任务引言
SSL VPN是解决远程用户访问公司敏感数据最简单、最安全的技术,它是对现有SSL应用的一个补充,它增加了公司执行访问控制和安全的级别和能力。
学习目标
了解SSL VPN的概念;
掌握防火墙SSL VPN配置。
知识引入
与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。
SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证及可选的客户机认证。SSL协议包括握手协议、记录协议及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。
VPN(虚拟专用网)则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。VPN可以扩展企业的内部网络,允许企业的员工、客户利用Internet访问企业网。
【工作任务】——公司SSL VPN配置
1.工作任务背景
千山公司深圳总公司收到一份员工报告,指出由于公司局域网在公司上做了限制,在外出差的员工不能使用公司局域网,有些工作完成不了。公司决定使用SSL VPN技术来解决出差员工使用局域网的问题。SSL VPN配置如图5-11-1所示。
图5-11-1 SSL VPN配置
2.工作任务分析
环境设备信息如表5-11-1和表5-11-2所示。
表5-11-1 深圳总公司部门网络信息
表5-11-2 网络参数设置
PC3通过Internet使用SSL VPN接入公司局域网,使PC3能访问局域网的FTP和Web服务。
【任务实现】
1.根据所学知识完成交换机s1 VLAN划分、端口添加及IP地址配置
s1(config)#vlan 80
s1(Config-Vlan80)#switchport interface ethernet 0/0/1-10
s1(Config-Vlan80)#exit
s1(config)#int vlan 1
s1(Config-if-Vlan1)#ip address 192.168.1.1 255.255.255.0
s1(Config-if-Vlan1)#no shutdown
s1(Config-if-Vlan1)#exit
s1(config)#int vlan 80
s1(Config-if-Vlan80)#ip address 192.168.80.1 255.255.255.0
s1(Config-if-Vlan80)#no shutdown
s1(Config-if-Vlan80)#exit
s1(config)#router ospf 1
s1(config-router)#network 192.168.1.0/24 area 0
s1(config-router)#network 192.168.80.0/24 area 0
s1(config-router)#exit
2.根据所学知识完成交换机s2 VLAN划分、端口添加及IP地址配置
s2(config)#vlan 10
s2(Config-Vlan10)#switchport interface ethernet 0/0/1-4
s2(Config-Vlan10)#exit
s2(config)#vlan 20
s2(Config-Vlan20)#switchport interface ethernet 0/0/5-8
s2(Config-Vlan20)#exit
s2(config)#int vlan 1
s2(Config-if-Vlan1)#ip address 192.168.1.2 255.255.255.0
s2(Config-if-Vlan1)#exit
s2(config)#int vlan 10
s2(Config-if-Vlan10)#ip address 192.168.10.1 255.255.255.0
s2(Config-if-Vlan10)#no shutdown
s2(Config-if-Vlan10)#int vlan 20
s2(Config-if-Vlan20)#ip address 192.168.20.1 255.255.255.0
s2(Config-if-Vlan20)#no shutdown
s2(Config-if-Vlan20)#exit
s2(config)#router ospf 1
s2(config-router)#network 192.168.1.0/24 area 0
s2(config-router)#network 192.168.10.0/24 area 0
s2(config-router)#network 192.168.20.0/24 area 0
s2(config-router)#exit
3.根据所学知识完成防火墙端口与基本策略配置
接口配置,如图5-11-2所示。
图5-11-2 接口配置列表(www.xing528.com)
配置安全策略,如图5-11-3所示。
图5-11-3 安全策略配置
4.根据验证环境配置防火墙外网接口IP和策略,使内网用户能访问Internet
(1)添加一条外出默认路由,如图5-11-4所示。
图5-11-4 默认路由配置
(2)添加源NAT出外网都转换成接口IP地址,如图5-11-5所示。
图5-11-5 SNAT配置
5.在PC1上配置Web服务,在PC2上配置FTP服务
因为Web服务、FTP服务在其他课程体系有介绍,这里不再赘述。
6.配置SCVPN地址池
(1)选择“SCVPN”,单击“地址池”,在SCVPN地址池列表中单击“新建”,弹出地址池配置界面,输入池名称为“scvpn”,起始IP地址和终止IP地址分别为“20.1.1.100”和“20.1.1.200”,网络掩码为“255.255.255.0”,如图5-11-6所示。
图5-11-6 创建SCVPN地址池
(2)配置SCVPN实例并创建实例。选择“SCVPN”,单击“SCVPN实例”,在SCVPN实例列表中单击“新建”,弹出SCVPN配置界面,输入名称为“scvpn”,出口为“e0/3”,地址池是“scvpn”,编辑隧道路由,添加认证服务器,如图5-11-7和图5-11-8所示。
图5-11-7 SCVPN配置
图5-11-8 创建实例
(3)创建SCVPN所属安全域。选择“网络”,单击“安全域”,在安全域列表中单击“新建”,弹出安全域配置界面,在安全域名称输入“scvpn”,安全域类型为“三层安全域”,单击“确认”即可,如图5-11-9所示。
图5-11-9 创建SCVPN所属安全域
(4)创建隧道接口并引用SCVPN隧道。选择“网络”,单击“接口”,新建隧道接口,在接口基本配置界面输入接口名为“1”,安全域类型选定“三层安全域”,安全域为“scvpn”,IP配置中类型为“静态IP”,IP/网络掩码为“20.1.1.1”,隧道类型为“SCVPN”,VPN名称为“scvpn”,如图5-11-10和图5-11-11所示。
图5-11-10 创建隧道接口
图5-11-11 配置隧道接口
(5)创建安全策略。选择“防火墙”,单击“策略”,新建scvpn到trust的策略,弹出策略基本配置界面,源安全域为“scvpn”,源地址为“Any”,目的安全域为“trust”,目的地址为“Any”,服务簿为“Any”,行为为“允许”,单击“确认”即可,如图5-11-12所示。
图5-11-12 创建安全策略
(6)添加SCVPN用户账号。选择“用户”,单击“用户”,在AAA服务器local中添加用户,在用户列表单击“新建”,弹出新建用户界面,名称为“user1”,密码为“123456”,单击“确认”即可,如图5-11-13所示。
图5-11-13 添加SCVPN用户账号
7.验证配置
在PC3打开浏览器,在地址栏输入“https://10.1.3.2:4433”,在登录界面中输入用户名和密码即能访问,如图5-11-14、图5-11-15、图5-11-16和图5-11-17所示。
图5-11-14 登录验证
图5-11-15 登录界面
图5-11-16 登录成功
图5-11-17 VPN连接效果
【问题探究】
(1)SCVPN的应用。
(2)SCVPN与IPSec VPN的区别。
【知识拓展】
AES(Advanced Encryption Standard):高级加密标准。
DES(Data Encryption Standard):数据加密标准。
MD5(Message-Digest Algorithm 5):消息摘要算法第5版。
SHA(Secure Hash Algorithm):安全哈希算法。
【任务拓展】
利用所学知识实现图5-11-18所示拓扑图的SSL VPN,使PC3能正常访问PC1的Web服务。环境设备如表5-11-3和表5-11-4所示。
图5-11-18 SSL VPN
表5-11-3 深圳总公司部门网络信息
表5-11-4 网络参数设置
续表
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。