暂时记下一些自己的理解,不太涉及原理,主要是配置方面的理解,陆续的会补充一些图
sslvpn网络扩展:
连接成功后会的客户端上生成一个临时的虚拟网卡;同时生成一个路由,目标地址是vpn内网的网段,下一跳地址是虚拟网卡。
发起连接时,源地址是虚拟网卡的地址,目标地址目标网段
在物理网卡上再进行一次封装,外层的源地址是物理网卡的ip,目标ip是防火墙的外网接口ip,通过sslvpn加密传输到防火墙上
防火墙收到报文,解封装
配置:
ip地址池,为客户端分配ip地址,不能和内网的任意网段冲突;
内网的路由设备要有到这个地址段的路由,路由的下一跳指向防火墙
可访问的内网网段列表:哪些网段给客户端访问,即在客户端上生成的路由。这个设置决定了客户可以访问内网哪个网段, 用户自己添加的路由不能
策略:
1、untrust—>local,定义外网客户端访问防火墙sslvpn,源地址any,目标地址是防火墙外网接口地址,协议使用
2、local---->trust,定义防火墙访问内网资源。源地址any,目标地址是内网的网段
3、trust-trust,只有网络扩展有,定义源网段为给外网客户端分配的网段,内目标网段为内网的可访问网段。其它any
理解:防火墙要有到客户端地址池的路由,下一跳地址可以是内网也可以是外面这个路由用来判断所属的区域不具有指定转发的意义;
目标地址解封装以后,原始报文就是客户端的ip,目标ip是内网的ip(所以目标区域为trust);源安全区域并不是外网接口地址,而通过路由表,看下一跳地址是哪个区域(一般设置为连接防火墙到内网设备接口ip,所以也用trust)
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
