Transcript
國家高速網路與計算中心
TWAREN SSL-VPN建置與使用說明
報告人: 林孟璋 6/10/2010
2
大綱
前言
TWAREN SSL-VPN系統架構
Cisco ASA-5550系統
Juniper SA-6500系統
使用說明
管理者介面與SSL-VPN for iOS
3
前言
SSL-VPN使用時機
出差時,連回校內讀取圖書資源(ex:電子期刊)
校本部與分校的校園網路連接
專屬網路建置(ex:防災網路、Native IPv6 網路)
校園IP 不足時利用SSL-VPN 做IP 動態的分配
…
4
前言
TWAREN SSL-VPN建置日誌
2009/01 Cisco ASA-5550對外服務系統由8 部Cisco ASA 5550 設備所組成,其中TWAREN 南科機房有6部,TWAREN 竹科機房有2 部,設定為Cluster 架構以提高系統之可用率。
2010/08 Juniper SA-6500對外服務
為提升服務品質與日漸增加連線單位需求,新建置1 台可提供5000
人使用之SA-6500,並提供良好的管理與設定介面。
5
TWAREN SSL-VPN系統架構
VPLS
Domain
Internet
ASA-3
ASA-4
ASA57
ASA-6
TN
TN-7609V TN-7609P
TWAREN
Backbone
POP-7609V
大學VPN
Outside(VL
AN700)
Inside(Trun
king
身分認證系統
User
ASA-2
ASA-1
DHCP
Server
Gi8/13
Gi2/16
SA-6500
TN-3750M3
6
連線單位使用SSL-VPN服務-1
SSL VPN
雙系統之一
VPLSPOP
7609V
Internet
Remote
User
TWAREN
Backbone
7609V DHCP
Server
802.1Q
學校
圖書資源
學校所屬骨幹路由器
802.1Q
TANET
TANET65
學校使用者1. RemoteUser先連入SSL-VPN輸入帳
號密碼2. SSL-VPN將帳號密碼轉給校園認證
server查詢3. 認證成功後Pass回給ASA 或SA
4. 認證成功透過DHCP Server取得學校IP
5. 透過VPLS連回學校6. 讀取學校圖書資源或透過TANet連往
Internet
校園認證系統
7
連線單位使用SSL-VPN服務-2
VPLSPOP
7609V校園認證系統
Internet
Remote
User
TWAREN
Backbone
7609V DHCP
Server
802.1Q
學校
圖書資源
學校所屬骨幹路由器
802.1Q
TANET
TANET65
學校使用者1. RemoteUser先連入SSL-VPN輸入帳
號密碼2. SSL-VPN將帳號密碼轉給校園認證
server查詢3. 認證成功後Pass回給ASA 或SA
4. 認證成功透過DHCP Server取得學校IP
5. 透過VPLS連回學校6. 讀取學校圖書資源或透過TANet連往
InternetSSL VPN
雙系統之一
8
連線單位使用SSL-VPN服務-3
SSL VPN
雙系統之一
VPLSPOP
7609V
Internet
Remote
User
TWAREN
Backbone
7609V DHCP
Server
802.1Q
學校
圖書資源
學校所屬骨幹路由器
802.1Q
TANET
TANET65
學校使用者1. RemoteUser先連入SSL-VPN輸入帳
號密碼2. SSL-VPN將帳號密碼轉給校園認證
server查詢3. 認證成功後Pass回給ASA 或SA
4. 透過VPLS連回學校5. 讀取學校圖書資源或透過TANet連往
Internet
校園認證系統
9
連線單位使用SSL-VPN服務-4
VPLSPOP
7609V
Internet
Remote
User
TWAREN
Backbone
7609V DHCP
Server
802.1Q
學校
圖書資源
學校所屬骨幹路由器
802.1Q
TANET
TANET65
學校使用者1. RemoteUser先連入SSL-VPN輸入帳
號密碼2. SSL-VPN將帳號密碼轉給校園認證
server查詢3. 認證成功後Pass回給ASA 或SA
4. 認證成功透過DHCP Server取得學校IP
5. 透過VPLS連回學校6. 讀取學校圖書資源或透過TANet連往
Internet
校園認證系統
SSL VPN
雙系統之一
10
連線單位使用SSL-VPN服務-5
SSL VPN
雙系統之一
VPLSPOP
7609V
Internet
Remote
User
TWAREN
Backbone
7609V DHCP
Server
802.1Q
學校
圖書資源
學校所屬骨幹路由器
802.1Q
TANET
TANET65
學校使用者1. RemoteUser先連入SSL-VPN輸入帳
號密碼2. SSL-VPN將帳號密碼轉給校園認證
server查詢3. 認證成功後Pass回給ASA 或SA
4. 認證成功透過DHCP Server取得學校IP
5. 透過VPLS連回學校6. 讀取學校圖書資源或透過TANet連往
Internet
校園認證系統
11
連線單位使用SSL-VPN服務-6
SSL VPN
雙系統之一
VPLSPOP
7609V
Internet
Remote
User
TWAREN
Backbone
7609V DHCP
Server
802.1Q
學校
圖書資源
學校所屬骨幹路由器
802.1Q
TANET
TANET65
學校使用者1. RemoteUser先連入SSL-VPN輸入帳
號密碼2. SSL-VPN將帳號密碼轉給校園認證
server查詢3. 認證成功後Pass回給ASA 或SA
4. 認證成功透過DHCP Server取得學校IP
5. 透過VPLS連回學校6. 讀取學校圖書資源或透過TANet連往
Internet
校園認證系統
12
Cisco ASA-5550系統
1. 欲申請服務之單位,需具備不與全國無線漫遊之認證伺服器。2. 可接受多種之認證伺服器,例如Radius、LDAP 、 Tacacs+。3. Cisco ASA-5550透過Cluster所組成,加強了容錯與提高了可用率。4. User 登入網址:https://sslvpn.twaren.net
13
Juniper SA-6500系統
1. Juniper SA6500系統透過了IVE(Instant Virtual Extranet)技術(註)提供了高穩定度的SSL-VPN環境平台。
2. 亦可接受多種之認證伺服器,例如Radius、LDAP 、 AD/NT。3. 擁有後端的管理介面,供管理人員查詢。4. User登入網址:https://sslvpn9.twaren.net/xxx (xxx為學校縮寫)
The IVE is a hardened network operating system that acts as the platform for all Juniper
Networks Secure Access products. These appliances provide a range of enterprise-class scalability,
high availability, and security features that extend
secure, remote access to network resources.
註
14
使用說明 Cisco ASA-5550
1.登入網址https://sslvpn.twaren.net,輸入E-mail帳號、
密碼。
2.登入成功,出現如下頁畫面,分別有Clientless mode
與Tunnel mode工作選項。
3.Tunnel mode為執行Cisco所提供的SSL-VPN Client
應用程式AnyConnect,並取得學校所配置的IP。
4.Clientless mode,不需使用者在其電腦上安裝Client 端
軟體,只要有瀏覽器的電腦就可以允許使用者存取
網路資源(例如FTP,RDP..)。
5.左邊為各種可執行之應用程式。
15
使用說明Cisco ASA-5550
16
使用說明Tunnel mode,AnyConnect登入與執行時畫面
17
Juniper SA-6500
1.登入網址https://sslvpn9.twaren.net/xxx,輸入E-mail帳
號與密碼(xxxx為申請學校縮寫),以國網中心為例,
該縮寫為nchc(註),整個URL為https://sslvpn9.twaren.net/nchc
2.登入成功,出現如下畫面,第一次執行時,要求安
裝SSL-VPN Client端軟體Network Connect的相關步驟。
3.如果輸入不是nchc的帳號,會跳出請輸入正確e-mail
帳號的提示資訊。
4.下方為Juniper SA-6500提供的SSL-VPN Client端軟體
啟動按鈕。
註:該縮寫,供連線單位自行命名
使用說明
18
使用說明 Juniper SA-6500登入畫面
19
使用說明Juniper SA-6500登入成功後畫面
20
使用說明
Juniper Network Connect 登入與執行畫面
21
管理者介面Cisco ASA-5550與Juniper SA-6500 皆提供後端管理者介面供查詢
Cisco 查詢使用者Log畫面
22
管理者介面
Juniper SA-6500管理者端畫面
23
SSL-VPN for iOS
Juniper SA-6500管理者端畫面
24
SSL-VPN for iOS
25
Thanks請參閱相關網頁
http://noc.twaren.net/noc_2008/Services/SSLVPN/
top related