1.网络拓扑
2.Cloud1
3.Cloud2
4.SSL 企业内外网环境部署
1.FW1
firewall zone trust
add interface GigabitEthernet1/0/0
firewall zone untrust
add interface GigabitEthernet1/0/1
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
5.server1
6.server1
7.SSL-v-Gateway虚拟网关
1.创建SSL VPN虚拟网关
v-gateway sslvpn interface GigabitEthernet 1/0/1 port 11443 private www.dsrw.cn
8.创建登录用户
#创建用户zhangsan
#编辑SSL VPN
#设置认证域
#开启网络扩展服务
(SSL VPN网段 不可以和内网的网段冲突,使用私有地址。)
3.could2查看地址
could2查看路由
创建拨号连接
调整防火墙安全策略
[FW1-GigabitEthernet1/0/1]service-manage enable (默认配置)
[FW1-GigabitEthernet1/0/1]service-manage ?
all ALL service
enable Service manage switch on/off
http HTTP service
https HTTPS service
ping Ping service
snmp SNMP service
ssh SSH service
telnet Telnet service
#需要放行SSL VPN,需要调整防火墙安全策略
undo service-manage enable
security-policy
rule name ssl
source-zone untrust
destination-zone local
destination-address 1.1.1.1 mask 255.255.255.255
action permit
#虚拟网卡-隧道接口
#查看IP地址信息
#查看路由表
底层隧道详细拆解
1.底层隧道解析
如果主机向10.1.1.0/24子网发送数据,相当于把数据送入到主机的隧道中
step01 先进入到VPN网卡
[src-ip 172.16.1.1 | des-ip 10.1.1.1][ping]
单层地址
step02 再进入到物理网卡(公有地址)
[src-ip 100.1.1.2(本机公有) | des-ip 1.1.1.1(SSL-VPN-GW)]【SSL-VPN [src-ip 172.16.1.1 | des-ip 10.1.1.1][HTTP]】
[src-ip 100.1.1.2(本机公有) | des-ip 1.1.1.1(SSL-VPN-GW)]【SSL-VPN [src-ip 172.16.1.1 | des-ip 10.1.1.1][ping]】
外层IP地址 里层地址 VPN网卡地址 - 数据
2.配置安全策略放行VPN客户端访问服务器
security-policy
rule name un_2_t
source-zone untrust
destination-zone trust
source-address 172.16.0.0 mask 255.255.0.0
destination-address 10.1.1.0 mask 255.255.255.0
action permit
#访问服务器
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容