Upload
vivien-wade
View
65
Download
2
Embed Size (px)
DESCRIPTION
國家高速網路與計算中心. TWAREN SSL-VPN 建置與使用說明. 報告人 : 林孟璋 6/10/2010. 大綱. 前言 TWAREN SSL-VPN 系統架構 Cisco ASA-5550 系統 Juniper SA-6500 系統 使用說明 管理者介面與 SSL-VPN for iOS. 前言. SSL-VPN使用時機 出差時,連回校內讀取圖書資源 (ex :電子期刊 ) 校本部與分校的校園網路連接 專屬網路建置 (ex :防災網路、 Native IPv6 網路 ) - PowerPoint PPT Presentation
Citation preview
國家高速網路與計算中心TWAREN SSL-VPN 建置與使用說明
報告人 : 林孟璋 6/10/2010
22
大綱 前言 TWAREN SSL-VPN 系統架構 Cisco ASA-5550 系統 Juniper SA-6500 系統 使用說明 管理者介面與 SSL-VPN for iOS
33
前言SSL-VPN 使用時機 出差時,連回校內讀取圖書資源 (ex :電子期刊 ) 校本部與分校的校園網路連接 專屬網路建置 (ex :防災網路、 Native IPv6 網
路 ) 校園 IP 不足時利用 SSL-VPN 做 IP 動態的分配 …
44
前言TWAREN SSL-VPN建置日誌 2009/01 Cisco ASA-5550 對外服務
系統由 8 部 Cisco ASA 5550 設備所組成,其中 TWAREN 南科機房有 6 部, TWAREN 竹科機房有 2 部,設定為 Cluster 架構以提高系統之可用率。 2010/08 Juniper SA-6500 對外服務
為提升服務品質與日漸增加連線單位需求,新建置 1 台可提供5000 人使用之 SA-6500 ,並提供良好的管理與設定介面。
55
TWAREN SSL-VPN 系統架構
VPLSDomain
Internet
ASA-3
ASA-4
ASA57
ASA-6
TN
TN-7609V TN-7609P
TWARENBackbone
POP-7609V
大學VPNOutside(VLAN700)Inside(Trunking
身分認證系統
User
ASA-2
ASA-1
DHCP Server
Gi8/13Gi2/16
SA-6500
TN-3750M3
66
連線單位使用 SSL-VPN 服務 -1
SSL VPN雙系統之一VPLSPOP
7609V
Internet
Remote User
TWARENBackbone
7609V DHCPServer
802.1Q
學校圖書資源
學校所屬骨幹路由器 802.1Q
TANET
TANET65
學校使用者1. RemoteUser 先連入 SSL-VPN 輸入帳號密碼2. SSL-VPN 將帳號密碼轉給校園認證
server 查詢3. 認證成功後 Pass 回給 ASA 或 SA4. 認證成功透過 DHCP Server 取得學
校 IP5. 透過 VPLS 連回學校6. 讀取學校圖書資源或透過 TANet 連往
Internet
校園認證系統
77
連線單位使用 SSL-VPN 服務 -2
VPLSPOP7609V
校園認證系統
Internet
Remote User
TWARENBackbone
7609V DHCPServer
802.1Q
學校圖書資源
學校所屬骨幹路由器 802.1Q
TANET
TANET65
學校使用者1. RemoteUser 先連入 SSL-VPN 輸入帳號密碼2. SSL-VPN 將帳號密碼轉給校園認證
server 查詢3. 認證成功後 Pass 回給 ASA 或 SA4. 認證成功透過 DHCP Server 取得學
校 IP5. 透過 VPLS 連回學校6. 讀取學校圖書資源或透過 TANet 連往
InternetSSL VPN雙系統之一
88
連線單位使用 SSL-VPN 服務 -3
SSL VPN雙系統之一VPLSPOP
7609V
Internet
Remote User
TWARENBackbone
7609V DHCPServer
802.1Q
學校圖書資源
學校所屬骨幹路由器 802.1Q
TANET
TANET65
學校使用者1. RemoteUser 先連入 SSL-VPN 輸入帳號密碼2. SSL-VPN 將帳號密碼轉給校園認證
server 查詢3. 認證成功後 Pass 回給 ASA 或 SA4. 透過 VPLS 連回學校5. 讀取學校圖書資源或透過 TANet 連往
Internet
校園認證系統
99
連線單位使用 SSL-VPN 服務 -4
VPLSPOP7609V
Internet
Remote User
TWARENBackbone
7609V DHCPServer
802.1Q
學校圖書資源
學校所屬骨幹路由器 802.1Q
TANET
TANET65
學校使用者1. RemoteUser 先連入 SSL-VPN 輸入帳號密碼2. SSL-VPN 將帳號密碼轉給校園認證
server 查詢3. 認證成功後 Pass 回給 ASA 或 SA4. 認證成功透過 DHCP Server 取得學
校 IP5. 透過 VPLS 連回學校6. 讀取學校圖書資源或透過 TANet 連往
Internet
校園認證系統
SSL VPN雙系統之一
1010
連線單位使用 SSL-VPN 服務 -5
SSL VPN雙系統之一VPLSPOP
7609V
Internet
Remote User
TWARENBackbone
7609V DHCPServer
802.1Q
學校圖書資源
學校所屬骨幹路由器 802.1Q
TANET
TANET65
學校使用者1. RemoteUser 先連入 SSL-VPN 輸入帳號密碼2. SSL-VPN 將帳號密碼轉給校園認證
server 查詢3. 認證成功後 Pass 回給 ASA 或 SA4. 認證成功透過 DHCP Server 取得學
校 IP5. 透過 VPLS 連回學校6. 讀取學校圖書資源或透過 TANet 連往
Internet
校園認證系統
1111
連線單位使用 SSL-VPN 服務 -6
SSL VPN雙系統之一VPLSPOP
7609V
Internet
Remote User
TWARENBackbone
7609V DHCPServer
802.1Q
學校圖書資源
學校所屬骨幹路由器 802.1Q
TANET
TANET65
學校使用者1. RemoteUser 先連入 SSL-VPN 輸入帳號密碼2. SSL-VPN 將帳號密碼轉給校園認證
server 查詢3. 認證成功後 Pass 回給 ASA 或 SA4. 認證成功透過 DHCP Server 取得學
校 IP5. 透過 VPLS 連回學校6. 讀取學校圖書資源或透過 TANet 連往
Internet
校園認證系統
1212
Cisco ASA-5550 系統1. 欲申請服務之單位,需具備不與全國無線漫遊之認證伺服器。2. 可接受多種之認證伺服器,例如 Radius 、 LDAP 、 Tacacs+ 。3. Cisco ASA-5550 透過 Cluster 所組成,加強了容錯與提高了可用率。4. User 登入網址 :https://sslvpn.twaren.net
1313
Juniper SA-6500 系統1. Juniper SA6500 系統透過了 IVE(Instant Virtual Extranet) 技術 ( 註 ) 提供了高穩定度的 SSL-VPN 環境平台。2. 亦可接受多種之認證伺服器,例如 Radius 、 LDAP 、 AD/NT 。3. 擁有後端的管理介面,供管理人員查詢。4. User 登入網址 :https://sslvpn9.twaren.net/xxx (xxx 為學校縮寫 )
The IVE is a hardened network operating system that acts as the platform for all Juniper Networks Secure Access products. These appliances provide a range of enterprise-class scalability, high availability, and security features that extendsecure, remote access to network resources.
註
1414
使用說明 Cisco ASA-5550 1. 登入網址 https://sslvpn.twaren.net,輸入 E-mail 帳號、 密 碼。 2. 登入成功,出現如下頁畫面,分別有 Clientless mode 與 Tunnel mode 工作選項。 3.Tunnel mode 為執行 Cisco 所提供的 SSL-VPN Client 應用程式 AnyConnect ,並取得學校所配置的 IP 。 4.Clientless mode ,不需使用者在其電腦上安裝 Client 端 軟體,只要有瀏覽器的電腦就可以允許使用者存取 網路資源 ( 例如 FTP,RDP..) 。 5. 左邊為各種可執行之應用程式。
1515
使用說明Cisco ASA-5550
1616
使用說明Tunnel mode , AnyConnect 登入與執行時畫面
1717
Juniper SA-65001. 登入網址 https://sslvpn9.twaren.net/xxx,輸入 E-mail 帳
號與密碼 (xxxx 為申請學校縮寫 ) ,以國網中心為例, 該縮寫為 nchc( 註 ) ,整個 URL 為 https://sslvpn9.twaren.net/nchc
2. 登入成功,出現如下畫面,第一次執行時,要求安 裝 SSL-VPN Client 端軟體 Network Connect 的相關步驟。 3. 如果輸入不是 nchc 的帳號,會跳出請輸入正確 e-mail 帳號的提示資訊。 4. 下方為 Juniper SA-6500 提供的 SSL-VPN Client 端軟體 啟動按鈕。
註 : 該縮寫,供連線單位自行命名
使用說明
1818
使用說明 Juniper SA-6500 登入畫面
1919
使用說明Juniper SA-6500 登入成功後畫面
2020
使用說明Juniper Network Connect 登入與執行畫面
2121
管理者介面Cisco ASA-5550 與 Juniper SA-6500 皆提供後端管理者介面供查詢
Cisco 查詢使用者 Log 畫面
2222
管理者介面
Juniper SA-6500 管理者端畫面
2323
SSL-VPN for iOS
Juniper SA-6500 管理者端畫面
2424
SSL-VPN for iOS
2525
Thanks請參閱相關網頁
http://noc.twaren.net/noc_2008/Services/SSLVPN/