实验背景
某单位在内网新部署一台SSLVPN 网关且采用单臂模式,实现外网便捷安全接入访问内部 Web 服务或应用,满足在电脑、智能手机等移动终端上访问具体 B/S 模式的办公应用。另外用户身份识别是安全接入的必要条件,在SSLVPN 网关上创建、维护用户接入的账户密码,实现用户账户管理。
实验拓扑
实验目的
实现企业内网 VPC 可以访问上公网
新增 SSL VPN 网关,掌握 ssl vpn 的配置方法
结合理论进一步理解外网用户通过sslvpn访问 web 资源的通信过程
实验步骤
VPC
指定 VPC 主机 ip 为 192.168.10.1,网关为 192.168.10.254
VPC>ip 192.168.10.1 255.255.255.0 192.168.10.254
VPC>ip dns 114.114.114.114 指定 dns 服务器
L2-Switch
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface e0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface e0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
L3-Switch
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface g0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
启动路由功能
Switch(config)#ip routing
Switch(config)#interface van10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#interface g0/1
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252
Switch(config-if)#exit
Switch(config)#interface g0/2
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.2.2.1 255.255.255.252
Switch(config-if)#exit
Switch(config)#interface g0/3
Switch(config-if)#no switchport 改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
Switch(config-if)#exit
Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 配置上网的缺省路由,下一跳为边界路由器接口 g0/1
服务器区
用路由器模拟一台开放 TCP 80 端口的 OA 服务器
Router(config)#interface g0/0
Router(config-if)#ip add 192.168.2.88 255.255.255.0
Router(config-if)#no shutdown
Router(config)#no ip routing 关闭路由功能,模拟一台服务器主机
Router(config)#ip default-gateway 192.168.2.1给主机配置默认网关指向核心交换机 g0/3
Router(config)#ip name-server 114.114.114.114 给主机配置 dns 服务器
Router(config)#ip http server 开启80端囗
Router(config)#username cisco privilege 15 password cisco 创建员工登陆 OA 服务器账号本地认证 OA
Router(config)#ip http authentication Local
公网边界
Router(config)#int g0/0
Router(config-if)#ip address dhcp
记住DHCP分配的地址
Router(config-if)#ip nat outside
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface g0/1
Router(config-if)#ip address 10.1.1.2 255.255.255.252
Router(config-if)#ip nat inside
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#ip nat inside source static tcp 10.2.2.2 443 192.168.32.155 443
边界接口地址临时映射,为了可以在物理主机上,通过 HTTPS 管理 SSL 网关。
Router(config)#ip route 10.2.2.0 255.255.255.0 10.1.1.1 回程
Router(config)#ip route 192.168.2.0255.255.255.0 10.1.1.1 回程
Router(config)#ip route 192.168.10.0 255.255.255.0 10.1.1.1 回程
配置SSL网关,实现公网用户可以通过 SSL VPN 访问内网 OA 办公系统应用
1.完成基本配置,实现通过 https 管理 ssl 网关
[H3C] interface gigabitethernet 1/0
[H3C-GigabitEthernet1/0]un shut
[H3C -Gigabitethernet1/0]ip address 10.2.2.2 255.255.255.252
[H3C -Gigabitethernet1/0] quit
[H3C]security-zone name Trust 创建安全区域
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0 绑定接
[H3C-security-zone-Trust]quit
[H3Clacl advanced 3000
[H3C-acl-ipv4-adv-3000]rule permit ip source any destination any
[H3C-acl-ipv4-adv-3000]quit
允许从trust区域到LOCAL区域流量
[H3C]zone-pair security source trust destination loca!
[H3C-zone-pair-security-Trust-Local]packet-filter 3000
[H3C-zone-pair-security-Trust-Local]quit
web管理的用户名为admin
[H3Cl local-user admin
[H3C-luser-manage-admin]service-type https
[H3C -luser-manage-admin] authorization-attribute user-role network-admin
[H3C -luser-manage-admin] password simple admin 认证密码为admin
[H3C-luser-manage-admin] quit
开启HTTPS 管理服务
[H3C] ip https enable
[H3C]ip route-static 0.0.0.00.0.0.0 10.2.2.1 配置默认路由,指向核心交换机,保证 ssl 网关与 OA服务器及公网互通
2.物理主机上,访问映射后的公网IP(HTTPS://192.168.142.138),管理 SSL网关
经过以上配置,且由于边界路由器已经给SSL网关做了静态映射,故可以在物理主机上,访问映射后的公网IP(HTTPS://192.168.32.155),管理 SSL网关,如下:
为使用SSLVPN 的移动用户创建用户名和密码
创建一个 sslvpn 网关并激活相应的配置
创建一个 sslvpn 访问实例、授权访问的web资源、资源组等
创建访问实例
业务选择 Web
新建URL表项
新建URL列表
新建资源组
开启缺省
启用访问实例
因为使用防火墙作为 SSL VPN 网关,所以需要配置安全策略,允许相应的访问
注意,需要在边界路由器上,把 SSL 网关提供的 SSLVPN 服务静态映射出去
Router(config)#ip nat inside source static tcp 10.2.2.2 4430 192.168.32.155 4430
实验结果
在物理主机上,模拟公网用户登陆 SSL VPN
https://192.168.142.138:4430且访问 OA服务器
登录