本帖最后由 木二 于 2022-3-26 14:24 编辑
一 SASE-VPN概述 1.1 SASE-VPN简介 Sangfor Private Access (SPA) 基于SASE架构的新一代VPN:SASE-SPA。
采用以用户和应用程序为中心的方法来访问私有应用程序。 作为一项完全云交付的服务,SPA 通过在单个设备和应用程序之间创建安全隧道,确保只有授权用户才能访问 特定的私有应用程序。 SPA 不依赖于物理或虚拟设备,而是使用轻量级软件将应用程序和用户连接到 SASE 云平台。
二 SASE-VPN部署 2.1 前置准备 本指南基于软件BYOD引流器进行引流,通过SPA实现位于UCloud公有云上海区域的私有应用的访问,主要前置准备如下: 组件 | IP | 作用 | 系统 | 配置 | 连接器 | 172.16.10.240 | SPA连接器 | CentOS 8.5 64位 | 2C4G | Web应用服务器 | 172.16.10.101 | Web网站 | CentOS 8.5 64位 | 2C4G |
2.1.1 Web应用部署
2.2 SASE-VPN部署流程 SASE-VPN部署流程主要有以下四个步骤: 1. 登录SASE控制台 2. 创建/部署连接器 3. 配置内网应用 4. 配置内网访问策略
2.3 登录云图 提示:需要提前注册云图账号,并申请开通云安全访问服务。 2.4 连接器
2.4.1 新增连接器 使用SPA租户登录租户平台,进入导航---->策略配置---->连接器。
创建连接器。
输入连接器名称,如:xhycon
提示:连接器操作中,对于删除连接器,必须保证该连接器没有任何关联的应用。 即必须先删除内网应用,才可删除连接器。
2.4.2 部署连接器
1. 下载连接器 使用SPA租户登录租户平台,进入导航---->策略配置---->连接器,选择所需的连接器,下载连接器。
2. 准备系统环境 准备相应的Linux环境,当前SPA支持CentOS 7.9及以上,Ubuntu 5.2.1及以上。 本指南依据前置准备所述创建相应资源。
3. 上传部署包 将连接器部署包上传至连接器服务器。
4. 正式安装连接器 解压tar包后正式安装。 - [root@sase-spa ~]# tar -xf connector-xhycon.tar
- [root@sase-spa ~]# ll
- total 30M
- -rw-r--r-- 1 root root 30M Mar 10 16:39 connector-xhycon.tar
- drwxr-xr-x 4 root root 139 Dec 16 17:54 target
- [root@sase-spa ~]# cd target/
- [root@sase-spa target]# ls
- conf connector connector.service install.sh mdbg README.md update.sh upgrade
- [root@sase-spa target]# ./install.sh #执行安装脚本
复制代码
5. 关闭防火墙及SELinux 连接器需要和POP节点互通,需要防火墙放通connector.service服务。 本指南直接关闭防火墙和SELinux。- [root@sase-spa ~]# systemctl disable firewalld.service --now #关闭防火墙
- [root@sase-spa ~]# setenforce 0 #临时将SELinux设置为宽容模式
- [root@sase-spa ~]# sed -i 's/=enforcing/=disabled/g' /etc/selinux/config #永久关闭SELinux
复制代码
6. 启动连接器 启动连接器,并确认服务状态。 - [root@sase-spa ~]# systemctl enable connector --now
- [root@sase-spa ~]# systemctl status connector.service
- ● connector.service
- Loaded: loaded (/etc/systemd/system/connector.service; enabled; vendor preset: disabled)
- Active: active (running) since Thu 2022-03-10 17:09:24 CST; 4min 23s ago
- Main PID: 26620 (connector)
- Tasks: 8 (limit: 24074)
- Memory: 25.0M
- CGroup: /system.slice/connector.service
- └─26620 /opt/sangfor/spa-connector/connector/connector
- Mar 10 17:09:24 sase-spa systemd[1]: connector.service: Succeeded.
- Mar 10 17:09:24 sase-spa systemd[1]: Stopped connector.service.
- Mar 10 17:09:24 sase-spa systemd[1]: Starting connector.service...
- Mar 10 17:09:24 sase-spa systemd[1]: Started connector.service.
复制代码
2.5 内网应用
2.5.1 新增内网应用组 使用SPA租户登录租户平台,进入导航---->策略配置---->内网应用,可选创建应用分组。
输入应用分组名称,如测试应用。
2.5.2 新增内网应用 新增内网应用,输入相关应用名称、分组等。 协议:支持http、https、tcp、udp协议。 http协议默认端口80、https默认端口为443。 选择tcp和udp协议支持自定义端口号。 本指南创建如下应用: 名称:测试应用 分组:测试应用组 协议:HTTP 应用地址:172.16.10.101 连接器:xhycon
提示:支持配置iP、ip端 或域名,如选择协议为tcp及udp协议,则不支持配置域名。 对于TCP/UDP的协议,支持设定端口,一行输入一个,最多可支持128行,支持设定端口范围为1-65535。
2.6 用户管理 2.6.1 创建用户/组 配置策略需要关联至对应用户/组,本指南提前创建用于测试的允许访问用户和禁止访问用户。 分别创建允许访问用户组和禁止访问用户组。
分别创建允许访问用户user01和禁止访问用户user02,分别归属对应的用户组。
2.7 配置策略 使用SPA租户登录租户平台,进入导航---->策略配置---->内网访问---->内网访问策略界面,新增策略。
本指南创建如下对应用户组的相关策略,同时后续在访客组中新增的用户及分组都会自动继承该访问策略。
2.7.1 允许访问策略 策略名称:允许访问策略 描述信息:允许访问Web应用 启/禁用:选择启用 动作:允许 适应用户:user01(允许访问用户)、允许访问用户组-后续新增子组/用户 选择应用:测试应用
2.7.2 禁止访问策略 策略名称:禁止访问策略 描述信息:禁止访问Web应用启/禁用:选择启用 动作:拒绝 适应用户:user02(禁止访问用户)、禁止访问用户组-后续新增子组/用户 选择应用:测试应用
提示:支持选个单个应用、多个应用、应用组。 内网访问策略中存在一条默认策略,默认禁止所有用户访问。 内网访问策略同时设置多条访问策略时,优先执行的访问策略优先级高(自上往下)的访问策略。 可以通过拖拽操作列项来修改访问策略优先级。 默认访问策略的优先级无法进行修改。
三 SASE-VPN验证
3.1 下载BYOD引流器 本指南采用软件BYOD引流插件实现引流,在未引流使用sase-spa之前,无法直接访问内网应用。
使用SPA租户登录租户平台,进入导航---->策略配置---->通用---->下载中心界面,下载对应版本的引流器软 件。
3.2 安装BYOD引流器 直接保持默认配置进行安装。
3.3 测试内网Web应用
3.3.1 测试正常访问策略 使用user01登录,测试是否能直接访问内网应用。 内网Web应用: http://172.16.10.101
访问 http://127.0.0.1:30001 ,确认BYOD引流插件已接入。
直接访问内网Web应用:http://172.16.10.101,确认正常访问。
3.3.2 测试禁止访问策略 使用SPA租户登录租户平台,进入导航---->接入管理---->客户端配置,高级设置中开启终端防注销和临时注销密码保护。
使用设置的注销密码注销user01,然后采用使用user02登录,测试是否能直接访问内网应用。 内网Web应用: http://172.16.10.101
再次访问内网Web应用:http://172.16.10.101,确认无法访问。
|