本帖最后由 螺丝钉 于 2017-9-29 15:29 编辑
SSLVPN实现双外线自动选路功能
大家知道,中国的运营商相互之间有网络瓶颈,比如联通的用户要访问电信的IP就显得太慢。为了解决这一问题,不得不上双线路。 公司部署电信、联通双外线已经有一些日子了,之前已经实现了NGAF双链路策略路由的配置,这个可以参考我之前的帖子。
但是一直没有功夫配置测试一下SSLVPN的外线自动选路功能。今天特意抽时间配置了一下,把配置步骤分享给大家。
一、拓扑结构 我的网络拓扑结构是这个样子的:
外网出口部署有NGAF防火墙;电信外网地址为58.57.56.42;联通外网地址为27.28.29.42;内网SSLVPN是单臂部署模式,地址为10.4.224.79。
二、前置防火墙的配置 防火墙的基础配置在这里就不赘述了,启用SSLVPN的双线自动选路功能,需要在前置防火墙上做的特殊配置只有一个地方,那就是:电信联通两个出口的地址都需要做对内网SSLVPN设备的地址转换,而且要端口内外一致。这里的端口主要是SSLVPN的https和http两个端口。
SSLVPN设备的缺省端口为https=443,http=80。考虑到国内运营商很可能已经把80端口给封掉了,要想解封手续比较繁琐,我就把80端口改成了808,这个可以根据实际自行定义。
SSLVPN设备修改端口的配置页面在这里:
下面是防火墙配置地址和端口映射的配置界面:
三、VPN设备的双线路配置 导航至系统设置—网络配置—多线路,选择启用sslvpn多线路,新增电信、联通两条前置线路。就是刚才防火墙上映射的两个外网地址和端口号。
完成之后是这样的:
两条线路的优先级一般选择一样的,否则会优先选择优先级相对较高的线路。 至此,SSLVPN的双外线自动选路功能就实现完毕。
四、用户登录新地址 自动选路功能启用后,VPN用户可以使用已定义好的两个外网IP中的任何一个IP地址来登录。例如本案中是http://58.57.56.42:808或http://27.28.29.42:808,也可以把类似http://vpn.yourcompany.com解析到其中一个IP实现域名访问。
这里一定要注意是http,而不是之前的https!而且如果前面http端口改成了非80端口的话,一点要注意加端口号!否则就不会自动选路了!切记切记!
五、效果测试 配置完毕后,需要测试一下自动选路是否成功,也想了解一下功能效果。我就让一个出差在外用联通宽带的用户配合测试了一下。我让他用https的老地址访问了一下,并做ping测试,如下图所示:
然后让他用http://IP:808登录做同样测试,如下图:
从以上两个图的可以看出,虽然ping延迟没有明显提高,但是总体上来讲还是有所改善的。还算是生效了。当然具体效果还与用户当地网络质量有一定的关系。
好了,这次应用分享完毕,有不对的地方,请大家批评指正!谢谢。
| 
发表于 2017-9-29 13:42
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
