【木子李】atrust替换sslVPN案例

感谢分享，有助于工资和学习！

感谢楼主的精彩分享，有助工作!!!

一、零信任aTrust替换SSL VPN场景工作原理

零信任aTrust替换SSL VPN设备，主要的工作原理在于设备相关资源和权限的配置导入，根据零信任aTrust产品形态的不同，在操作对象上有所不同。

1）分离式部署，有控制中心和代理网关两台设备，其中控制中心实现用户认证，资源鉴权和策略下发等功能，代理网关实现用户的隧道建立，资源数据转发，执行控制中心下发的策略等。所以根据分离式的产品形态上，我们将SSL VPN的配置文件导入是，需要操作的对象是零信任控制中心设备。

2）综合网关部署，二合一设备，集成了控制中心和代理网关两台设备的功能。一台设备就可实现用户认证、资源鉴权和数据转发等功能。所以我们将SSL VPN的配置文件导入操作，操作对象是零信任综合网关设备。

注意：SSL VPN配置导入零信任aTrust设备，导入的配置范围是：用户、用户组、角色、应用和应用组五元素之间的关联关系。

二、替换过程

      客户背景介绍：客户原有2台SSLvpn组建集群模式，新采购了2台综合网关进行替换，客户原有认证信息采用AD域认证。

1、登录ssl vpn

      管理员登录SSL VPN设备控制台，进入[系统维护/【配置备份/恢复】/SSL配置备份]点击<下载当前配置>获取SSL VPN的配置文件（SSL VPN版本大于7.5）。

2、登录atrust进行网络基础搭建配置

（1）配置业务口以及心跳口-lan

（2）配置路由

（3）开启atrust“22”端口

（4）配置AD域信息

（5）管理员本地打开工具（如mobaxterm工具），使用SFTP工具，连接零信任aTrust控制中心【或综合网关】设备后台。将下载好的SSL VPN配置文件（已改名为：vpn.bcf）上传至控制中心【或综合网关】设备的upload目录。

（6）atrust登录webconsole

输入命令：vpn_import add -e test xxx.bcf

（7）成功导入 用户、资源，角色导入有问题自己配置完成。

（8）配置集群

（9）修改全局策略