【SSLVPN产品】【应用设置】NC-IP与内网服务器同一网段的NC应用配置

李昕瑞发表于:2021年04月02日 10:21:44更新于:2021年04月02日 10:33:34

1    简介

         SSL VPN设备公网用户通过NC类型应用访问内网业务时需要使用NC-IP与内网通选,该IP地址可以使用任意地址,NC-IP与内网服务器同网段或不同网段配置有所区别,本文档介绍NC-IP与内网服务器使用同一网段时NC应用相关配置。

2    配置前提

         本文档适用于SSL VPN设备,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。

         本文档中的配置均是在实验室环境下进行的配置和验证,配置前,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

         本文档假设您已了解NC应用功能特性。

3    配置举例

3.1    组网需求

         如下图所示,SSL VPN设备旁挂在用户内网的核心交换机上,VPN内网IP地址为192.168.25.2,公网用户需要通过出口防火墙公网地址10.44.145.222,连接到VPN后访问内网服务器192.168.25.18,业务端口TCP/UDP/ICMP等类型需要全部开放。NC-IP与内网应用服务器同为192.168.25.x。

blob.png

3.2    配置思路

1)   由于VPN设备旁挂在内网,用户在公网中访问,需要对VPN的443端口在出口防火墙上进行目的地址映射,将出口的10.44.145.222的2102端口映射到vpn的接口192.168.25.2的443端口。

2)   需要放通的端口中同时包含TCP和UDP因此需要使用NC类型应用进行应用发布。

3)   内网中存在空闲的IP地址可用,与应用服务器192.168.25.18为同一网段,将同网段地址分配给NC时,一定要开启arp代理。

4)   需要配置服务控制策略关联应用和用户、用户组。

3.3    使用版本

         本举例是在6.2.150.xxx版本上进行配置和验证的。

3.4    配置步骤

1)   配置SSL VPN的接口IP地址以及默认路由,以保证VPN和业务服务器可以正常通讯。

【系统设置】-【网络配置】-【网络接口】

blob.png

【系统设置】-【网络配置】-【网络路由】

blob.png

2)   用户配置

【SSL-VPN】-【用户管理】-【用户和组】点击添加,添加本地用户

blob.png

3)   添加NC类型的内网服务器资源

【SSL-VPN】-【应用设置】-【应用和组】

blob.png

本举例中放通业务服务器的所有端口,因此直接选择应用类型为custom,协议为any,实际业务中可按需配置。

blob.png

4)   配置NC地址池,地址池中的地址为用户登录VPN后获取到的NC-IP,配置与内网服务器192.168.25.18为同一网段的IP地址。

【SSL-VPN】-【应用设置】-【NC管理】中IP地址池标签页下添加新的IP地址池

blob.png

5)   NC设置,通过组匹配哪些组用户需要获取NC-IP

【SSL-VPN】-【应用设置】-【NC管理】的NC设置标签页中添加NC设置

blob.png

6)   ARP代理,由于NC-IP与内网应用服务器为同一网段,所以必须勾选ARP代理

【SSL-VPN】-【应用设置】-【NC管理】下NC配置标签页勾选并保存。

blob.png

7)   关联应用和用户。将用户与该用户可访问的应用进行关联,使用户有访问应用权限。

【SSL-VPN】-【策略设置】-【服务控制策略】

blob.png

*  注:在组信息中选择或者在用户信息中选择都会匹配到该应用。

8)   在出口防火墙中进行映射,将出口的10.44.145.222的2102端口映射到vpn的接口192.168.25.2的443端口。

4    验证配置

1)   用户PC通过VPN客户端登录,可以再应用列表中看到应用-业务服务器

blob.pngblob.pngblob.png

2)   在系统设置中,查看获取到的NC-IP

blob.png

3)   ping业务服务器192.168.25.18进行测试是否可以正常通讯

blob.png

4)   查看路由表,可以看到登录VPN后新增一条路由,去往业务服务器,出口为虚拟NC-IP。

blob.png

5    注意事项

1)   NC类型应用下发路由在PC中存在限制,上限为128条,建议配置NC应用时可以将连续IP进行合并,合并为一条应用进行发布。

2)   若采用路由方式,需在内网交换机或路由器中添加虚拟IP地址段相关路由。

3)   如果登录VPN后客户端界面中的NC类型应用为灰色,说明尚未获取到NC-IP地址,可能需要等待1-2分钟,如果仍无法获取NC-IP需要进行检查。