用户名+密码方式登录

一、网络需求

外网有单独的出口路由器，V1600S以旁路模式放在网络中，外网用户以“用户名+密码”的方式拨SSL VPN到内网，访问内网的资源

二、网络拓扑

如下图所示：

本案例中内网共有 3个vlan

vlan 10 为内网普通用户网段：192.168.10.0/24 网关：192.168.10.1/24

vlan 20 为内网服务器网段 : 192.168.20.0/24 网关：192.168.10.1/24

vlan 30 单独划分给V1600S： 192.168.30.0/24 网关：192.168.10.1/24

核心交换机和路由器之间的互联网段是192.168.1.0/24，路由器内网口：192.168.1.1 交换机上联口：192.168.1.2

此案例中，分配给外网用户的虚地址段：192.168.30.0/24（SSL VPN的时候分配的虚拟子网不能任何eth口上的主网段相同，否则会有冲突）；

下图中红色的线代表外网用户访问内网服务器的来回数据走向

三、配置要点

1.配置出口NBR路由器

1）.基本的上网配置；

2）.端口映射,与SSL VPN相关的端口 TCP:443 TCP/UDP:888，V1600S的管理端口：UDP 49 、TCP 666；

3）.配置去往内网网段的静态路由，目的网段192.168.0.0 掩码 255.255.0.0 下一跳192.168.1.2；

2.核心交换机上需要做的关键配置：

1）.划分vlan10、20、30，配置vlan对应的网关地址，上连口地址，配置默认路由，下一跳指向出口路由器的内网接口；

2）把Gi0/3接口划分到vlan30，与V1600S互连；

3）配置去往外网的默认路由；

3.配置V1600S的基本配置

1.配置ETH1接口IP :192.168.30.2/24，外网网关：192.168.30.1/24；

2.定义内网用户的网段和外网VPN用户的网段，提供给接下来的访问规则调用；

3.配置访问规则，外网用户访问内网资源的数据，源地址转换为eth0接口的IP；

原理说明：外网用户访问内网的数据，经路由器转发给V1600S，然后V1600S对数据进行NAT转换，把外网用户访问内网资源的数据，源地址转换为eth0接口的IP，目的地址不变，再转发给核心交换机，核心交换机转发给内网服务器。服务器接收到该访问数据，回应的时候，目的地址是V1600S的接口IP,转发给核心交换机，核心交换机再转发V1600S。

（注：初始化的V1600S默认产生以下两条访问规则，序号为1的安全规则是对任何数据都是纯放通，不进行任何的修改，序号为2的安全规则是对任何数据都进行阻断；访问规则的处理顺序是由上往下，从第一访问规则开始匹配，如果新增加了访问规则，记得根据实际的网络需求调整好规则之间的顺序）

4.SSL VPN 的相关配置

1）资源管理配置------添加资源

2）用户组管理--------添加用户组（用户和资源是绑定在一起的）

3）远程用户组管理---本地用户数据库

4）参数设置-----------虚拟地址池（1.安全规则选择“直接放行”。2.配置时切忌不要配置内网同段的 IP 地址，否则会照成资源无法访问的情况）

四、配置步骤

1.配置出口NBR路由器

-------------以下是NBR路由器配置内网的用户能够正常访问internet------------------

以下是命令配置

interface GigabitEthernet 0/0 //内网口

ip nat inside

ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet 0/1 //外网接口

ip nat outside

ip address 172.18.10.114 255.255.255.0

ip access-list extended 110 //与NAT相关的ACL

10 permit ip any any

ip nat inside source list 110 pool nat_pool overload

ip nat pool nat_pool prefix-length 24

address 172.18.10.114 172.18.10.114 match interface GigabitEthernet 0/1

ip route 0.0.0.0 0.0.0.0 172.18.10.1 //配置访问互联网的默认路由，外网网关地址为172.18.10.1

ip route 192.168.0.0 255.255.0.0 192.168.1.2 //配置访问内网的静态路由，下一跳地址为 192.168.1.2

ip nat inside source static tcp 192.168.30.2 443 172.18.10.114 443 permit-inside

ip nat inside source static tcp 192.168.30.2 888 172.18.10.114 888 permit-inside

ip nat inside source static udp 192.168.30.2 888 172.18.10.114 888 permit-inside

ip nat inside source static udp 192.168.30.2 49 172.18.10.114 49 permit-inside

ip nat inside source static tcp 192.168.30.2 666 172.18.10.114 666 permit-inside

2.核心交换机上的配置

-------------------以下配置核心5750----------------------------------

vlan 10

vlan 20

vlan 30

int vlan 10

ip address 192.168.10.1 255.255.255.0

int vlan 20

ip address 192.168.20.1 255.255.255.0

int vlan 30

ip address 192.168.30.1 255.255.255.0

int gi0/0

no swithchport

ip address 192.168.1.2 255.255.255.0

int gi0/1

switchport access vlan 10

int gi0/2

switchport access vlan 20

int gi0/3

switchport access vlan 30

ip route 0.0.0.0 0.0.0.0 192.168.1.1 //配置默认路由，下一跳地址为路由器内网口的IP

3.配置V1600S的基本配置

---------------------------以下配置V1600S---------------------------------

1）.配置Eth1接口IP :192.168.30.2/24，与核心交接机gi0/3的接口互连

2）.定义内网用户的网段和外网VPN用户的网段，提供给接下来的访问规则调用

先访问控制----->对象管理----IP地址对象中定义好以下地址对象，添加名称为”SSL_VPN用户组“的IP地址对象：192.168.2.0/24

添加名称为”内网服务器网段“的IP地址对象：192.168.10.0/24

3）.配置访问规则，外网用户访问内网资源的数据，源地址转换为eth1接口的IP

在访问规则里，源对象为：SSL-VPN用户目的对象：内网服务器网段按对象转换

配置好以上规则后，通过”规则上移“的按钮把该条规则调到最前面，如下图所示：

4.SSL VPN 的相关配置

-------------------------------以下是V1600S的SSL VPN相关配置-------------------------

1）.资源管理配置------添加资源

指定外网用户可以访问的内网资源

2）用户组管理---本地用户数据库

用户组名可以自定义

3）用户组管理--------添加用户组

点击 “本地用户数据库” 添加新用户，此处添加用户名为test123，密码123456的一个账户

回到用户组管理页面，给该账户分配之前我们设定的内网服务资源

4）参数设置-----------虚拟地址池

参数中主要配置虚地址池，虚地址池的作用是：用户建立隧道时，VPN网关设备从该地址池从分配其中的某个IP地址给外网VPN用户使用;

配置时有以下注意点：

1.切忌不要配置内网同段的 IP 地址，否则会造成资源无法访问的情况；

2.SSL 隧道设置“区域的”SSL隧道端口复用“按钮如果有端口冲突时请勾选，否则无需勾选

如果不勾选以上的“使用组虚拟地址池”，那么就可以直接设置子网地址和掩码，就此所有配置就结束了。

（以下内容是对“使用组虚拟地址池”该功能的应用场景的描述，请根据实际需求选读）

如果想要针对不同的外网客户，控制他们访问不同的网络资源的权限，比如V1600S内网有财政部的服务器和人事部的服务器，我们就可以在”用户组管理“里新增“人事部用户”组和“财政部用户”组，为人事部的外网用户分配对应的网络资源，为财政部的外网用户分配对应的网络资源，，然后在上图中勾选：组虚拟IP地址池，为不同的外网用户指定特定的地址池，具体操作及配置图如下图所示：