TWAREN SSL-VPN建置與使用說明 國家高速網路與計算中心 TWAREN SSL-VPN建置與使用說明 報告人: 林孟璋 6/10/2010
大綱 前言 TWAREN SSL-VPN系統架構 Cisco ASA-5550系統 Juniper SA-6500系統 使用說明 管理者介面與SSL-VPN for iOS
前言 SSL-VPN使用時機 出差時,連回校內讀取圖書資源(ex:電子期刊) 校本部與分校的校園網路連接 專屬網路建置(ex:防災網路、Native IPv6 網路) 校園IP 不足時利用SSL-VPN 做IP 動態的分配 …
前言 TWAREN SSL-VPN建置日誌 2009/01 Cisco ASA-5550對外服務 系統由8 部Cisco ASA 5550 設備所組成,其中TWAREN 南科機房有6部,TWAREN 竹科機房有2 部,設定為Cluster 架構以提高系統之可用率。 2010/08 Juniper SA-6500對外服務 為提升服務品質與日漸增加連線單位需求,新建置1 台可提供5000人使用之SA-6500,並提供良好的管理與設定介面。
TWAREN SSL-VPN系統架構
連線單位使用SSL-VPN服務-1 VPLS RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給校園認證server查詢 認證成功後Pass回給ASA 或SA 認證成功透過DHCP Server取得學校IP 透過VPLS連回學校 讀取學校圖書資源或透過TANet連往Internet 學校使用者 Internet Remote User TWAREN Backbone TANET SSL VPN 雙系統之一 POP 7609V VPLS 校園認證系統 TANET65 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server
連線單位使用SSL-VPN服務-2 VPLS RemoteUser先連入SSL-VPN輸入帳號密碼 學校使用者 SSL-VPN將帳號密碼轉給校園認證server查詢 認證成功後Pass回給ASA 或SA 認證成功透過DHCP Server取得學校IP 透過VPLS連回學校 讀取學校圖書資源或透過TANet連往Internet 學校使用者 Internet Remote User TWAREN Backbone TANET SSL VPN 雙系統之一 POP 7609V VPLS 校園認證系統 TANET65 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server
連線單位使用SSL-VPN服務-3 VPLS RemoteUser先連入SSL-VPN輸入帳號密碼 學校使用者 SSL-VPN將帳號密碼轉給校園認證server查詢 認證成功後Pass回給ASA 或SA 透過VPLS連回學校 讀取學校圖書資源或透過TANet連往Internet 學校使用者 Internet Remote User TWAREN Backbone TANET SSL VPN 雙系統之一 POP 7609V VPLS 校園認證系統 TANET65 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server
連線單位使用SSL-VPN服務-4 VPLS RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給校園認證server查詢 認證成功後Pass回給ASA 或SA 認證成功透過DHCP Server取得學校IP 透過VPLS連回學校 讀取學校圖書資源或透過TANet連往Internet 學校使用者 Internet Remote User TWAREN Backbone TANET SSL VPN 雙系統之一 POP 7609V VPLS 校園認證系統 TANET65 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server
連線單位使用SSL-VPN服務-5 VPLS RemoteUser先連入SSL-VPN輸入帳號密碼 學校使用者 SSL-VPN將帳號密碼轉給校園認證server查詢 認證成功後Pass回給ASA 或SA 認證成功透過DHCP Server取得學校IP 透過VPLS連回學校 讀取學校圖書資源或透過TANet連往Internet 學校使用者 Internet Remote User TWAREN Backbone TANET SSL VPN 雙系統之一 POP 7609V 校園認證系統 VPLS TANET65 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server
連線單位使用SSL-VPN服務-6 VPLS RemoteUser先連入SSL-VPN輸入帳號密碼 SSL-VPN將帳號密碼轉給校園認證server查詢 認證成功後Pass回給ASA 或SA 認證成功透過DHCP Server取得學校IP 透過VPLS連回學校 讀取學校圖書資源或透過TANet連往Internet 學校使用者 Internet Remote User TWAREN Backbone TANET SSL VPN 雙系統之一 POP 7609V VPLS 校園認證系統 TANET65 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server
Cisco ASA-5550系統 欲申請服務之單位,需具備不與全國無線漫遊之認證伺服器。 可接受多種之認證伺服器,例如Radius、LDAP 、 Tacacs+。 Cisco ASA-5550透過Cluster所組成,加強了容錯與提高了可用率。 User 登入網址:https://sslvpn.twaren.net
Juniper SA-6500系統 Juniper SA6500系統透過了IVE(Instant Virtual Extranet)技術(註)提供了高穩定度的SSL-VPN環境平台。 亦可接受多種之認證伺服器,例如Radius、LDAP 、 AD/NT。 擁有後端的管理介面,供管理人員查詢。 User登入網址:https://sslvpn9.twaren.net/xxx (xxx為學校縮寫) 註 The IVE is a hardened network operating system that acts as the platform for all Juniper Networks Secure Access products. These appliances provide a range of enterprise-class scalability, high availability, and security features that extend secure, remote access to network resources.
使用說明 Cisco ASA-5550 1.登入網址https://sslvpn.twaren.net,輸入E-mail帳號、 密 碼。 2.登入成功,出現如下頁畫面,分別有Clientless mode 與Tunnel mode工作選項。 3.Tunnel mode為執行Cisco所提供的SSL-VPN Client 應用程式AnyConnect,並取得學校所配置的IP。 4.Clientless mode,不需使用者在其電腦上安裝Client 端 軟體,只要有瀏覽器的電腦就可以允許使用者存取 網路資源(例如FTP,RDP..)。 5.左邊為各種可執行之應用程式。
使用說明 Cisco ASA-5550
使用說明 Tunnel mode,AnyConnect登入與執行時畫面
使用說明 Juniper SA-6500 1.登入網址https://sslvpn9.twaren.net/xxx,輸入E-mail帳 號與密碼(xxxx為申請學校縮寫),以國網中心為例, 該縮寫為nchc(註),整個URL為https://sslvpn9.twaren.net/nchc 2.登入成功,出現如下畫面,第一次執行時,要求安 裝SSL-VPN Client端軟體Network Connect的相關步驟。 3.如果輸入不是nchc的帳號,會跳出請輸入正確e-mail 帳號的提示資訊。 4.下方為Juniper SA-6500提供的SSL-VPN Client端軟體 啟動按鈕。 註:該縮寫,供連線單位自行命名
使用說明 Juniper SA-6500登入畫面
使用說明 Juniper SA-6500登入成功後畫面
使用說明 Juniper Network Connect 登入與執行畫面
管理者介面 Cisco ASA-5550與Juniper SA-6500 皆提供後端管理者介面供查詢 Cisco 查詢使用者Log畫面
管理者介面 Juniper SA-6500管理者端畫面
SSL-VPN for iOS Juniper SA-6500管理者端畫面
SSL-VPN for iOS
Thanks 請參閱相關網頁 http://noc.twaren.net/noc_2008/Services/SSLVPN/