如何配置公司SSLVPN

任务引言

SSL VPN是解决远程用户访问公司敏感数据最简单、最安全的技术，它是对现有SSL应用的一个补充，它增加了公司执行访问控制和安全的级别和能力。

学习目标

了解SSL VPN的概念；

掌握防火墙SSL VPN配置。

知识引入

与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。

SSL（安全套接层）协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议（如HTTP、Telnet和FTP等）和TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证及可选的客户机认证。SSL协议包括握手协议、记录协议及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。

VPN（虚拟专用网）则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。VPN可以扩展企业的内部网络，允许企业的员工、客户利用Internet访问企业网。

【工作任务】——公司SSL VPN配置

1．工作任务背景

千山公司深圳总公司收到一份员工报告，指出由于公司局域网在公司上做了限制，在外出差的员工不能使用公司局域网，有些工作完成不了。公司决定使用SSL VPN技术来解决出差员工使用局域网的问题。SSL VPN配置如图5-11-1所示。

图5-11-1　SSL VPN配置

2．工作任务分析

环境设备信息如表5-11-1和表5-11-2所示。

表5-11-1　深圳总公司部门网络信息

表5-11-2　网络参数设置

PC3通过Internet使用SSL VPN接入公司局域网，使PC3能访问局域网的FTP和Web服务。

【任务实现】

1．根据所学知识完成交换机s1 VLAN划分、端口添加及IP地址配置

s1（config）#vlan 80

s1（Config-Vlan80）#switchport interface ethernet 0/0/1-10

s1（Config-Vlan80）#exit

s1（config）#int vlan 1

s1（Config-if-Vlan1）#ip address 192.168.1.1 255.255.255.0

s1（Config-if-Vlan1）#no shutdown

s1（Config-if-Vlan1）#exit

s1（config）#int vlan 80

s1（Config-if-Vlan80）#ip address 192.168.80.1 255.255.255.0

s1（Config-if-Vlan80）#no shutdown

s1（Config-if-Vlan80）#exit

s1（config）#router ospf 1

s1（config-router）#network 192.168.1.0/24 area 0

s1（config-router）#network 192.168.80.0/24 area 0

s1（config-router）#exit

2．根据所学知识完成交换机s2 VLAN划分、端口添加及IP地址配置

s2（config）#vlan 10

s2（Config-Vlan10）#switchport interface ethernet 0/0/1-4

s2（Config-Vlan10）#exit

s2（config）#vlan 20

s2（Config-Vlan20）#switchport interface ethernet 0/0/5-8

s2（Config-Vlan20）#exit

s2（config）#int vlan 1

s2（Config-if-Vlan1）#ip address 192.168.1.2 255.255.255.0

s2（Config-if-Vlan1）#exit

s2（config）#int vlan 10

s2（Config-if-Vlan10）#ip address 192.168.10.1 255.255.255.0

s2（Config-if-Vlan10）#no shutdown

s2（Config-if-Vlan10）#int vlan 20

s2（Config-if-Vlan20）#ip address 192.168.20.1 255.255.255.0

s2（Config-if-Vlan20）#no shutdown

s2（Config-if-Vlan20）#exit

s2（config）#router ospf 1

s2（config-router）#network 192.168.1.0/24 area 0

s2（config-router）#network 192.168.10.0/24 area 0

s2（config-router）#network 192.168.20.0/24 area 0

s2（config-router）#exit

3．根据所学知识完成防火墙端口与基本策略配置

接口配置，如图5-11-2所示。

图5-11-2　接口配置列表(www.xing528.com)

配置安全策略，如图5-11-3所示。

图5-11-3　安全策略配置

4．根据验证环境配置防火墙外网接口IP和策略，使内网用户能访问Internet

（1）添加一条外出默认路由，如图5-11-4所示。

图5-11-4　默认路由配置

（2）添加源NAT出外网都转换成接口IP地址，如图5-11-5所示。

图5-11-5　SNAT配置

5．在PC1上配置Web服务，在PC2上配置FTP服务

因为Web服务、FTP服务在其他课程体系有介绍，这里不再赘述。

6．配置SCVPN地址池

（1）选择“SCVPN”，单击“地址池”，在SCVPN地址池列表中单击“新建”，弹出地址池配置界面，输入池名称为“scvpn”，起始IP地址和终止IP地址分别为“20.1.1.100”和“20.1.1.200”，网络掩码为“255.255.255.0”，如图5-11-6所示。

图5-11-6　创建SCVPN地址池

（2）配置SCVPN实例并创建实例。选择“SCVPN”，单击“SCVPN实例”，在SCVPN实例列表中单击“新建”，弹出SCVPN配置界面，输入名称为“scvpn”，出口为“e0/3”，地址池是“scvpn”，编辑隧道路由，添加认证服务器，如图5-11-7和图5-11-8所示。

图5-11-7　SCVPN配置

图5-11-8　创建实例

（3）创建SCVPN所属安全域。选择“网络”，单击“安全域”，在安全域列表中单击“新建”，弹出安全域配置界面，在安全域名称输入“scvpn”，安全域类型为“三层安全域”，单击“确认”即可，如图5-11-9所示。

图5-11-9　创建SCVPN所属安全域

（4）创建隧道接口并引用SCVPN隧道。选择“网络”，单击“接口”，新建隧道接口，在接口基本配置界面输入接口名为“1”，安全域类型选定“三层安全域”，安全域为“scvpn”，IP配置中类型为“静态IP”，IP/网络掩码为“20.1.1.1”，隧道类型为“SCVPN”，VPN名称为“scvpn”，如图5-11-10和图5-11-11所示。

图5-11-10　创建隧道接口

图5-11-11　配置隧道接口

（5）创建安全策略。选择“防火墙”，单击“策略”，新建scvpn到trust的策略，弹出策略基本配置界面，源安全域为“scvpn”，源地址为“Any”，目的安全域为“trust”，目的地址为“Any”，服务簿为“Any”，行为为“允许”，单击“确认”即可，如图5-11-12所示。

图5-11-12　创建安全策略

（6）添加SCVPN用户账号。选择“用户”，单击“用户”，在AAA服务器local中添加用户，在用户列表单击“新建”，弹出新建用户界面，名称为“user1”，密码为“123456”，单击“确认”即可，如图5-11-13所示。

图5-11-13　添加SCVPN用户账号

7．验证配置

在PC3打开浏览器，在地址栏输入“https：//10.1.3.2：4433”，在登录界面中输入用户名和密码即能访问，如图5-11-14、图5-11-15、图5-11-16和图5-11-17所示。

图5-11-14　登录验证

图5-11-15　登录界面

图5-11-16　登录成功

图5-11-17　VPN连接效果

【问题探究】

（1）SCVPN的应用。

（2）SCVPN与IPSec VPN的区别。

【知识拓展】

AES（Advanced Encryption Standard）：高级加密标准。

DES（Data Encryption Standard）：数据加密标准。

MD5（Message-Digest Algorithm 5）：消息摘要算法第5版。

SHA（Secure Hash Algorithm）：安全哈希算法。

【任务拓展】

利用所学知识实现图5-11-18所示拓扑图的SSL VPN，使PC3能正常访问PC1的Web服务。环境设备如表5-11-3和表5-11-4所示。

图5-11-18　SSL VPN

表5-11-3　深圳总公司部门网络信息

表5-11-4　网络参数设置

续表