【SSLVPN产品】【应用设置】域名类型NC应用配置

李昕瑞发表于:2021年04月01日 21:13:17更新于:2021年04月09日 14:05:31

1    简介

         本文档介绍公网用户通过SSL VPN设备访问内网中,需要使用内网DNS服务器进行解析的应用时,NC应用配置的相关操作和方法。 

2    配置前提

         本文档适用于SSL VPN设备,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。

         本文档中的配置均是在实验室环境下进行的配置和验证,配置前,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

         本文档假设您已了解NC应用功能特性。

3    配置举例

3.1    组网需求

         如下图所示,SSL VPN设备旁挂在用户内网的核心交换机上,VPN内网IP地址为192.168.25.2。网用户需要通过出口防火墙公网地址10.44.145.222,连接到VPN后通过域名its.vpn.com访问内网服务器192.168.25.18,业务端口TCP/UDP/ICMP等类型需要全部开放。内网中无可用的IP段提供给NC-IP使用。内网DNS服务器地址为192.168.23.22。


blob.png

3.2    配置思路

1)   由于VPN设备旁挂在内网,用户在公网中访问,需要对VPN的443端口在出口防火墙上进行目的地址映射,将出口的10.44.145.222的2102端口映射到VPN的接口192.168.25.2的443端口。

2)   需要放通的端口中同时包含TCP和UDP,因此需要使用NC类型应用进行应用发布。

3)   NC类型应用需要给用户提供NC-IP,使用户可以通过NC-IP访问内网中发布的NC类型应用资源。由于内网中无可用的IP地址提供给NC使用,所以NC-IP段与内网服务器不同段,需要配置NAT或路由。本举例中使用NAT的方式。

4)   由于NC应用是发布的域名,所以需要对域名使用内网DNS服务器进行解析,所以需要将DNS服务器也同时发布给用户使用。

5)   需要配置服务控制策略关联应用和用户、用户组。

3.3    使用版本

         本举例是在6.2.150.xxx版本上进行配置和验证的。

3.4    配置步骤

1)   配置SSL VPN的接口IP地址以及默认路由,以保证VPN和业务服务器可以正常通讯。

请进入【系统设置】-【网络配置】-【网络接口】,配置接口IP地址和子网掩码。

blob.png

请进入【系统设置】-【网络配置】-【网络路由】配置网络路由。

blob.png

2)   配置域名解析,使VPN设备可以解析到对应的域名。

请进入【系统设置】-【网络配置】-【域名解析】,添加内网DNS服务器,并保存。

blob.png

请进入【系统设置】-【系统维护】-【系统诊断】,输入对应公网域名,测试VPN设备是否可以正常解析域名。

blob.png

3)   用户配置

【SSL-VPN】-【用户管理】-【用户和组】点击【添加】,配置完成后点击【保存】。

  blob.png 

4)   添加NC类型的内网服务器资源

请进入【SSL-VPN】-【应用设置】-【应用和组】选择【添加】,在提示页面选择【NC】类型资源进行配置。

blob.png

本举例中放通业务服务器的所有端口,因此直接选择应用类型为custom,协议为any,实际业务中可按需配置。应用服务器地址为域名。

blob.png

5)   添加DNS的NC类型应用

请进入【SSL-VPN】-【应用设置】-【应用和组】选择【添加】,在提示页面选择【NC】类型资源,添加DNS服务器。

blob.png

6)   配置NC地址池,地址池中的地址为用户登录VPN后获取到的NC-IP。本案例中NC-IP与内网服务器不在同一网段。

请进入【SSL-VPN】-【应用设置】-【NC管理】中IP地址池标签页下添加新的IP地址池。

blob.png

7)   NC设置,根据实际需要,配置要获取NC-IP的用户组。

请进入【SSL-VPN】-【应用设置】-【NC管理】的【NC设置】标签页中添加NC设置。

blob.png

8)   NAT配置。由于NC-IP与内网服务器不是同一网段,为了确保该地址可以访问内网服务器,配置NAT,将NC-IP转换为接口IP地址即可访问内网服务器。

请进入【系统设置】-【网络配置】-【NAT管理】配置NAT。

源地址、源地址子网掩码:NC地址池的地址和子网掩码。

目的IP,接口:NAT转换后的接口地址和网口,一般是VPN内网口的地址。

blob.png

9)  关联应用和用户。将用户与该用户可访问的应用进行关联,使用户有访问应用权限。

请进入【SSL-VPN】-【策略设置】-【服务控制策略】绑定用户和应用。

blob.png

*  注:在“组信息”或者“用户信息”中进行相应选择,都可以匹配到该应用。

10)   在出口防火墙中进行映射,将出口的10.44.145.222的2102端口映射到vpn的接口192.168.25.2的443端口。

4    验证配置

1)   在用户PC中登录VPN客户端,可以在应用列表中查看到已配置完成的应用-业务服务器相关信息。

blob.pngblob.pngblob.png

    在系统设置中,查看获取到的NC-IP信息。

blob.png

    ping业务服务器域名its.vpn.vom进行测试是否可以正常通讯,可以正常通讯并且域名解析正确。

blob.png

查看路由表,可以看到登录VPN后新增一条路由,目的地址为业务服务器地址,出口为虚拟NC-IP。

blob.png

5    注意事项

1)   在PC中NC类型应用下发路由存在限制,上限为128条,建议配置NC应用时可以将连续IP进行合并,合并为一条应用进行发布。

2)   若采用路由方式,需在内网交换机或路由器中添加虚拟IP地址段相关路由。

3)   内网服务器解析时,需要将内网DNS服务器作为NC应用发布给用户使用。