國家高速網路與計算中心

國家高速網路與計算中心TWAREN SSL-VPN 建置與使用說明

報告人 : 林孟璋 6/10/2010

22

大綱前言 TWAREN SSL-VPN 系統架構 Cisco ASA-5550 系統 Juniper SA-6500 系統使用說明管理者介面與 SSL-VPN for iOS

33

前言SSL-VPN 使用時機出差時，連回校內讀取圖書資源 (ex ：電子期刊 ) 校本部與分校的校園網路連接專屬網路建置 (ex ：防災網路、 Native IPv6 網

路 ) 校園 IP 不足時利用 SSL-VPN 做 IP 動態的分配 …

44

前言TWAREN SSL-VPN建置日誌 2009/01 Cisco ASA-5550 對外服務

系統由 8 部 Cisco ASA 5550 設備所組成，其中 TWAREN 南科機房有 6 部， TWAREN 竹科機房有 2 部，設定為 Cluster 架構以提高系統之可用率。 2010/08 Juniper SA-6500 對外服務

為提升服務品質與日漸增加連線單位需求，新建置 1 台可提供5000 人使用之 SA-6500 ，並提供良好的管理與設定介面。

55

TWAREN SSL-VPN 系統架構

VPLSDomain

Internet

ASA-3

ASA-4

ASA57

ASA-6

TN

TN-7609V TN-7609P

TWARENBackbone

POP-7609V

大學VPNOutside(VLAN700)Inside(Trunking

身分認證系統

User

ASA-2

ASA-1

DHCP Server

Gi8/13Gi2/16

SA-6500

TN-3750M3

66

連線單位使用 SSL-VPN 服務 -1

SSL VPN雙系統之一VPLSPOP

7609V

Internet

Remote User

TWARENBackbone

7609V DHCPServer

802.1Q

學校圖書資源

學校所屬骨幹路由器 802.1Q

TANET

TANET65

學校使用者1. RemoteUser 先連入 SSL-VPN 輸入帳號密碼2. SSL-VPN 將帳號密碼轉給校園認證

server 查詢3. 認證成功後 Pass 回給 ASA 或 SA4. 認證成功透過 DHCP Server 取得學

校 IP5. 透過 VPLS 連回學校6. 讀取學校圖書資源或透過 TANet 連往

Internet

校園認證系統

77


VPLSPOP7609V

校園認證系統

Internet

Remote User

TWARENBackbone

7609V DHCPServer

802.1Q

學校圖書資源


TANET

TANET65




InternetSSL VPN雙系統之一

88



7609V

Internet

Remote User

TWARENBackbone

7609V DHCPServer

802.1Q

學校圖書資源


TANET

TANET65


server 查詢3. 認證成功後 Pass 回給 ASA 或 SA4. 透過 VPLS 連回學校5. 讀取學校圖書資源或透過 TANet 連往

Internet

校園認證系統

99


VPLSPOP7609V

Internet

Remote User

TWARENBackbone

7609V DHCPServer

802.1Q

學校圖書資源


TANET

TANET65




Internet

校園認證系統

SSL VPN雙系統之一

1010



7609V

Internet

Remote User

TWARENBackbone

7609V DHCPServer

802.1Q

學校圖書資源


TANET

TANET65




Internet

校園認證系統

1111



7609V

Internet

Remote User

TWARENBackbone

7609V DHCPServer

802.1Q

學校圖書資源


TANET

TANET65




Internet

校園認證系統

1212

Cisco ASA-5550 系統1. 欲申請服務之單位，需具備不與全國無線漫遊之認證伺服器。2. 可接受多種之認證伺服器，例如 Radius 、 LDAP 、 Tacacs+ 。3. Cisco ASA-5550 透過 Cluster 所組成，加強了容錯與提高了可用率。4. User 登入網址 :https://sslvpn.twaren.net

1313

Juniper SA-6500 系統1. Juniper SA6500 系統透過了 IVE(Instant Virtual Extranet) 技術 ( 註 ) 提供了高穩定度的 SSL-VPN 環境平台。2. 亦可接受多種之認證伺服器，例如 Radius 、 LDAP 、 AD/NT 。3. 擁有後端的管理介面，供管理人員查詢。4. User 登入網址 :https://sslvpn9.twaren.net/xxx (xxx 為學校縮寫 )

The IVE is a hardened network operating system that acts as the platform for all Juniper Networks Secure Access products. These appliances provide a range of enterprise-class scalability, high availability, and security features that extendsecure, remote access to network resources.

註

1414

使用說明 Cisco ASA-5550 1. 登入網址 https://sslvpn.twaren.net，輸入 E-mail 帳號、密碼。 2. 登入成功，出現如下頁畫面，分別有 Clientless mode 與 Tunnel mode 工作選項。 3.Tunnel mode 為執行 Cisco 所提供的 SSL-VPN Client 應用程式 AnyConnect ，並取得學校所配置的 IP 。 4.Clientless mode ，不需使用者在其電腦上安裝 Client 端軟體，只要有瀏覽器的電腦就可以允許使用者存取網路資源 ( 例如 FTP,RDP..) 。 5. 左邊為各種可執行之應用程式。

https://sslvpn.twaren.net/

1515

使用說明Cisco ASA-5550

1616

使用說明Tunnel mode ， AnyConnect 登入與執行時畫面

1717

Juniper SA-65001. 登入網址 https://sslvpn9.twaren.net/xxx，輸入 E-mail 帳

號與密碼 (xxxx 為申請學校縮寫 ) ，以國網中心為例，該縮寫為 nchc( 註 ) ，整個 URL 為 https://sslvpn9.twaren.net/nchc

2. 登入成功，出現如下畫面，第一次執行時，要求安裝 SSL-VPN Client 端軟體 Network Connect 的相關步驟。 3. 如果輸入不是 nchc 的帳號，會跳出請輸入正確 e-mail 帳號的提示資訊。 4. 下方為 Juniper SA-6500 提供的 SSL-VPN Client 端軟體啟動按鈕。

註 : 該縮寫，供連線單位自行命名

使用說明

https://sslvpn9.twaren.net/xxx

1818

使用說明 Juniper SA-6500 登入畫面

1919

使用說明Juniper SA-6500 登入成功後畫面

2020

使用說明Juniper Network Connect 登入與執行畫面

2121

管理者介面Cisco ASA-5550 與 Juniper SA-6500 皆提供後端管理者介面供查詢

Cisco 查詢使用者 Log 畫面

2222

管理者介面

Juniper SA-6500 管理者端畫面

2323

SSL-VPN for iOS

Juniper SA-6500 管理者端畫面

2424

SSL-VPN for iOS

2525

Thanks請參閱相關網頁

http://noc.twaren.net/noc_2008/Services/SSLVPN/

國家高速網路與計算中心

Documents