产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【VPN】VPN在旁路的模式下如何通过用户名+密码登录的方式SSL VPN访问公司内网

发布时间:2013-09-05
点击量:13948

一、网络需求

外网有 单独的出口路由器,V1600S以旁路模式放在网络中,外网用户以“用户名+密码”的方式拨SSL VPN到内网,访问内网的资源

二、网络拓扑

如下图所示:

 本案例中内网共有 3个vlan

vlan 10 为内网普通用户网段:192.168.10.0/24            网关:192.168.10.1/24

vlan 20 为内网服务器网段   :   192.168.20.0/24            网关:192.168.10.1/24

vlan 30 单独划分给V1600S:  192.168.30.0/24            网关:192.168.10.1/24

 核心交换机和路由器之间的互联网段是192.168.1.0/24,路由器内网口:192.168.1.1  交换机上联口:192.168.1.2

此案例中,分配给外网用户的虚地址段:192.168.30.0/24(SSL VPN的时候分配的虚拟子网不能任何eth口上的主网段相同,否则会有冲突);

下图中红色的线代表外网用户访问内网服务器的来回数据走向

 

三、配置要点

1.配置出口NBR路由器

1).基本的上网配置;

2).端口映射,与SSL VPN相关的端口  TCP:443  TCP/UDP:888,V1600S的管理端口:UDP 49  、TCP 666;

           3).配置去往内网网段的静态路由,目的网段192.168.0.0 掩码 255.255.0.0 下一跳192.168.1.2;

 

2.核心交换机上需要做的关键配置:

1).划分vlan10、20、30,配置vlan对应的网关地址,上连口地址,配置默认路由,下一跳指向出口路由器的内网接口;

2)把Gi0/3接口划分到vlan30,与V1600S互连;

3)配置去往外网的默认路由;

 

3.配置V1600S的基本配置

1.配置ETH1接口IP :192.168.30.2/24,外网网关:192.168.30.1/24;

2.定义内网用户的网段和外网VPN用户的网段,提供给接下来的访问规则调用;

3.配置访问规则,外网用户访问内网资源的数据,源地址转换为eth0接口的IP;

原理说明:外网用户访问内网的数据,经路由器转发给V1600S,然后V1600S对数据进行NAT转换,把外网用户访问内网资源的数据,源地址转换为eth0接口的IP,目的地址不变,再转发给核心交换机,核心交换机转发给内网服务器。服务器接收到该访问数据,回应的时候,目的地址是V1600S的接口IP,转发给核心交换机,核心交换机再转发V1600S。

 

(注:初始化的V1600S默认产生以下两条访问规则,序号为1的安全规则是对任何数据都是纯放通,不进行任何的修改,序号为2的安全规则是对任何数据都进行阻断;访问规则的处理顺序是由上往下,从第一访问规则开始匹配,如果新增加了访问规则,记得根据实际的网络需求调整好规则之间的顺序)

4.SSL VPN 的相关配置

1)资源管理配置------添加资源

2)用户组管理--------添加用户组(用户和资源是绑定在一起的)

3)远程用户组管理---本地用户数据库

4)参数设置-----------虚拟地址池(1.安全规则选择“直接放行”。2.配置时切忌不要配置内网同段的 IP 地址,否则会照成资源无法访问的情况)

 

四、配置步骤

1.配置出口NBR路由器

-------------以下是NBR路由器配置内网的用户能够正常访问internet------------------

 

以下是命令配置

interface GigabitEthernet 0/0        //内网口

 ip nat inside

 ip address 192.168.1.1 255.255.255.0

 

interface GigabitEthernet 0/1      //外网接口

 ip nat outside

 ip address 172.18.10.114 255.255.255.0

ip access-list extended 110       //与NAT相关的ACL

 10   permit ip any any

 

ip nat inside source list 110 pool nat_pool overload

ip nat pool nat_pool prefix-length 24

 address 172.18.10.114 172.18.10.114 match interface GigabitEthernet 0/1

 

ip route 0.0.0.0 0.0.0.0 172.18.10.1      //配置访问互联网的默认路由,外网网关地址为172.18.10.1

ip route 192.168.0.0 255.255.0.0 192.168.1.2   //配置访问内网的静态路由   ,下一跳地址为 192.168.1.2

 

ip nat inside source static tcp 192.168.30.2 443  172.18.10.114 443 permit-inside

ip nat inside source static tcp 192.168.30.2 888  172.18.10.114 888 permit-inside

ip nat inside source static udp 192.168.30.2 888  172.18.10.114 888 permit-inside

ip nat inside source static udp 192.168.30.2 49  172.18.10.114 49 permit-inside

ip nat inside source static tcp 192.168.30.2 666 172.18.10.114 666 permit-inside

 

2.核心交换机上的配置

-------------------以下配置核心5750----------------------------------

 

vlan  10

vlan  20

vlan 30

int vlan 10

ip address 192.168.10.1 255.255.255.0

int vlan 20

ip address 192.168.20.1 255.255.255.0

int vlan 30

ip address 192.168.30.1 255.255.255.0

int gi0/0

no swithchport

ip address 192.168.1.2 255.255.255.0

 

int gi0/1

switchport access vlan 10

int gi0/2

switchport access vlan 20

int  gi0/3

switchport access vlan 30

ip route 0.0.0.0 0.0.0.0 192.168.1.1   //配置默认路由,下一跳地址为路由器内网口的IP

 

3.配置V1600S的基本配置

---------------------------以下配置V1600S---------------------------------

1).配置Eth1接口IP :192.168.30.2/24,与核心交接机gi0/3的接口互连

2).定义内网用户的网段和外网VPN用户的网段,提供给接下来的访问规则调用

先访问控制----->对象管理----IP地址对象中定义好以下地址对象,添加名称为”SSL_VPN用户组“的IP地址对象:192.168.2.0/24

添加名称为”内网服务器网段“的IP地址对象:192.168.10.0/24

3).配置访问规则,外网用户访问内网资源的数据,源地址转换为eth1接口的IP

在访问规则里,源对象为:SSL-VPN用户   目的对象:内网服务器网段    按对象转换

 

配置好以上规则后,通过”规则上移“的按钮把该条规则调到最前面,如下图所示:

 

 

4.SSL VPN 的相关配置

-------------------------------以下是V1600S的SSL VPN相关配置-------------------------

1).资源管理配置------添加资源

指定外网用户可以访问的内网资源

 

2)用户组管理---本地用户数据库

给外网用户添加一个名称为'SSL-VPN用户组”的用户组

 

3)远程用户管理--------添加用户组

添加VPN用户,并把该用户加入到之前配置的用户组里面

点击  “本地用户数据库”  添加新用户

 

回到 用户组管理 页面,给该账户分配之前我们设定的内网服务资源

 

4)参数设置-----------虚拟地址池

参数中主要配置虚地址池,虚地址池的作用是:用户建立隧道时,VPN网关设备从该地址池从分配其中的某个IP地址给外网VPN用户使用;

配置时有以下注意点:

1.切忌不要配置内网同段的 IP 地址,否则会造成资源无法访问的情况;

2.SSL 隧道设置“区域的”SSL隧道端口复用“按钮如果有端口冲突时请勾选,否则无需勾选

如果不勾选以上的“使用组虚拟地址池”,那么就可以直接设置子网地址和掩码,就此所有配置就结束了。

 

(以下内容是对“使用组虚拟地址池”该功能的应用场景的描述,请根据实际需求选读)

如果想要针对不同的外网客户,控制他们访问不同的网络资源的权限,比如V1600S内网有财政部的服务器和人事部的服务器,我们就可以在”用户组管理“里新增“人事部用户”组和“财政部用户”组,为人事部的外网用户分配对应的网络资源,为财政部的外网用户分配对应的网络资源,,然后在上图中勾选:组虚拟IP地址池,为不同的外网用户指定特定的地址池,具体操作及配置图如下图所示:

 

比如我们新建一个“人事部用户”名称的用户组

再新建一个“renshibu”用户,把该用户加入到该用户组

最后我们为该用户组 分配允许访问的内网资源

 

五、配置验证

1.在客户端电脑输入外网接口的IP地址:

https://172.18.10.98 弹出以下页面

2.出现安装客户端的界面

3.安装完后,选择用户名口令登录

输入用户名+密码

4.显示可访问的主机和子网资源后,就可以开始访问内网的资源

 

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式