第9章 SSL

1.网络拓扑

图片[1]-第9章 SSL-大赛人网

2.Cloud1

图片[2]-第9章 SSL-大赛人网

3.Cloud2

图片[3]-第9章 SSL-大赛人网

 4.SSL 企业内外网环境部署

1.FW1
firewall zone trust
  add interface GigabitEthernet1/0/0

firewall zone untrust
  add interface GigabitEthernet1/0/1

ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

5.server1

图片[4]-第9章 SSL-大赛人网

6.server1

图片[5]-第9章 SSL-大赛人网

7.SSL-v-Gateway虚拟网关

1.创建SSL VPN虚拟网关
v-gateway sslvpn interface GigabitEthernet 1/0/1 port 11443 private www.dsrw.cn

8.创建登录用户

图片[6]-第9章 SSL-大赛人网

#创建用户zhangsan

图片[7]-第9章 SSL-大赛人网

#编辑SSL VPN

图片[8]-第9章 SSL-大赛人网

#设置认证域

图片[9]-第9章 SSL-大赛人网

#开启网络扩展服务

图片[10]-第9章 SSL-大赛人网

(SSL VPN网段 不可以和内网的网段冲突,使用私有地址。)

3.could2查看地址

图片[11]-第9章 SSL-大赛人网

could2查看路由

图片[12]-第9章 SSL-大赛人网

创建拨号连接

图片[13]-第9章 SSL-大赛人网
图片[14]-第9章 SSL-大赛人网

调整防火墙安全策略

[FW1-GigabitEthernet1/0/1]service-manage enable (默认配置)
[FW1-GigabitEthernet1/0/1]service-manage ?
  all     ALL  service 
  enable  Service manage switch on/off 
  http    HTTP service 
  https   HTTPS service 
  ping    Ping service 
  snmp    SNMP service 
  ssh     SSH service 
  telnet  Telnet service 

#需要放行SSL VPN,需要调整防火墙安全策略
undo service-manage  enable 

security-policy
 rule name ssl
  source-zone untrust
  destination-zone local
  destination-address 1.1.1.1 mask 255.255.255.255
  action permit
图片[15]-第9章 SSL-大赛人网
图片[16]-第9章 SSL-大赛人网
图片[17]-第9章 SSL-大赛人网

#虚拟网卡-隧道接口

图片[18]-第9章 SSL-大赛人网

#查看IP地址信息

图片[19]-第9章 SSL-大赛人网

#查看路由表

图片[20]-第9章 SSL-大赛人网

底层隧道详细拆解

1.底层隧道解析
如果主机向10.1.1.0/24子网发送数据,相当于把数据送入到主机的隧道中
step01 先进入到VPN网卡
[src-ip 172.16.1.1 | des-ip 10.1.1.1][ping]
   单层地址
step02 再进入到物理网卡(公有地址)
[src-ip 100.1.1.2(本机公有) | des-ip 1.1.1.1(SSL-VPN-GW)]【SSL-VPN [src-ip 172.16.1.1 | des-ip 10.1.1.1][HTTP]】
[src-ip 100.1.1.2(本机公有) | des-ip 1.1.1.1(SSL-VPN-GW)]【SSL-VPN [src-ip 172.16.1.1 | des-ip 10.1.1.1][ping]】
外层IP地址		 里层地址  VPN网卡地址	     -  数据

2.配置安全策略放行VPN客户端访问服务器
security-policy
 rule name un_2_t
  source-zone untrust
  destination-zone trust
  source-address 172.16.0.0 mask 255.255.0.0
  destination-address 10.1.1.0 mask 255.255.255.0
  action permit
图片[21]-第9章 SSL-大赛人网

#访问服务器

图片[22]-第9章 SSL-大赛人网
图片[23]-第9章 SSL-大赛人网
© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

    请登录后查看评论内容