兩種IP各司其職配置簡單,IP地址如何選取大有講究
在網絡擴展的上篇中,強叔講了那麼多概念、原理的內容,一方面是爲了讓各位小夥伴加深對網絡擴展功能的理解;另一方面,是爲下面配置網絡擴展做鋪墊。
網絡擴展業務的配置可以分爲如下幾個步驟:
1. 創建一個虛擬網關。
2. 在虛擬網關下創建出差用戶、配置出差用戶的認證方式以及角色授權。
由於上面這兩個配置步驟在之前的貼子中已有介紹,強叔在此就不羅嗦了。
3. 配置網絡擴展業務。
網絡擴展業務只需要配置兩個IP地址段就可以了,要配的東西少,所以很簡單。但是,怎樣選取這兩個IP地址段卻是大有講究。
參數1:可分配IP地址池範圍
在原理部分強叔講過,出差用戶啓動網絡擴展功能以後,虛擬網關會給出差用戶的虛擬網卡分配IP地址,那這個地址從哪裏來?聰明的小夥伴應該已經猜到了,就是從這裏配置的地址池中隨機取的。這個地址池是由網絡管理員自行指定的,在指定地址池的時候需要注意該地址池網段與內網網段之間的關係。如果這個地址段與內網網段10.1.1.2設置在了同一個子網中,則出差用戶在獲得虛擬網關分配的這個地址以後,就相當於出差用戶和內網服務器在一個二層交換機下連着一樣,出差用戶就可以直接訪問服務器,不存在路由問題。假如此處的地址池和內網服務器不在同一個網段(舉例中就沒在同一網段),這裏就需要在防火牆上配置一條目的地址是地址池網段(192.168.1.0),出接口是與Internet相連的公網接口。這條路由僅用於確定安全域間關係,並不指導報文轉發。詳細原理強叔已經在上篇中有過介紹了,此處不再贅述。
另外,如果企業內部有專門爲用戶分配IP地址的服務器,如DHCP服務器、第三方認證服務器等,網絡擴展中的地址池只要不與服務器分配的地址段衝突即可,各自分配各自的IP地址,互不影響。
參數2:可訪問內網網段列表
前面強叔說到,開啓網絡擴展出差用戶就可以訪問企業內網的所有IP資源,那爲什麼這裏還有“可訪問內網網段”呢?說到底還是爲了控制,如果我們不配置這個參數,默認出差用戶是可以訪問內網的所有資源;但爲了能靈活控制出差用戶的訪問範圍,我們就增加了這個功能。
強叔在網絡擴展上篇的業務交互流程中提到過:“虛擬網關會根據網絡擴展業務中的配置向出差用戶下發不同的路由信息,該路由會影響到出差用戶的網絡狀態”,這句話就是針對網絡擴展中“可訪問內網網段”這個參數講的,因爲配或者不配這個參數,不但影響用戶訪問企業內網的範圍,同時它也影響出差用戶的其它網絡狀態。
l如果網絡擴展中配置“可訪問內網網段”爲 10.1.1.0,則虛擬網關就會向出差用戶的PC上推送一條明細路由,目的地址是內網網段10.1.1.0,下一跳是出差用戶獲取到的企業內網的私網地址192.168.1.1。 
l如果在網絡擴展中不配置“可訪問內網網段”這個參數,出差用戶的路由又會是什麼樣的呢?在下圖中我們可以看到,虛擬網關向出差用戶推送了一條缺省路由,下一跳是出差用戶獲取到的企業內網的私網地址192.168.1.1。 
可別小看了上述兩種路由之間的差異,配置了“可訪問內網網段”時,虛擬網關只是下發一些到企業內網網段的路由到出差用戶,而這個路由不會影響到其他路由,也就是說出差用戶想訪問企業內網就訪問企業內網,想訪問Internet就訪問Internet,這個訪問絲毫不受影響,是該幹嘛幹嘛。
如果選擇了不配置這個參數,那問題就來了。通常出差用戶訪問Internet這條路由是一條缺省路由,現在虛擬網關又推送過來一條缺省路由,而且虛擬網關推送過來的這條缺省路由優先級最高(躍點數是1),這樣一來就會使得出差用戶原有的缺省路由失效,即出差用戶就沒法訪問Internet了。假如出差用戶某一時刻必須要訪問Internet,那就只能暫時斷開一下網絡擴展連接,想訪問內網的時候再重新啓用網絡擴展就行了。所以到底選擇哪一種網絡擴展的配置方式,這就取決於企業用戶的需要了。
有了上面的幾個配置,網絡擴展業務就算配置完了。我們下面再來看看出差用戶該如何通過網絡擴展功能訪問內網資源。
IE瀏覽器登錄簡單方便,獨立客戶端接入亦有亮點
SSL VPN的網絡擴展功能向出差用戶提供了兩種訪問內網的途徑,一種是使用IE瀏覽器,另一種是採用獨立的網絡擴展客戶端。
lIE瀏覽器
1. 出差用戶在IE瀏覽器地址欄中輸入虛擬網關的訪問地址。
2. 出現虛擬網關登錄界面後,輸入用戶名和密碼。
3. 登錄成功的出差用戶可以在虛擬網關的資源頁面看到“網絡擴展”頁籤,單擊網絡擴展下的
“啓動”,出差用戶就會獲取到虛擬網關爲其分配的企業內網IP地址,這樣就可以直接訪問企業內網資源了。
在介紹報文封裝原理部分強叔提到過, 建立SSL VPN隧道分爲了可靠性傳輸模式和快速傳輸模式,而採用IE瀏覽器與虛擬網關之間建立 的SSL VPN隧道默認使用的是快速傳輸模式。
l獨立客戶端
1. 出差用戶下載、安裝網絡擴展獨立客戶端。
出差用戶成功登錄到虛擬網關以後,然後單擊界面右上角的“用戶選項”,就可以看到網絡擴展客戶端的下載鏈接。安裝也很簡單,按照引導單擊“下一步”就行了。
提示:使用獨立客戶端好處在於,網絡擴展客戶端可以在開機的時候自動啓用,而且在連接斷開
時有自動重連功能。而使用IE瀏覽器方式時則需 要每次都登錄一下虛擬網關,所以比較麻煩。
2.登錄虛擬網關。
地址:虛擬網關地址
用戶名、密碼:管理員爲出差用戶分配的登錄虛擬網關的用戶名密碼。
單擊“登錄”,出差用戶就可以和內網用戶一樣訪問內網資源了。
採用獨立客戶端建立SSL VPN隧道時,SSL VPN的隧道建立模式可以進行配置。在登錄界面中單
擊“選項”,然後在“隧道模式”中就可以選擇 是使用可靠性傳輸模式還是快速傳輸模式。隧道
模式中還有個“自適應模式”,表示客戶端會根據網絡環境自動選擇採用可靠性傳輸模式或是快
速傳輸模式建立SSL VPN隧道。
虛擬網卡得IP,接入成功便無疑
如果用戶已經啓用了網絡擴展功能,那出差用戶怎麼判斷自己的網絡擴展功能是不是生效了呢?這可以看兩個指標,首先需要用ipconfig命令看一下出差用戶的PC有沒有獲取到虛擬網關分配的私網地址。按照上面的例子,如果啓用網絡擴展以後,出差用戶的PC出現一個192.168.1.0網段內的IP地址。那麼,恭喜您!您已經成功接入到企業的內網中了。
第二個指標就是出差用戶試一試,看能不能訪問企業內網的資源。
我們經常會碰到這樣一些情況,就是出差用戶已經獲取到虛擬網關分配的IP地址了了,但就是無法訪問內網資源,這又是怎麼回事呢?總體來說碰到這樣的情況有兩個原因:
l一是出差用戶沒有訪問這個內網資源的業務權限(比如研發人員沒有訪問財務系統的權限);
l二是我們在配置網絡擴展業務時,“可訪問內網網段”中沒有包含出差用戶要訪問的內網資源所在的網段。
這兩個問題也好解決,要麼出差用戶向網絡管理者申請業務權限;要麼網絡管理者在防火牆上檢查一下,看是不是把內網資源都加進來了。
說到這裏SSL VPN網絡擴展自身的內容介紹就已經結束了,但考慮到SSL VPN這四種業務既有差異又有關聯,因此有必要整體角度再對比一下四種業務的關係。
四大業務悉數登場,作用不同各有千秋
假設某企業部署了防火牆設備,爲企業出差員工提供SSL VPN業務,其網絡如下圖所示。
企業出差用戶訪問內網的需求以及在防火牆上爲出差員工開通SSL VPN業務的規劃如下:
|
出差員工身份 |
訪問需求 |
業務類型 |
角色授權 |
|
普通員工 |
訪問OA系統 |
Web代理 |
在Web代理業務中創建www.oa.com這條資源,將此資源與普通員工或普通員工所屬的組進行綁定。 |
|
使用企業的郵件系統收發郵件。 |
端口轉發 |
在端口轉發業務中創建一條郵件服務器的資源,將此資源與普通員工或普通員工所屬的組進行綁定。 |
|
|
管理者 |
訪問OA系統和財務系統 |
Web代理 |
在Web代理業務中創建www.oa.com(已創建)、www.finance.com這兩條資源,將此資源與管理者或管理者所屬的組進行綁定。 |
|
訪問文件服務器 |
文件共享 |
在文件共享中業務中創建一條文件服務器資源,將此資源與管理者或管理者所屬的組進行綁定。 |
|
|
使用企業的郵件系統收發郵件。 |
端口轉發 |
在端口轉發業務中創建一條文件服務器資源,並將郵件服務器資源與管理者或管理者所屬的組進行綁定。 |
|
|
召開電話會議 |
網絡擴展 |
啓用網絡擴展功能,並將語音服務器所在的地址配置到“可訪問內網網段”中,然後將網絡擴展業務與管理者或管理者所在的組進行綁定。 |
網絡業務配置完成後,不同身份的用戶在登錄虛擬網關後所能看到的資源也不相同,其所見資源如下。
l普通員工
普通出差員工在登錄虛擬網關後,可以看到自己所能訪問的資源連接,單擊鏈接就可以訪問該資源。
l管理者
出差的管理者在登錄虛擬網關後可以看到如下界面。
其中Web代理、文件共享資源都是以鏈接形式供用戶選擇。端口轉發和網絡擴展需要單擊“啓動”以後才能使用。但是出差用戶如何知道自己點了啓動以後都能訪問企業的哪些內網資源呢?這個就需要網絡管理員通過其他途徑,例如網絡公告之類的將企業內網的資源服務器域名、地址告知出差用戶。在這一點上,Web代理、文件共享相對有優越性,因爲出差用戶在使用這兩種業務的時候,自己能夠訪問哪些資源,這在登錄到虛擬網關以後是可以從資源列表中看到的。
出差用戶訪問企業內網的需求與防火牆上開啓何種SSL VPN業務之間的對應關係可以歸納成兩點。
l出差用戶訪問企業內網的資源類型(Web資源、文件資源、TCP、IP)決定了網絡管理員應該選擇SSL VPN的何種業務。
例如,出差員工只需要訪問Web資源和郵件資源,就爲該用戶啓用Web代理和端口轉發兩種業務;而管理者需要訪問四種類型的資源,那就需要爲其開啓四種業務。
需要說明的是,網絡擴展由於兼備了前三種業務的功能,如果說爲了配置方便,也可以只爲管理者開啓網絡擴展業務,讓管理者可以訪問內網所有的IP資源。
l出差用戶是否擁有對某一資源的訪問權限,這是通過角色授權配置來決定的。
例如,出差員工和管理者同樣都開啓了Web代理業務,出差員工只能訪問OA系統(www.oa.com),而管理者卻同時擁有訪問OA系統和財務系統(www.finance.com)的權限,這就是在角色授權中配置的。
附:規格列表
SSL VPN業務對出差用戶所使用的操作系統及瀏覽器有要求,在實際使用中,經常有小夥伴們會問到這個支持情況,此處強叔就把這個支持情況整理了一下,以便大家查閱。
網絡擴展所支持的操作系統規格
|
SSL VPN業務
|
支持的操作系統
|
||
|
Web代理 |
Web改寫
|
-
|
|
|
Web Link
|
·Windows 2000 Professional SP3及其以上(32位) ·Windows Server 2000 SP3及其以上(32位) ·Windows Server 2003(32位) ·Windows XP SP1及其以上(32位) ·Windows Vista(32位/64位) ·Windows 7(32位/64位) ·Windows Server 2008(32位/64位) 說明:64位操作系統下,瀏覽器要以32位模式運行。
|
||
|
文件共享 |
· Windows 2000 Professional SP3及其以上(32位) ·Windows Server 2000 SP3及其以上(32位) ·Windows Server 2003(32位) ·Windows XP SP1及其以上(32位) ·Windows Vista(32位/64位) ·Windows 7(32位/64位) ·Windows Server 2008(32位/64位) 說明:64位操作系統下,瀏覽器要以32位模式運行。
|
||
|
端口轉發 |
·Windows 2000 Professional SP3及其以上 ·Windows XP SP1及其以上 ·Windows Vista ·Windows Server 2000 SP3及其以上 ·Windows Server 2003 ·Windows 7 ·Windows Server 2008 X86 支持的系統均爲32位操作系統。 |
||
|
網絡擴展 |
瀏覽器
|
·Windows 2000 Professional SP3及其以上(32位) ·Windows Server 2000 SP3及其以上(32位) ·Windows Server 2003(32位) ·Windows XP SP1及其以上(32位) ·Windows Vista(32位/64位) ·Windows 7(32位/64位) ·Windows Server 2008(32位/64位) 說明:64位操作系統下,瀏覽器要以32位模式運行。 |
|
|
Huawei AnyOffice VPN客戶端
|
· Windows 2000 Professional SP3及其以上(32位) ·Windows Server 2000 SP3及其以上(32位) ·Windows Server 2003(32位) ·Windows XP SP1及其以上(32位) ·Windows Vista(32位/64位) ·Windows 7(32位/64位) ·Windows Server 2008(32位/64位) ·Mac OS X 10.x.x 說明:64位操作系統下,瀏覽器要以32位模式運行。 |
||
網絡擴展所支持的瀏覽器規格
|
SSL VPN業務
|
支持的瀏覽器及版本
|
||
|
Web代理 |
Web改寫
|
·Internet Explorer 6/7/8/9 ·Mozilla Firefox 4.0~12.0 ·Google Chrome 10.0~20.0 ·Opera 9.0~12.0 ·Safari 3.0~5.1.x ·360安全瀏覽器 3.x~5.0 ·Symbian Series 60 Web Browser 7.0-7.4 ·BlackBerry Browser 4.6.0 ·天天瀏覽器 V2.3及以上版本 ·UC Browser 7.x及以上版本 |
|
|
Web Link
|
Internet Explorer 6/7/8/9
|
||
|
文件共享 |
Internet Explorer 6/7/8/9 |
||
|
端口轉發 |
Internet Explorer 6/7/8/9 |
||
|
網絡擴展 |
瀏覽器
|
Internet Explorer 6/7/8/9
|
|
|
Huawei AnyOffice VPN客戶端
|
- |
||
說明:“-”表示對應業務對操作系統或瀏覽器不做要求。
本篇是VPN技術的最後一篇,下一篇強叔將帶領小夥伴們進入光怪陸離的雙機世界,敬請期待!!!
思考:如果出差用戶要訪問企業內網的Web資源,那在防火牆上爲用戶開通網絡擴展功能以後,用戶能不能正常訪問內網的Web資源,這樣的業務控制是否合理,爲什麼?