来回切换。

　　“抢占”模式，是指主墙宕机后，重新恢复正常工作时，是否重新夺回主墙的地位。只有当主墙与从墙相比有明显的性能差异时，才需要配置主墙工作在“抢占”模式，否则当主墙恢复工作时主从墙的再次切换浪费系统资源，没有必要。案例中两台VPN相同，所以主墙不需要配置为“抢占”模式。

　　从墙配置操作和主墙的基本相同，但注意身份为“从属机”，本机地址为10.1.1.2，对端地址为10.1.1.1，不选择“抢占”。

　　为保证分行总部与各支行端以VPN硬件客户端及客户端与总部VPN硬件服务器端建立隧道加密传输数据的方式，使其传输的数据能够具备完整性、防篡改和防抵赖。

　　① 在导航菜单中选择“资源管理”→“区域”命令，设置Eth0所属区域（area_eth0），如图2-26所示。

　　② 在导航菜单中选择“系统管理”→“配置”命令，选择“开放服务”页签，开放Eth0接口IPSecVPN服务，如图2-27所示。

　　③ 在导航菜单中选择“虚拟专网”→“虚接口绑定”命令，单击“添加”按钮，将虚接口与物理接口Eth0绑定，如图2-28所示。

　　② 在导航菜单中选择“系统管理”→“配置”命令，选择“开放服务”页签，开放Eth0接口IPSecVPN服务，如图2-30所示。

　　③ 在导航菜单中选择“虚拟专网”→“虚接口绑定”命令，单击“添加”按钮。将虚拟接口和Eth0口绑定。

　　（3）在导航菜单中选择“虚拟专网”→“静态隧道”命令，单击“添加隧道”按钮，在FW1上设置VPN静态隧道参数。

　　（4）在分支机构VPN登录界面的导航菜单中选择“虚拟专网”→“静态隧道”命令，单击“添加隧道”按钮设置分支机构VPN的静态隧道参数。

　　总部VPN可以通过选择“虚拟专网”→“静态隧道”命令，查看到协商成功的隧道，如图2-35所示。

　　分支机构VPN可以通过选择“虚拟专网”→“静态隧道”命令，查看到协商成功的隧道，如图2-36所示。

　　总部VPN的静态路由表中会添加到分支机构VPN保护子网（10.10.11.0/24）的路由，如图2-37所示。

　　分支机构VPN的静态路由表中会添加到FW1保护子网（10.10.10.0/24）的路由，如图2-38所示。

　　本教材采用的天融信VPN设备，可以提供多种加密算法，建议根据方案需求情况进行选用，算法管理界面如图2-40所示。

　　（3）可以启用服务器端VPN设备的日志功能，配置日志服务器，对VPN连接等做日志记录，方便事后审计。

　　（4）项目中涉及的产品具备远程管理与基本的集中管理功能，根据需要，可进一步使用VPN集中管理器，对部署在××地区范围的VPN客户及部署在××银行分行的VPN服务器进行集中管理和维护。

　　（5）通过部署无线CDMA无线路由、VPN系统，能够满足××银行快速发展的需要，将ATM机方便地部署到全辖区范围的任何有CDMA信号的地方，同时可方便地开展移动银行业务；另外，在部署高可靠性VPN设备后，使通过CDMA网络传输的数据均经过加密、验证，保证所传输数据的机密性、可用性和完整性。

　　① 在导航菜单中选择“资源管理”→“区域”命令，设置Eth0所属区域（area_eth0），如图2-41所示。

　　② 在导航菜单中选择“系统管理”→“配置”命令，选择“开放服务”页签，开放Eth0口IPSecVPN服务，如图2-42所示。

　　③ 在导航菜单中选择“虚拟专网”→“虚接口绑定”命令，单击“添加”按钮，将虚接口与物理接口Eth0绑定，如图2-43所示。

　　本例中，使用了本机设备证书作为客户端的根证书，只需选中“以本机设备证书导入”左侧的单选按钮，然后单击“确定”按钮即可。

　　③ 选择“PKI”→“本地CA策略”命令，激活“签发证书”页签，单击“生成新证书”单选按钮，为VRC用户生成一个新证书，如图2-45所示。

　　为了保护SSL VPN网关的安全，管理员一般将VPN的Eth1接口所在的区域设置为“禁止”，然后通过定义访问控制规则，定义允许远程用户对SSL VPN网关上特定端口的访问。

　　（1）在VPN上添加自定义服务：443和4430（4430为全网接入模块的端口，不开放该端口无法使用全网接入服务），如图2-48所示。

　　（1）管理员登录管理界面后，选择导航菜单“PKI设置”→“本地CA策略”命令，然后选择“根证书”页签，单击“获取证书”按钮，如图2-53所示。

　　（2）“USB厂商”用于选择USBKey设备厂商/型号，该选项根据插在安全设备上的不同USBKey进行选择。目前只支持epass1000。

　　（1）选择导航菜单“PKI设置”→“本地CA策略”命令，然后选择“签发证书”页签，单击“生成新证书”按钮。

　　两种移动用户证书的区别在于“单位（OU）”项的内容不同。根据该项的区别，SSL VPN网关将在移动用户登录时判断其身份并把用户归入不同的角色中。单击“确定”按钮，完成移动用户证书的创建免费分享vpn代理。

　　（4）在“签发证书”页面，分别单击“user1”和“manager1”条目后的“下载”图标，如图2-58所示。

　　（5）选择签发的证书类型，使用USBKey保存的证书必须是“PKCS12”格式，对于使用文件方式颁发的证书，则可以采用PEM或者DER格式。本例中导出普通职员证书和经理证书时均采用“PKCS12”方式，如图2-59所示。参数设置完成后，单击“导出证书”按钮，界面出现“证书点击下载”，在IE弹出操作界面图，单击“保存”按钮后，为证书文件指定保存路径进行保存，以便日后向USBKey导入或直接发放时使用。

　　① 在导入前需要安装USBKey驱动，双击驱动程序“eps1k_full.exe”，依照提示进行安装即可。安装完成后，底部托盘出现“USB Token 1000证书管理工具”的图标

　　③ 双击证书写入工具“ePassMgr.exe”，进入“USB Token 1000管理工具”界面，激活界面左下方的“验证用户PIN”，然后输入正确的PIN码，如图2-60所示。

　　单击“登入”按钮，稍后弹出对话框，提示用户成功登入USBKey，单击“确定”按钮后，会出现导入界面。

　　（1）选择“网络管理”→“DHCP”命令，然后选择“DHCP服务器”页签，单击“添加DHCP地址池”按钮，添加作用域为“10.10.10.0/24”的DHCP地址池（用于分配给全网接入客户端），如图2-61所示。

　　（2）将DHCP服务器的“运行接口”设置为“lo”，并单击“运行”按钮启动DHCP服务器进程，如图2-62所示。

　　（1）选择导航菜单“用户认证”→“证书设置”命令，然后单击证书服务器“cert”条目右侧的“修改”图标，配置后的界面如图2-65所示。

　　选择导航菜单“SSL VPN”→“安全性设置”命令，然后选择“基本设置”页签进行配置，如图2-66所示。

　　不同安全级别的用户采用证书认证方式进行认证登录。假设用户“user1”和“manager1”使用同一主机“10.10.10.2”登录，并且该主机已经下载完所有的控件。

　　（1）用户“user1”采用文件方式证书登录SSL VPN网关（对外IP为10.10.10.10）用户界面。

　　① 双击用户“user1”的“PKCS12”格式的文件证书，根据提示将客户端证书安装到本机中。

　　② 在浏览器的URL地址栏输入SSL VPN网关的公网IP，进入用户登录界面。由于管理员已经设定用户只能通过证书认证方式进行登录，所以用户登录界面中只有“证书认证”按钮。

　　③ 在浏览器的URL地址栏输入SSL VPN网关的公网IP，进入用户登录界面。因为已经设定用户只能通过证书认证方式进行登录，所以用户登录界面中只有“证书认证”按钮。

　　⑤ 选择manager1用户证书后，单击“确定”按钮，弹出验证用户PIN码界面，如图2-68所示。

　　选择“网络管理”→“DHCP地址池”命令，然后激活“DHCP服务器”页签，单击“添加DHCP地址池”设置VRC用户分配的地址池，如图2-69所示。

　　参数设置完成后，单击“确定”按钮。需要注意的是，地址池的选择一定不能与内部网段有包含关系，更不能分配与内部网络在同一网段的地址池。

　　选择“虚拟专网”→“VRC管理”命令，然后激活“基本设置”页签，设置相关内容，如图2-71所示。

　　（4）选择“用户认证”→“用户管理”命令，然后激活“用户管理”页签，单击“添加用户”按钮设置VRC用户，如图2-74所示。

　　设置用户的权限使用“默认权限”，可以使用自定义权限，但应保证步骤（1）中的“证书权限控制”设定为ON。

　　（5）选择“虚拟专网”→“VRC管理”命令，然后激活“用户权限”页签，单击VRC用户右侧的“权限设置”图标，配置VRC用户权限，如图2-75所示。

　　（6）在远程VRC客户机上安装并配置VRC远程客户端，客户端主机上会添加一个IPSecVPN虚拟网卡。

　　打开VPN客户端，单击“新建VPN连接”。网关地址设为VPN Eth2接口的地址（10.10.11.1），连接使用IP，如图2-77所示。认证使用“X509证书认证”，如图2-78所示。

　　单击“加载证书”按钮加载证书。单击“确定”按钮后，提示“证书加载成功”，导入证书如图2-79所示。

　　在“VPN客户端连接管理”窗口中双击新建连接“10.10.11.1”，启动VPN客户端。在连接窗口中输入VRC用户口令，然后单击“连接”按钮，如图2-80所示。

　　在“VPN客户端属性”界面中选中“显示IKE协商进程”左侧的复选框，则客户端桌面弹出如图2-82所示窗口。

　　③ 选择“网络管理”→“路由”命令，然后激活“静态路由”标签，查看VPN上的路由信息。如图2-84所示的信息，则表示客户端初始化完成，并连接成功。