#原创分享#SSL VPN的部署分析排错

>>【原创分享计划2】分享技术经验，赚上千元稿酬！

一、某公司

客户购买了AF、AC、SSLVPN三个设备

AF网关模式部署在出口，做相对应的防火策略

AC网桥模式部署在AF和交换机之间

SSL VPN旁路模式部署

但是客户要求AC能审计到SSL VPN过来的数据，如果SSL VPN部署在交换机中，那么SSL VPN过来的数据是加密的，AC是无法审计的，那么只能把SSL VPN旁挂到AF中了，这样VPN客户端过来的数据到到SSL VPN设备后会解密发往内网，这样AC看到的数据包是解密后的数据包，所以能正常审计到VPN客户端发过去的数据包

二、网络拓扑图

VLAN10   办公网段，VLAN30  服务器网段 ， VLAN100  管理网段

三、配置AF

①在网络中配置好LAN口的IP和VLAN ID

②在物理接口中配置好WAN口的IP，把接LAN口和SSL VPN设备的接口设置成透明模式，设置指定的VLAN ID，如果是多VLAN trunk口环境可以设置成trunk模式

③配置好应用控制策略和源NAT和目的NAT

AF的基本配置已经配好了，具体安全策略不做过多讲解

四、配置SSL VPN

①配好基本的网络配置资源用户等配置

②如果要审计精准到SSL VPN用户，那么需要配置使用虚拟IP做为源IP

使用虚拟IP做为源IP需要在内网写路由，保证虚拟的源IP能访问到内网业务，然后在用户中绑定指定的虚拟IP

资源分配和用户创建不做过多的说明，AC配置好网桥模式其他详细配置不做太多说明

四、问题排错

配置好后发现SSL VPN 无法访问到服务器，服务器网段和办公网段也无法访问SSL VPN设备

通过ping发现到网关和上公网都能正常， 那肯定是哪里拦截了

①通过在AC和AF设备开直通，直通后发现是AF的应用控制策略拦击了

②通过检查发现是二层接口设置了区域，应用控制策略没有放通区域-区域的应用控制策略

④解决办法有两个

方法一，去掉两个接口的二层区域

方法二，在应用控制策略添加一条 内网-内网区域的放通策略即可

五、验证审计SSL VPN数据包

配置好审计策略后，SSL VPN产生流量后可以在日志中心查看日志，这个时候可以发现目标IP是SSL VPN设备的IP

感谢楼主的分享！非常棒，关于AC、AF、SSL的组合部署理解得非常到位，很灵活~:爱你:有个小建议，关于虚拟IP在内网需要有路由的，在这块也是非常重要的，所以关于路由详细介绍一下，那就更棒啦~
最后排错的思路也非常清晰，赞！

审计VPN内的数据的需求之前也遇到过，感谢分享！

您好，感谢您参与社区原创分享计划2，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

感谢分享，谢谢

学习下！谢谢分享！

问题的关键，在于解密，理清思路，就好解决了！
感谢楼主的分享！

感谢分享

感谢分享

了解了VPN的部署方式了，虽然没用过，但是还是学习VPN的技术 和原理

感谢分享，学习了