思科SSL VPN三大场景配置（大学生易读版）

本文主要是介绍思科SSL VPN三大场景配置（大学生易读版），希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

引言

         SSL VPN是以SSL（Secure Sockets Layer）协议为基础，利用浏览器内置支持SSL的优势，对其应用功能进行扩展的新型VPN。对于 SSL VPN，移动用户登录虚拟网关，认证后建立 SSL VPN。可以通过配置 Web 代理、文件共享和端口转发功能来代理移动用户访问内网服务器。此外，管理员还可以配置网络扩展，让移动用户直接访问内网服务器（无需虚拟网关代理）。

        如果对概念还有问题，可以提前复习下此篇文章

SSL VPN (大学生易读版)https://mp.csdn.net/mp_blog/creation/editor/134824999

拓扑介绍

        拓扑如上，其中为了方便查看效果，与防火墙建立ssl vpn的右端采用win10的虚拟机，左边r1作为内部资源，也是win10的访问对象。

        在配置之前，先满足防火墙在路由协议的支持下win能和防火墙建立连接，并且防火墙初始化后且能通过asdm登录，除此外r1上开启http服务

        并且确保win上网络适配器联通

WEB接入（无客户端）

    解释

        无需客户端，首先通过浏览器和网关建立连接，其次再访问内网资源

    配置

        正常情况是配置网关，再配置账号密码，配置资源并在策略中调用

        1.配置网关

        2.配置账号密码

        3.配置资源并在策略中调用（由1知已经被默认调用，这里在默认调用的里面进行配置即可）

        

    验证

        点进去输入账号密码之后（成功进入，可以连接到网关，而且能连接到所配置的资源）

        

        配置成功（点击pc可以继续验证，按找r1配置的http本地账号密码，这里不过多赘述）

TCP接入（瘦客户端）

    解释

        在tcp的帮助下根据不同的端口号进行与资源进行连接，或则依靠tcp与相关应用进行配合和对端建立邻居。因为都需要一定的插件支持，所以说也称瘦客户端。本质上与web接入原理相同，都是代理访问

    应用访问配置

        解释：依靠一定的插件在tcp的支持下进行web接入

        环境：需要在防火墙插入telnet的插件和插入telnetweb端可视化java环境

（若有需要，私信）

详细虚拟机插入java环境以及防火墙插入插件见链接

思科防火墙ASDM插入插件https://mp.csdn.net/mp_blog/creation/editor/135298726eve环境虚拟机和电脑如何传送文件https://mp.csdn.net/mp_blog/creation/editor/135298830?not_checkout=1

        检验（配置后刷新客户端）：

 

    smart tunnel配置

        解释：可以根据tcp支持允许在原客户端上用一定的软件直接对远端进行资源访问

        配置1smart tunnel的建立

        配置2资源调用smart tunnel

        检验（刷新客户端web界面）：

                                        打开smart tunnel

        注意：确保telnet功能打开

        

    端口转换配置

        解释：TCP接入中最常见的则为端口转换从而按照不同的端口号进行TCP接入访问。

                    首先与网关建立连接

                    其次本地客户端在插件的支持下与收到网关下发的端口转发表

                    最后采取NAT协议，从而转换地址访问内网

                        简单来说就是根据下发端口转换表，依靠不同的端口号与资源进行访问。

        配置1配置端口转换列表：

        配置2调用资源：

        检验（刷新客户端重新登录）：

ip接入（厚客户端）

   解释

        首先客户与网关建立连接

        其次网关生成与资源可以互相访问的虚拟网卡

        最后将此虚拟网卡下发给客户

        因为客户需要一定的软件支持获取虚拟网卡，所以叫做厚客户端

   拓扑情况

        其中本电脑需要准备好用于厚客户端来接入的软件插件，用于插入防火墙当中

        除此之外，需要在虚拟机上提前传送好插件所对应的接入软件

         按照提示下载好之后可在程序里面查看

   配置

        1.创建客户端选项，注意插件的安装和虚拟机上对应插件的应用

        2.账号密码配置

        3.资源所对应的策略上配置下发网段

   检验

        注意：检测之前先关闭此选项

        点击链接，正常建立输入账号密码就行

         

        下发的地址也可以直接和资源建立连接

   隧道分离问题

        查看分配地址后的路由表，我们可以看到，发送的报文都会进入123.123.123.2进行nat到对端资源，管理距离为2，一定会优先于去网关202.101.20.254.这就造成了只能ssl vpn，而不能从出口网关到isp完成上网服务。

   解决办法

        隧道分离，让只去资源的才发到网关123.123.123.2，其他的流量没匹配上的都是去isp网关

   检验

        由此可见，去往isp的正常走默认路由，去往对端资源的发往123.123.123.1，两者不干扰

尾言

        本人网络小白一枚，如有知识点或则逻辑不清楚的，望大佬指出，如果大伙有其他问题，留在评论区，我会尽快为大伙解决。

这篇关于思科SSL VPN三大场景配置（大学生易读版）的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---