一、SSL+IPSEC功能组合组网解决方案场景介绍
IPSEC+SSL组合功能使用,指的是在有SSL的场景,SSL设备本身跟其他的地方连接了IPSEC隧道,然后需要通过SSL功能发布资源提供移动用户提供SSL接入后访问到IPSEC对端的资源。
场景举例: XX集团,在总部宁波部署了一台SSL设备,提供集团用户通过SSL VPN接入访问总部的资源。同时,该客户在异地有一个数据中心,数据中心已经部署了一台WOC设备跟宁波实现了IPSEC隧道互通。在此的基础上,需要北京宁波的SSL设备,把数据中心的资源也发布出去,实现移动用户通过接入SSL就可以访问到数据中心的资源系统。 二、方案实现配置指导
方案实现前提条件:SSL设备跟对端已经存在IPSEC VPN隧道,这个隧道包括sangfor VPN隧道和标准IPSEC隧道。 2.1 SSL发布sangfor VPN对端资源场景 如上要求SSL移动用户可以SSL VPN接入后可以访问到异地的IPSEC隧道的资源系统 配置实现: (2)发布资源后在角色管理里面把资源授权给对应的用户 (3)考虑异地IPSEC对端的回包问题 首先解释一下SSL的资源访问模式: SSL资源访问模式有使用设备IP地址作为源地址访问和使用虚拟IP作为源地址去访问两种,再结合我们的方案访问IPSEC对端的资源。如果资源访问模式是以设备IP作为源地址的,那VPN访问到IPSEC对端就是以VPNTUN虚拟IP去访问的,该地址在如下的位置: 下来分别按照这两种场景进行回包配置说明 情况1 :资源访问模式:使用设备IP地址作为源地址访问 VPN访问到IPSEC对端就是以VPNTUN虚拟IP去访问的,在这个场景下,那异地的VPN设备需要对这个VPNTUN的IP进行回包路由,把去往这个地址的数据引流到IPSEC 对端的某公司设备,这样才可以正常访问。 情况2:资源访问模式:使用虚拟IP地址作为源地址访问 这种访问模式下,访问到IPSEC对端的IP就直接是虚拟IP池网段的IP了,这个场景下如果要保障正常回包,需要做如下配置: (1)把虚拟IP池网段加入SSL 设备的本地子网,宣告对端路由给对端 (2)如果IPSEC对端是单臂的,需要写虚拟IP池网段的回包路由 (3)如果对端不方便写回包路由,可以在SSL后台写iptables规则,把虚拟IP池网段的IP先做个SNAT转换为设备LAN口地址过去访问。 2.2 SSL发布标准IPSEC对端资源 如上要求SSL移动用户可以SSL VPN接入后可以访问到异地的IPSEC隧道对端的资源系统。 配置如下: (1)SSL资源发布配置跟2.1sangfor VPN场景一样配置即可,此处无差异 (2)下面依然分别按照这两种不同的资源访问模式进行配置 情况1 :资源访问模式:使用设备IP地址作为源地址访问 VPN访问到IPSEC对端就是以VPNTUN虚拟IP去访问的,在这个场景下,那异地的VPN设备需要对这个VPNTUN的IP进行回包路由,把去往这个地址的数据引流 到IPSEC 对端的某公司设备,这样才可以正常访问。那如果是标准IPSEC,VPNTUN IP要有权限访问到对端,就必须把VPNTUN IP加入到第三方对接的出站策略,同理,对端也要加对应的入站策略,同时,对端要做VPNTUN口的回包路由到他们的VPN设备上来。 情况2 :资源访问模式:使用虚拟IP地址作为源地址访问 这种访问模式下,访问到IPSEC对端的IP就直接是虚拟IP池网段的IP了,这个场景下如果要保障正常回包,需要做如下配置: (1)把虚拟IP池加入SSL出站策略网段 (2)对端第三方设备添加入站策略,把虚拟IP吃网段添加进入站网段 (3)如果第三方设备无法做配置,那就在SSL设备上添加虚拟IP池网段的出站策略,同时SSL后台写iptables规则,把虚拟IP池网段的地址SNAT转换为某个原来的出站地址(最好是LAN口IP)过去访问. |