SSL-VPN 使用者手册
SSL-VPN 使用者手册
撰写人 覆核人 目的 范围 注意事项
廖威捷
撰写日期
2009/01/06
版次
2.1
提供 SSL-VPN 使用者如何使用本中心提供之 SSL-VPN 服务 使用 TWAREN SSL-VPN 之使用者
SSL-VPN 操作手册 1.使用目的 台湾高品质学术研究网(TaiWan Advanced Research and Education Network, TWAREN)为提升国内学术研究水准及规模,TWAREN 特提供专属之 SSL-VPN 服务.SSL-VPN 可针对不同的帐号认证,提供不同的 VPN 网连结,提供学研 界使用者可於不在单位时,仍可透过 SSL-VPN 接取服务连回校园网或工作单 位使用内部资源. 2.系统架构 SSL VPN 接取系统由 8 部 Cisco ASA 5550 设备所组成,其中 TWAREN 南科 机房有 6 部,TWAREN 竹科机房有 2 部,设定为 Cluster 架构以提高系统之处 能与确保高可用,对外连接 TWAREN 骨干网以通往 Internet,对内则连接 VPLS 网以通往 12 个 GigaPOP 点,使全国各大学之使用者在校外得以透过 Internet 连接至本 SSL VPN 接取设备后,连回校内存取相关资源,并可确保其资 传输受到加密保护.使用者经认证成功后,将依照使用者所属之学校分别给予 不同之权限,并将其导入 VPLS 对应之 Vlan 使得以通往该校.
以下为 SSL-VPN 系统架构图:
HC
SSLVPN-7
User DHCP Server
SSLVPN-8
Vlan TN
SSLVPN-1
HC-7609V
HC-7609P
Internet
SSLVPN-2
VPLS Domain
TWAREN Backbone
SSLVPN-3
SSLVPN-4
Vlan
TN-7609V TN-7609P
SSLVPN-5
POP-7609V
SSLVPN-6
Outside
DHCP Server
University VPN
Inside
2-1 运作方式 当有部以上同网段的 Cisco ASA 或 VPN Concentrator 设备同时服务远端 SSL 或 IPSec 用户时,就可以将之建构为 VPN Load Balancing Cluster 架构,藉由 Cluster 自动分配负载用户以提升整体 VPN 服务之效能及达成高可用之目 的. VPN Cluster 群组中每一部 ASA 5550 会设定其优先权,最高者将担任 Cluster Master 的角色 负责监控 Cluster 中所有 ASA 5550 的忙程以作为 VPN , 分配的依据,并把导给 Cluster 中负载最低之设备.当原本担任 Master 之设备故障时,优先权第二高之 ASA 将接手担任 Master 以确保 Load Balancing 能继续运作.而 Cluster 中非担任 Master 之设备故障时,Master 就只会把分 配给另外几部正常运作中之设备 (包含 Master 本身). 当远端使用者连结至 Virtual Cluster IP (如图,203.145.201.1)时,Master
将会把目前 Cluster 内负载最低的设备之 Outside IP (如图,第三部之 Outside IP 为 203.145.201.4)回应给远端使用者,而后使用者将直接连结此 IP 建议连线. 以下为使用者与 SSL-VPN 系统建立连线时之示意图:
.2 .3
Virtual Cluster IP Address: 203.145.201.1
Client requests connection to 203.145.201.1 .4 Virtual cluster master responds with 203.145.201.4 .5 .6 Client requests IPSec/SSL session to 203.145.201.4
Internet
.7 .8 .9

下一页