使用默认地址登录VPN控制台后,在系统配置-网络配置-部署模式里将设备配置成单臂模式,配置LAN 口IP地址、子网掩码、 网关、DNS等信息。
因为需要把LAN口地址的80和443端口映射到出口两条公网IP,前置防火墙如果不支持将两个IP地址的相同端口映射给同一目的IP,可以在LAN口配置多个IP地址来实现。
多线路选路中关于链路优先级的说明:
(1)一般情况下设置同等优先级即可。两条线路选择相同的优先级会直接对比从两条线路下载图片的 耗时,选择耗时小的线路接入SSL VPN。
(2) 如果线路1设置为高,线路2设置为中。那么多线路选路的时候会自动从两条线路下载图片。优先 级高的线路3秒内完成下载,不管优先级中的线路下载比优先级高的线路快还是慢,都选择优先 级高的线路。3秒内未完成下载,则对比两条线路,哪条更快则选择哪条线路。
(3) 高优先级和中优先级之间是3秒,中和低之间是2秒,高和低之间是5秒。
4.3 确认端口
在系统设置-系统配置-控制台配置:
确认HTTPS端口和HTTP端口以正常开启。要使用SSLVPN自动选路功能,必须开启HTTP端口
4.4 出口设备映射
VPN部署在内网,而且配置的是私网地址,需满足外出员工在外网进行接入,则需要在出口设备将VPN的内网地址映射出去,需要将内网地址的80端口和443端口分别映射到出口两条不同的电信地址和联通地址。如果对应的内网HTTP和HTTPS端口有更改,需要修改成对应的SSL端口做映射。
4.5 SSL VPN配置
4.5.1 创建用户
在【SSL VPN设置】-【用户管理】点击新建用户,在基本属性里填写用户名和密码:
4.5.2 新建资源
(1)在【SSL VPN设置】-【资源管理】新建WEB资源/TCP资源/L3VPN资源/远程应用资源,配置对应的协议类型、地址和端口,这里选择新建l3vpn资源:
4.5.3创建角色
在SSL控制台【SSL VPN设置】-【角色授权】-新建角色:
4.5.4 关联用户和资源
(1)用户的作用是做用户认证,确认可以登录设备帐号。
(2)资源是确认可以外网访问的服务器或者是应用。
(3)角色是把用户和资源绑定,确认用户接入之后访问资源的情况。
4.5 外网接入测试
以上步骤完成之后,即可从外网进行测试,浏览器输入访问电信地址和对应的端口或访问联通地址和对应的端口即可实现自动选择最快的链路接入SSL VPN。
第5章价值呈现
某公司SSL VPN方案支持组织的业务全面接入,如三层VPN、Web应用、移动App接入、互联网应用接入,满足组织不同的远程移动接入需求。
采用某公司 SSL VPN对内部应用平台的统一发布,全面的保障了应用的安全性。结合SSL VPN身份认证安全机制、终端安全控制机制、高强度加密机制、细粒度授权机制,保证应用仅可由指定用户、使用指定安全级别的终端、访问到指定应用的强控制。SSL VPN支撑了整个应用平台安全的延伸到各个分支、各个移动用户,组建灵活的应用发布网络。
整个业务发布平台的整体稳定性都基于SSL VPN的稳定性,某公司 SSL VPN从高稳定硬件平台、多线路技术、集群技术等多个方面保证支撑平台的高稳定性,免去了IT管理人员的后顾之忧。
第6章项目总结
快速访问提升工作效率
在面对高丢包高延时、跨运营商访问、无线访问等恶劣网络环境情况下,结合某公司 SSL VPN多重加速技术,可大幅提升用户的访问速度。SSL VPN访问速度的提升,内部应用访问速度的加快,直接提升了用户的工作效率。无须再为网络的磕磕绊绊、移动办公的缓慢速度困扰网络办公的进度,在越短的时间内能处理越多的事情,为组织创造更多的价值。
便捷的用户使用体验,降低管理工作量
SSL VPN的建立仅依托于浏览器中内置的SSL协议,无须在终端主机上安装任何客户端软件,十分适合移动用户的使用。接入方式非常贴合用户登录网银、电子邮箱等日常网络行为,对于用户而言易用性高、上手快。同时结合某公司 SSL VPN提供的系统托盘、默认服务页面等多种易用性功能,进一步提高用户的使用体验。
同时,无须安装终端软件、贴合日常使用的访问方式,将大大降低管理员对整套VPN系统的管理和维护工作量,也更易于整套远程办公平台的推广。