网神SSL VPN几种典型的应用场景.pptVIP

Site2Site 配置 — 实验（一） 配置步骤 4. 客户使用： 完成上面 3 步，可以说 Site2Site 就配置好了。但是 为了让用用户能够正确使用 Site2Site 提供的功能， 还需下面两步： a. 保证 /16 这个 LAN 中的机器有到 的路由，网关地址设置为 ； b. 保证 /16 这个 LAN 中的机器有到 的路由，网关地址设置为 。 Site2Site 配置 — 实验（一） 配置步骤 5. 终端客户使用 Site2Site ： /16 网段的机器可以去 ping /16 网 段的任意一台设备，可以 ping 通； /16 网段的机器可以 ping /16 网段 的任意一台设备，可以 ping 通。 注意：终端客户使用时，不需要再登录 SSL VPN 客户端，只需要添加步骤 4 中 要求的路由即可。这里客户端和服务器只是连接上的区别， Site2Site 连接 一旦建立，对于 客户端和服务器来说就是对等的 ，可以允许通过的 IP 数据 包取决于 S2S 连接中用户授权的 NC 服务，但是没有传递方向之分。这里之 所以能够 ping ，是因为 NC 服务配置的是支持 any 协议的全网服务。 Site2Site 配置 — 实验（二） /16-/16 Client Server /16-/16 SSL VPN 1 SSL VPN 2 实验网络拓扑介绍 /16 和 /16 两个局域网物理上隔绝， 需要通过 SSL VPN 的端到端功能相连。 SSL VPN1 作为 Client ， SSL VPN2 作为 Server 。 假设条件：在 server 上用户和角色已经配置好。现需要把 /16 网段的地址转换成 /16 网段的，需要把 /16 网段的地 址转换成 /16 网段的。 Site2Site 配置 — 实验（二） 实验目的：将两个网段连接起来，使用地址映射功能。 说明：地址隐射功能的初衷是为了解决两个 LAN 网络地址冲突的问题。但是两 个 LAN 地址不冲突的情况下，也可以使用。 配置步骤 1. 配置 Server ： （和配置 NC 相同） a. 配置 IP POOL ； b. 配置 NC 设置，配置地址 映射，如右图所示；因 为配置了地址映射，这 里的路由变成了 /16 Site2Site 配置 — 实验（二） 配置步骤 3. 配置 Client: a. 配置远程地址，端口等， 和实验一相同； b. 配置地址隐射，如右图所 示； c. 配置路由，这里为映射后的 路由： /16 Site2Site 配置 — 实验（二） 配置步骤 4. 客户使用 : 完成以上三步， Site2Site 连接就配置好了。但是 为了让用用户能够正确使用 Site2Site 提供的功能， 还需下面两步： a. 保证 /16 这个 LAN 中的机器有到 的路由，网关地址设置为 ； b. 保证 /16 这个 LAN 中的机器有到 的路由，网关地址设置为 。 配置步骤 Site2Site 配置 — 实验（二） 5. 终端客户使用 Site2Site ： /16 网段的机器如果想连接 的设备，比 如 ping 操作，需要 ping 地址 ，可以 ping 通 （用户不知道 /16 网段的存在，管理员需要告诉 网段的用户，对端网段是 /16 ）； /16 网段的机器如果想连接 的设备，比 如 ping 操作，需要 ping 地址 ，可以 ping 通。 （管理员只告诉用户对端网络是 /16, 用户不 知道 网段的存在） 警告：这种地址映射方式只是给管理员提供一种解决冲突的手段，但是不是万能。 在 这种模式下， 任何穿越防火墙有问题的应用在这里也不支持 ，比如 FTP 。 议程 NC 原理和配置 Site2Site 原理和配置 AP 的原理和配置 AA 的原理和配置 虚拟服务应用 AP 的原理 AP 的同步机制： 设备配置信息分为 需同步信息 和 不同步信息 两 类。设备网络地址等与设备自身相关的信息不 会被同步； 首先启动 AP 的设备为主机； 后启动 AP 的备机第一次会向主机做一次初始同 步，保证需同步信息的一致； 设备初始同步以后，改变主机或从机的配置都 会立即同步到对端。（配置同步没有主从机之 分） 不同步信息 ? 静态数据指的是系统运行需要的配置参数，以下列出了不会被同步的配 置参数的详细信息，除特别说明外均会同步一致： ? 接口部分的信息： 全部，包括接口配置和路由。 ? 系统信息部分的内容： 主机名不会同步，其他各项会同步。 ? 升级： 版本不会自动同步。 ? 备份： 操作本身不会同步。 但恢复备份的那台设备会与 HA 的主机 做同步，所以如果不停 HA