SSL VPN 部署实验

实验拓扑

实验需求

1. 深圳总部在内网中旁挂 SSL VPN 作为 VPN 设备，部署 SSL VPN 服务
2. 深圳总部拥有 2 条公网线路，要求自动选择更快的线路接入，提升用户体验

实验解法

1. 在深圳总部的公网出口设备上配置端口映射，使 SSL VPN 设备公网可见

   　　分析：由于 VPN 设备旁挂在内网中，所以需要在各自的公网出口设备上配置端口映射。SSL VPN 需要映射 TCP443 端口
   　　要求 2 条公网线路自动选择更快的路线，所以这里对电信和联通的端口都需要映射
   　　另外 SSL VPN 多线路的自动选路功能还需要用到 HTTP ，所以还需要映射 TCP80 端口
   　　
   步骤 1：在深圳总部登录 AD 设备，点击 网络配置-端口映射

   步骤 2：分别映射电信和联通公网接口的 TCP 443 和 TCP80 端口，如图 1-2 所示

   
   图 1-2

2. 部署 SSL VPN 设备

   步骤 1：配置 SSL VPN 为单臂模式部署，并配置 IP 地址等相关参数，如图 1-3 所示

   
   图 1-3

   步骤 2：配置 SSL VPN 多线路，首先点击 系统配置-系统配置，查看是否拥有多线路授权，如图 1-4 所示

   
   图 1-4

   步骤 3：点击 系统配置-网络配置，点击 多线路，如图 1-5 所示

   
   图 1-5

   步骤 4：勾选 启用 SSL VPN 多线路，点击 新增，添加电信公网出口线路，如图 1-6 所示

   
   图 1-6

   步骤 5：按照同样的方法添加连通公网出口线路，点击保存，再点击 立即生效，系统会自动重启 VPN 服务，如图 1-7 所示

   
   图 1-7

3. 创建用于 SSL VPN 登录的用户组和用户

   步骤 1：点击 SSL VPN 设置-用户管理，点击 新建-用户组，如图 1-8 所示

   
   图 1-8

   步骤 2：创建用户组 出差员工，只需设置用户组名，无需其他配置

   步骤 3：在用户组下创建用户，如图 1-9 所示

   
   图 1-9

4. 创建 SSL VPN 资源

   步骤 1：点击 SSL VPN 设置-资源管理，点击 新建-L3VPN，如图 1-10 所示

   
   图 1-10

   步骤 2：在资源编辑界面选择类型为 HTTP，点击地址栏旁的 + 图标，在弹出的资源地址界面中填入内网 Web 服务器的地址，点击确定，并保存资源，如图 1-11 所示

   
   图 1-11

5. 对用户和资源进行授权

   步骤 1：点击 SSL VPN 设置-角色授权，点击 新建-新建角色，如图 1-12 所示

   
   图 1-12

   步骤 2：选择授权关联用户为 出差员工 用户组，点击 编辑授权资源列表，在弹出的列表中勾选上一步创建的 Web 资源，点击确定，并保存授权，如图 1-13 所示

   
   图 1-13

   步骤 3：最终点击 立即生效，使相关配置生效，如图 1-14 所示

   
   图 1-14

6. 效果测试

   步骤 1：在长沙分公司的 PC 上模拟移动终端，使用深圳总部电信或联通的公网地址登录 SSL VPN，如图 1-15 所示

   　　注意：这里虽然使用了电信公网地址登录 SSL VPN，但由于配置了双线路，最终 SSL VPN 仍会根据速度测试结果来自动选择最快的线路来接入远程用户

   
   图 1-15

   步骤 2：使用之前创建的账户登录 SSL VPN，成功登录后可以看到该用户授权的资源，点击可访问发布的 Web 资源，如图 1-16，1-17 所示

   
   图 1-16
   
   图 1-17