在中小型企业中如何部署SSL VPN.doc

在中小型企业中如何部署SSL VPN 随着移动通讯技术的进步和商务模式的发展,选择远程办公或移动办公的用户越来越多,传统的IPSEC VPN技术由于需要硬件及VPN客户端的程序,在一定程度上影响了远程用户对VPN的应。SSL VPN技术正好有效大大增加了员工办公的灵活性和效率NETGEAR SSL VPN?是一个创新的基于硬件的?SSL VPN?解决方案，为用户提供一个高性价比、安全和易于部署的无客户端远程访问解决方案。 NETGEAR SSL VPN 为了更简洁有效地说明SSL VPN在企业网络中的部署和应用，下面我们介绍在中小企业的三层交换网络中部署SSL VPN的配置实例加以说明： 网络结构： FVX538 IP配置： WAN IP ：30/48 LAN IP：/ DMZ IP：/ DMZ区 Email Server IP：00/ DMZ区 FTP Server IP：00/ SSL 312 IP配置： E1 IP：50/ E2 IP：/ 专用网络区FTP Server：00/ FSM7352S配置： VLAN 1 IP：54/ VLAN 2 IP：54/ VLAN 3 IP：54/ VLAN之间能互相通信。 网络结构示意图如下所示： 测试目标： 远程用户通过SSL VPN连接到SSL 312并通过认证后，能访问FSM7352S中的所有VLAN 网段、SSL 312 E2所接的专用网络中的FTP服务器和DMZ服务区的Email服务器和FTP服务器。能访问局域网内的B/S架构及C/S架构的应用软件或办公系统。 二、实施步骤： 注：FVX538及FSM7352S的配置信息略，若要详细了解其配置可参考FVX538及FSM7352S的配置文档。 1．配置SSL 312网络信息 点击System ConfigurationNetwork管理菜单，进入Network设置页面，选中Interfaces选项，即可以进行设置： 2．添加默认路由 点击System ConfigurationNetwork管理菜单，在Network设置页面，选中Static Routes选项，即可以进行设置： 3．设置VPN 隧道客户端 SSL 312 Version1.4.20开始支持Full Tunnel 模式和Split Tunnel模式，由于本例局域网中含有多个VLAN、DMZ区以及专用网络，为了能正常访问局域网内的其它网段、DMZ区以及专用网络，我们可以通过启用Full Tunnel 模式或通过在Split Tunnel模式下，添加其它网段、DMZ区以及专用网络的路由，否则SSL 312的远程用户将不能访问局域网内的其它网段。 在设置VPN隧道客户端时需注意以下几点： 1．为了能有效地访问局域网内的资源，必须把VPN客户端的IP地址设置成与所在局域网的网段相同； 2．分配给远程用户的VPN客户端的IP地址至少26个以上，而且不能与局域网内的计算机IP地址冲突，否则连接到SSL 312的远程用户将不能访问局域网的资源； 3．启用Full Tunnel 模式后，远程用户通过授权和认证，即能访问局域网的所有Vlan网段（除非在交换机上设置了ACL）及DMZ区的所有资源，若管理员希望远程用户只能访问局域网的部分网段或资源，可选Split Tunnel模式（即取消Enable Full Tunnel Support即可），并在“Add Routes for VPN Tunnel Clients”设置页面中添加所允许的网段的路由即可。 1）启用Full Tunnel 模式 在VPN Tunnel Client设置页面中选中Enable Full Tunnel Support选项，并点击Apply应用即可。 注：启用该模式后，你的VPN 客户端将暂时不能上Internet，直到SSL VPN断开为止。 2）启用Split Tunnel模式并添加路由 若管理员希望远程用户只能访问局域网的部分网段或资源，可选Split Tunnel模式（即取消Enable Full Tunnel Support即可），并在“Add Routes for VPN Tunnel Clients”设置页面中添加所允许的网段的路由即可。 在VPN Tunnel Client设置页面中取消Enable Full Tunnel Support选项，并点击Apply应用即可。如下图所示： 在“Add Routes for VPN Tunnel Clients”设置页面中添加专用网络、DMZ区及FSM7352S上的VLAN网段。如下面的图所示： 4．创建新的门户Portal Layout 点击SSL VPN PortalPortal Layouts设置页面的Add Layout按钮，输入