本帖最后由 Sangfor_闪电回_小云 于 2015-12-3 11:51 编辑
SSL VPN用户拨入VPN后通过SSL VPN访问部分网址以及 IPSEC VPN分支通过总部访问部分网址案例
用户需求场景: 用户在XXX云平台租用了服务器,出于安全考虑,做了IP访问限制,只允许总部的固定公网IP地址访问,其余IP地址不允许访问。客户想达到效果:SSL VPN用户拨入VPN能访问XXX云服务,分支机构连通ipsecVPN之后通过总部访问XXX云平台服务器。
网络环境: SSL VPN网关部署,分支公司IPSECVPN网关部署、移动用户SSL VPN拨入访问。
配置步骤:
移动用户拨入访问
配置方式:
第一步:新建用户 SSL VPN设置---》用户管理---》新增用户
第二步:配置资源 SSL VPN配置---》资源配置----》新增L3VPN资源,将需要从SSL VPN出去的公网域名/IP地址填入 如果是以域名方式访问,需要配置【内网域名解析】 系统设置---》SSL VPN选项---》内网域名解析,确保此处添加的DNS能解析资源里面的域名。
第三步:新建角色 SSL VPN设置----》角色授权---》新增,新增一个角色将需要通过SSL VPN访问的用户和对应的资源关联起来;
第四步:检查资源服务选项 这里有二个种资源访问方式,选择不同配置将有所不同。 如果选择第一种方式:使用设备的IP地址作为源地址;就无需配置其他地方只要确保SSL VPN本身能上网即可。
如果选择第二种方式:使用分配的虚拟IP地址作为源地址;还需要配置虚拟IP的NAT(代理上网),确保用户获取虚拟地址后从SSL VPN端上网的时候设备能做数据转发,否则虚拟IP无法出公网导致用户访问失败。
NAT配置(如果设备单臂部署就需要在出口防火墙上面配置): 至此配置完成。
分支IPSEC VPN用户访问:
配置方式:
第一步:总部分支IPsecVPN正常配置连通,具体IPSEC VPN连通配置此处不再累赘;
第二步:指定数据走向
在分支设备上新增隧道间路由,将去往XXX云平台的地址段走VPN用户隧道;
然后在总部设备配置代理分支上网的策略(NAT)。 至此配置完成,分支即可通过总部访问XXX云平台资源。
| 
发表于 2015-11-3 16:14
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级 
