一、应用场景
SSL VPN多用于移动端与公司、机构通信,远程办公、远程管理等。
二、部署模式
1】旁路模式(逻辑串接)
2】在线转发(物理串接)
部署模式分为两种,旁路模式居多。
三、通信分析
以下拓扑为例,1.1.1.1和1.1.1.2模拟公网地址,实现1.1.1.2通过访问1.1.1.1登录SSL VPN,访问内网资源192.168.1.2。
如何实现?在出口防火墙上做目的NAT,将SSL VPN的通信端口通过1.1.1.1映射到公网,一般有UDP 1701以及认证端口(各个厂商不一样)。
SSL VPN登录成功后,移动端会生成一个虚拟网卡,网卡的地址由SSL VPN分配,本例子中分类的虚拟地址为2.0.1.2。获取到虚拟网卡后,移动访问资源的请求报文中有两层IP,经过SSL VPN会解封装,将外层IP剥离,具体过程如下:
值得注意的是,VPN设备剥离外层IP后,源IP为虚拟网卡的地址,这次资源侧需要有到虚拟网卡地址的路由,实际场景中,没有路由情况居多,一般选择在VPN设备内网接口侧做出接口源NAT,将虚拟网卡的地址转化为VPN设备的接口地址去请求资源。