hcie-security合集ch16ssl16.1.2虚拟网关原理描述

1、 . .配置示SVN示 虚拟网关简 SVN网关从逻辑上划分成多台虚拟的SVN SVN SSL 虚拟网关简 SVN网关从逻辑上划分成多台虚拟的SVN SVN SSL 16-1- 16-1-1 虚拟网关示意SVN 虚拟网关原理 IP请说明配置的思路 SSL 16-1-2 SSL协议 SSL 16-1-2 SSL协议 。当企业可提供的公网IP对对端进Finished对对端进Finished16-1-3ABSVNA ASVN 接着由SVN将企业A的报文发送至企业AB的报文发送至企业B。16-1-3 虚拟网关应用 16-1-4 单虚拟网关组网 16-1-5A1B2C316-1-5 多虚拟网关组网SVNL

2、icense 控制，SVN 1 个。用户 虚拟 （IP地址复用。 。网 16-1-6 N（IP地址复用。 。网 16-1-6 N企业内网的WebernetSVN上配置WebSVNSVNernet上传输时可以防止SVN ernet 的边界位置，它以中间人）Web请求，并将此请求转发给内网的Web服务器，然后再将Web程用户。SVN启用企业内网Web资源的过程如下立。例如图16-1-5 所示的网络中，不同部门之间的IP 地址不能 。Web 16-2-1 图16-2-2用户通过内网WebServer（）。的Web 。Web 16-2-1 图16-2-2用户通过内网WebServer（）。的Web呈现

3、用户时会改写该资源的URLSVNURLURL和SVNURLweb ServerHTTPHTTP就是WebWebServerHTTPSVN虚拟网关将WebServer返回的资源页面，再经过HTTPS16-2-2 Web 虚拟网关再与WebServerHTTP 企业内网Web ServerWeb改写和WeblinkWeb URL 虚拟网关再与WebServerHTTP 企业内网Web ServerWeb改写和WeblinkWeb URL URLWebWeb 用户接ernet的终端类型也变 SVNWeb Web Link Web 16-2-2 用 虚拟网关与WebServerHTTP10091，这个

4、源端口也是随机端口，目的80。Web link 不会对资源进行改写。需要注意的是，WeblinkWindow操作系统+IE浏览器的终端上使用。非此Web 改写。16-2-3 文件共 （HTTPS 。 NetworkFileSystem16-2-3 文件共 （HTTPS 。 NetworkFileSystem）LinuxSMB GID、UID以及 GID、UID与拥有者的GID、UID 过16-2-4 在文件共享业务中SVN16-2-5内网Windows16-2-5 过16-2-4 在文件共享业务中SVN16-2-5内网Windows16-2-5 文件共享的交互过端口转。内网服务器，适用于对TC

5、P SVN的端口转发可支持多种TCP risePlanning SVN的端口转发可支持多种TCP risePlanning Systems tOfficeProtocol（SMTP（SimpleMessagertcl OracleManager 。16-2-6 16-2-6 16-2-7 网络扩在eb内网的基于TCP 的内网资源，然而用户需内网资源的种类，SVN 业务。在网络扩展业务中，SVN16-2-7 网络扩在eb内网的基于TCP 的内网资源，然而用户需内网资源的种类，SVN 业务。在网络扩展业务中，SVN了所有的内网资源。SVNIPSSL16-2-8SSL IE（ ActiveX 。IE

6、 。16-2-8 SSL网络扩展组网L2TPoverIPSec16-2-9L2TPoverIPSec 。IE 。16-2-8 SSL网络扩展组网L2TPoverIPSec16-2-9L2TPoverIPSec L2TP over IPSec隧道。在该方案中，用户可以使用设备（、L2TPAndroidL2TP CSVN16-2-9 SSL网络扩展组网SSLL2TP over IPSec单独使用L2TP也可以实现 用户 企业内网资源的需求，但由于L2TP自身不具备加密L2TP和IPSec配合使用，即上述的L2TP over IPSec 网络扩展。SVN还不支持智能 使用 SSL网络扩展功能，此场景

7、下只能使用L2TP over IPSec网 IEIESVN。 16-2-10 采用IE浏览虚拟网IP 客户端 IEIESVN。 16-2-10 采用IE浏览虚拟网IP 客户端 16-2-11 采独立客户虚拟网IPSSLSVN通过网络扩展业务，在虚拟网关与 。SSL 16-2-1216-2-12 SSL网络扩展业务交互流IEHTTPS会话。IE 企业内网之间通信之用。同时，SVN 本地局域网、 erneternet用SVN用户只ernet指定的资源（SVN 虚拟网关中配置SSL 16-2-1216-2-12 SSL网络扩展业务交互流IEHTTPS会话。IE 企业内网之间通信之用。同时，SVN 本

8、地局域网、 erneternet用SVN用户只ernet指定的资源（SVN 虚拟网关中配置ernet ernet 不会受网络扩展的影响；其SVN ServerSSLSVN ServerSSLSSLIP用虚拟网关发来的IP报文SSL SNMP Server 16-2-13 SSL网络扩展报文封装过L2TPoverIPSec L2TPoverIPSec。L2TPoverIPSec 16-2-14L2TPover IPSec网络扩展业务交互流 nt L2TP over IPSec 拟网关用户分配的IP地址。缺省情况下16-2-14L2TPover IPSec网络扩展业务交互流 nt L2TP ove

9、r IPSec 拟网关用户分配的IP地址。缺省情况下L2TPover IPSec Server IPSecIP用虚拟网关发来的IP报文L2TPoverIPSec16-2-15L2TPoverIPSec SVN SNMP Server 用户L2TP over IPSec SSL隧道对数据进行加密，L2TPover IPSec用户L2TP over IPSec SSL隧道对数据进行加密，L2TPover IPSec16-2-15L2TPover IPSec网络扩展报文封装过SVN User122关联了。 16-3-1 角用户即可16-3-1 角用户即可 组在虚拟网关不存在，则使用/default

10、用户、用户父组只要有一方属于自定义角色，则用户不再受default角色权限控制。用户属于自定义角色、用户父组属于default。、 自定配置SVN 单臂旁挂示 。、 自定配置SVN 单臂旁挂示 用户属于default：如果一个用户同时属于多个父组，并且其中一个父组属于default 角色，用户权限是除defaut 组外其他几个组所属角色的并集。16-5-1 SVNSVNSVNGE1/0/1IPIP SVN 无论是终端用企业内网的流量，还是企业内网服务器响应终端用户的流量16-5-1 SVNSVNSVNGE1/0/1IPIP SVN 无论是终端用企业内网的流量，还是企业内网服务器响应终端用户的流

11、量 GE1/0/2IP。IP在 SVN 。IP SVN SVN 。IP GE1/0/2SVN SVN 。IP GE1/0/2GE1/0/3IP为了配置完成后，验证网络的连通性，请在配置接口时，勾选“启用管理”中的 为了配置完成后，验证网络的连通性，请在配置接口时，勾选“启用管理”中的 安全安全IP 地此处USG6000系为例，介绍NATServer功能的配置目的地址/掩下一IP 地配置DMZ和TrustSVN与服务器之间的流量交互。见NAT IPSVN配置DMZ和TrustSVN与服务器之间的流量交互。见NAT IPSVN配置虚拟网关示16-5-2所示，SVNIPIP16-5-2 SVN基本信

12、息包括虚拟网关的名称、IP IP 。DNS16-5-2 SVN基本信息包括虚拟网关的名称、IP IP 。DNSIP SVN上允许建立的虚拟网关数和 SVNLicense的限制。请根据需要从销售 处 LicenseLicense PCLicense 文 选择“系统 虚拟网关管理员 SVN采用的是双机组网，则虚拟网关的IP地址，应该配置为双机的虚拟IPDNSDNS DNSDNS SVN。初 初 。 ”，设备的配置示 的Web服务为。16-5-3 启用只有启用新建功能后，用户才能使用的内网Web ”，设备的配置示 的Web服务为。16-5-3 启用只有启用新建功能后，用户才能使用的内网Web企业内网

13、Web配置用内网Web资源的权限角色是权限的集合，通过为用户分配角色，使其具不同资源的权限。例如用户 roleroleArole 。启用在“配置资源 新建 。启用在“配置资源 新建 内网 认证成功后，用户单击 内网 认证成功后，用户单击配置文件共享示 。 NFS 文件服务器：IP 地址为 为为 配置文件共享示 。 NFS 文件服务器：IP 地址为 为为 16-5-4 正确。 。gateway 。gateway SMBNFS 用户/为C 在Web 在Web SMB 配置端口转发示 SMB 配置端口转发示 。SQL数据库系统：IP为。 IP 0。16-5-5 正确。TCP OutlookSMTP应用的端口25和 确。TCP OutlookSMTP应用的端口25和 。 gateway SQLSMTPOutlookPOP3协议的OutlookPOP3协议的OutlookN