黛蓝公司VPN网络方案设计与分析
图6-4公司SSL-VPN 模拟图
6.3.2 SSL VPN基本配置
SSL配置基本需求:
1.认证:SSL VPN需要配置认证,最好配置授权,审计,也就是AAA。也可以使用本地授权认证。
2. DNS:需要定义域名或者静态主机名到IP的映射。 3. 证书和信任点
4. WEB VPN 网关 包括地址,信任点等 5. WEB VPN context
配置相关信息,诸如登陆信息,URL显示,或者策略组或者其他如URL跳转,文件共享,端口转发等。
具体基本配置: aaa new-model//认证
aaa authentication login webvpn group radius
radius-server host 10.10.10.10 auth-port 1645 acct-port 1646 key cisco 1.WEB vpn基本配置
webvpn gateway webvpn_gate//webvpn基本配置,包括网关地址以及激活服务 ip address 192.168.1.254 port 443
ssl trustpoint TP-self-signed-4294967295//自动生成的证书 inservice
2.URL-LIST基本配置
webvpn context OA//OA context ,在网页上会显示OA目录,相当于书签
31
洛阳师范学院2013届本科生毕业设计
ssl authenticate verify all url-list \ heading \
url-text \点击OAServer这个标签时会自动跳转到10.10.20.253 的OAServer上,10.10.20.253为OAserver地址,也可以添加其他地址只需要标签对应的地址就可以了
policy group OAGroup//策略组,在这里调用URL-list url-list \
default-group-policy OAGroup inservice//激活 3. File-share配置: webvpn context fileshare ssl authenticate verify all
nbns-list \转发标签 nbns-server 10.10.20.252 //文件服务器地址 policy group fileshare//组策略
nbns-list \组策略下调用转发列表
functions file-access//允许的操作,包括文件访问,文件浏览等 functions file-browse functions file-entry
functions svc-enabled//运行客户端通过隧道模式访问 default-group-policy fileshare//调用策略组 inservice 4.端口转发:
webvpn context telnet ssl authenticate verify all port-forward \转发表
local-port 6666 remote-server \\基本转发项,包含本地端口,远端设备地址以及远端端口。 !
policy group portforward//策略组,调用转发策略组 port-forward \
default-group-policy portforward Inservice
6.3.3 SSL VPN 验证方法
32
黛蓝公司VPN网络方案设计与分析
show webvpn gateway //显示WEBVPN网关的运行状态
show webvpn context //显示操作的状态和配置的参数 show webvpn nbns //文件共享状态
show webvpn policy //WEBVPN策略参数与context的关联情况 show webvpn session //显示WEBVPN用户会话信息 show webvpn stats //显示WEBVPN应用和网络状态 排错方法:
Debug webvpn //开启webvpn基本会话监视,会显示大量WEBVPN信息 Debug webvpn aaa //调试显示AAA信息
Debug webvpn port-forward //调试端口转发信息 Debug webvpn webservice //显示webservice调试信息 清除相关会话信息:
Clear webvpn session/nbns/stats??
对于集团公司的SSL VPN建设,主要从安全性,稳定性,可靠性,以及造价方面考虑,只需要在ASA5580上配置,没有必要花费额外的金钱去购买SSL VPN设备。
33
洛阳师范学院2013届本科生毕业设计
第7章 VPN管理与维护
7.1 IPSEC VPN 的管理与维护
针对集团远程接入需求,结合该集团实际情况,部署了IPSEC SITE TO SITE VPN,主要在总部的7206路由器以及各分支机构的出口路由器。Cisco 7206路由器完全可以支持IPSEC VPN 的部署,而且双出口的部署模式不会对现存网络产生影响。唯一的缺点是IPSEC 不好维护。其众多的策略组以及加密图有时候很难匹配,造成麻烦。所以从管理上考虑,需要将策略组与加密图对应,然后记录下相应的策略组与分支机构的对应关系,这样以后出现故障也好查找。同时,可以借助SDM之类的软件进行配置管理,还有就是 VPN的配置部分要及时做好备份。
IPSEC的维护的确是一件困难的事,但是我们做好相应的备份与记录管理,管理也就不是问题。
7.2 SSL VPN的管理与维护
在SSL VPN的管理方面相对IPSEC来说还是比较容易,SSL只需要一台SSL VPN网关或者叫服务器。SSL VPN不需要客户端支持,可以说随时随地都可以访问网络资源同时SSL VPN消耗的硬件资源较少,不需要策略组的匹配与加密图。所以不需要花费相当的资源去加解密数据,也不需要去匹配规则。同时ASA5580对SSL VPN的支持也比较出色,所以在管理方面需要花费较少的精力。
34
黛蓝公司VPN网络方案设计与分析
第8章 工作总结和展望
通过几个周期的完善,终于把VPN这个课题给做完了,心里有许多感慨。从中自己学到了很多,也了解到了自己的不足之处并加以改善。学习到了很多课本上没有的东西,了解了国际上与中国的科技技术情况等等。我们都知道:依靠因特网发展而迅速发展的电子商务越来越受到企业,政府等企事业单位的重视,先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至关重要的。因此,企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统,同时,对于身处异地的分支机构或者分公司,办事处,或者在外出差的企业员工,需要为其提供高效,实时的内网访问,保证相关业务运行的准确高效,同时,在远距离传输过程中要保证数据不被窃取和篡改,不遭受其他各种形势的威胁。于是,通过本课题的研究,帮助企业实现远程安全,实时,高效互联。
从整体上说,对于企业远程接入的设计不仅仅只是购买相应的VPN设备或者做相应的配置,还需要掌握企业针对远程接入的需求以及VPN设计的原则,从企业的实际需求出发,针对现今各种流行的VPN技术进行了分析比较,从原理到数据包的封装到体系结构都做了详细的分析比较,最后选出了适合企业的3种VPN部署方式,最后通过实验模拟,得出了VPN的实际效用。当然,本实验只是在理论上做的模拟。在实际环境中会复杂的多,所以难免会有很多不足之处。希望通过本次设计研究,提供给企业一个很好的参考。
35