看14頁 ssl-vpn-20101006

國家高速網路與計算中心

TWAREN SSL-VPN建置與使用說明

報告人: 林孟璋 6/10/2010

2

大綱

前言

TWAREN SSL-VPN系統架構

Cisco ASA-5550系統

Juniper SA-6500系統

使用說明

管理者介面與SSL-VPN for iOS

3

前言

SSL-VPN使用時機

出差時，連回校內讀取圖書資源(ex：電子期刊)‏

校本部與分校的校園網路連接

專屬網路建置(ex：防災網路、Native IPv6 網路)‏

校園IP 不足時利用SSL-VPN 做IP 動態的分配

…

4

前言

TWAREN SSL-VPN建置日誌

2009/01 Cisco ASA-5550對外服務系統由8 部Cisco ASA 5550 設備所組成，其中TWAREN 南科機房有6部，TWAREN 竹科機房有2 部，設定為Cluster 架構以提高系統之可用率。

2010/08 Juniper SA-6500對外服務

為提升服務品質與日漸增加連線單位需求，新建置1 台可提供5000

人使用之SA-6500，並提供良好的管理與設定介面。

5

TWAREN SSL-VPN系統架構

VPLS

Domain

Internet

ASA-3

ASA-4

ASA57

ASA-6

TN

TN-7609V TN-7609P

TWAREN

Backbone

POP-7609V

大學VPN

Outside(VL

AN700)

Inside(Trun

king

身分認證系統

User

ASA-2

ASA-1

DHCP

Server

Gi8/13

Gi2/16

SA-6500

TN-3750M3

6

連線單位使用SSL-VPN服務-1

SSL VPN

雙系統之一

VPLSPOP

7609V

Internet

Remote

User

TWAREN

Backbone

7609V DHCP

Server

802.1Q

學校

圖書資源

學校所屬骨幹路由器

802.1Q

TANET

TANET65

學校使用者1. RemoteUser先連入SSL-VPN輸入帳

號密碼2. SSL-VPN將帳號密碼轉給校園認證

server查詢3. 認證成功後Pass回給ASA 或SA

4. 認證成功透過DHCP Server取得學校IP

5. 透過VPLS連回學校6. 讀取學校圖書資源或透過TANet連往

Internet

校園認證系統

7


VPLSPOP

7609V校園認證系統

Internet

Remote

User

TWAREN

Backbone

7609V DHCP

Server

802.1Q

學校

圖書資源


802.1Q

TANET

TANET65






InternetSSL VPN

雙系統之一

8


SSL VPN

雙系統之一

VPLSPOP

7609V

Internet

Remote

User

TWAREN

Backbone

7609V DHCP

Server

802.1Q

學校

圖書資源


802.1Q

TANET

TANET65





Internet

校園認證系統

9


VPLSPOP

7609V

Internet

Remote

User

TWAREN

Backbone

7609V DHCP

Server

802.1Q

學校

圖書資源


802.1Q

TANET

TANET65






Internet

校園認證系統

SSL VPN

雙系統之一

10


SSL VPN

雙系統之一

VPLSPOP

7609V

Internet

Remote

User

TWAREN

Backbone

7609V DHCP

Server

802.1Q

學校

圖書資源


802.1Q

TANET

TANET65






Internet

校園認證系統

11


SSL VPN

雙系統之一

VPLSPOP

7609V

Internet

Remote

User

TWAREN

Backbone

7609V DHCP

Server

802.1Q

學校

圖書資源


802.1Q

TANET

TANET65






Internet

校園認證系統

12

Cisco ASA-5550系統

1. 欲申請服務之單位，需具備不與全國無線漫遊之認證伺服器。2. 可接受多種之認證伺服器，例如Radius、LDAP 、 Tacacs+。3. Cisco ASA-5550透過Cluster所組成，加強了容錯與提高了可用率。4. User 登入網址:https://sslvpn.twaren.net

13

Juniper SA-6500系統

1. Juniper SA6500系統透過了IVE(Instant Virtual Extranet)技術(註)提供了高穩定度的SSL-VPN環境平台。

2. 亦可接受多種之認證伺服器，例如Radius、LDAP 、 AD/NT。3. 擁有後端的管理介面，供管理人員查詢。4. User登入網址:https://sslvpn9.twaren.net/xxx (xxx為學校縮寫)

The IVE is a hardened network operating system that acts as the platform for all Juniper

Networks Secure Access products. These appliances provide a range of enterprise-class scalability,

high availability, and security features that extend

secure, remote access to network resources.

註

14

使用說明 Cisco ASA-5550

1.登入網址https://sslvpn.twaren.net，輸入E-mail帳號、

密碼。

2.登入成功，出現如下頁畫面，分別有Clientless mode

與Tunnel mode工作選項。

3.Tunnel mode為執行Cisco所提供的SSL-VPN Client

應用程式AnyConnect，並取得學校所配置的IP。

4.Clientless mode，不需使用者在其電腦上安裝Client 端

軟體，只要有瀏覽器的電腦就可以允許使用者存取

網路資源(例如FTP,RDP..)。

5.左邊為各種可執行之應用程式。

https://sslvpn.twaren.net/

15

使用說明Cisco ASA-5550

16

使用說明Tunnel mode，AnyConnect登入與執行時畫面

17

Juniper SA-6500

1.登入網址https://sslvpn9.twaren.net/xxx，輸入E-mail帳

號與密碼(xxxx為申請學校縮寫)，以國網中心為例，

該縮寫為nchc(註)，整個URL為https://sslvpn9.twaren.net/nchc

2.登入成功，出現如下畫面，第一次執行時，要求安

裝SSL-VPN Client端軟體Network Connect的相關步驟。

3.如果輸入不是nchc的帳號，會跳出請輸入正確e-mail

帳號的提示資訊。

4.下方為Juniper SA-6500提供的SSL-VPN Client端軟體

啟動按鈕。

註:該縮寫，供連線單位自行命名

使用說明

https://sslvpn9.twaren.net/xxx

18

使用說明 Juniper SA-6500登入畫面

19

使用說明Juniper SA-6500登入成功後畫面

20

使用說明

Juniper Network Connect 登入與執行畫面

21

管理者介面Cisco ASA-5550與Juniper SA-6500 皆提供後端管理者介面供查詢

Cisco 查詢使用者Log畫面

22

管理者介面

Juniper SA-6500管理者端畫面

23

SSL-VPN for iOS

Juniper SA-6500管理者端畫面

24

SSL-VPN for iOS

25

Thanks請參閱相關網頁

http://noc.twaren.net/noc_2008/Services/SSLVPN/

看14頁 ssl-vpn-20101006

Documents