[Dr.WoW] [No.43] Extension de Red-parte 2

96 0 0 0

4 Configuración de la extensión de red

La configuración del servicio de extensión de red se puede dividir en los siguientes pasos:

8. Crear un gateway virtual.

9. En el gateway virtual, cree y configure el método de autenticación para los usuarios remotos y configure la autorización de roles.

10. Configure el servicio de extensión de red.

La Figura 1-7 muestra la página de configuración detallada.

Figura 1-7 Configuración de la extensión de red

5627576989f0e.png

El servicio de extensión de red sólo requiere configurar dos segmentos de direcciones IP; hay pocos elementos a configurar, por lo que esto es muy simple. Sin embargo, la selección de estos dos segmentos de direcciones IP es complicada.

Parámetro 1: Alcance de la asignación para el pool de direcciones IP

En la sección teórica anterior, expliqué que después de que un usuario remoto permite la función de extensión de red, el gateway virtual asignará una dirección IP para la tarjeta de red virtual del usuario remoto, pero ¿de dónde viene esta dirección? Los lectores inteligentes probablemente ya han adivinado que esto es seleccionado aleatoriamente del pool de direcciones que estamos a punto de configurar.

Este pool de direcciones es designado unilateralmente por el administrador de la red. Al designar el pool de direcciones es importante prestar atención a la relación entre el segmento de red de este pool de direcciones y el segmento de la red interna. Si este segmento de dirección está configurado en la misma subred que el segmento de red interno 10.1.1.2 luego de que el usuario remoto obtenga esta dirección asignada por el gateway virtual, será como si el usuario remoto y el servidor de red interno estuvieran conectados por un switch de capa 2. Si el pool de direcciones y el servidor de red interno no están en el mismo segmento de red (en el ejemplo no están en el mismo segmento de red), entonces una ruta con una dirección de destino que es el segmento de red de direcciones (192.168.1.0) y una interfaz de salida que es una interfaz pública vinculada a Internet necesita ser configurada en el firewall. Esta ruta sólo se utiliza para determinar las relaciones entre las zonas de seguridad y no dirige el desvío de paquetes.

"[FW] ip route-static 192.168.1.0 255.255.255.0 GigabitEthernet0/0 / 2 1.1.1.2"

Además, si un servidor que asigna especialmente direcciones IP a los usuarios se ha configurado dentro de una empresa (como un servidor DHCP, un servidor de autenticación de terceros, etc.), esto será aceptable siempre y cuando el pool de direcciones utilizado en la extensión de red no conflicto con los segmentos de direcciones asignados por el servidor -cada uno puede asignar sus propias direcciones IP sin afectarse mutuamente.

Parámetro 2: Lista de segmentos de red internos accesibles

He dicho anteriormente que un usuario remoto que permite la extensión de la red puede acceder a todos los recursos IP en una red interna de la empresa, pero si esto es cierto, ¿por qué todavía hay un "segmento de red interna accesible"? Esto se hace en última instancia para el control, como si no configuramos este parámetro, los usuarios remotos por defecto podrán acceder a todos los recursos de la red interna; añadimos esta función para controlar con flexibilidad el alcance de acceso de los usuarios remotos.

Si configuramos o no este parámetro no sólo afecta el alcance al que los usuarios pueden acceder a la red interna de la empresa, sino que también afecta a otros estados de red para el usuario remoto.

l Si el "segmento de red interna accesible" se configura como 10.1.1.0 para la extensión de red, entonces el gateway virtual enviará una ruta detallada al PC del usuario remoto, con una dirección de destino que es el segmento de red interno 10.1.1.0 La interfaz saliente es la dirección de la tarjeta de gateway virtual (la dirección IP privada de la red interna de la empresa 192.168.1.1 obtenida por el usuario remoto)


C:\> route print

IPv4 Routing Table

===========================================================================

Active routes:

Network Destination           Netmask                     Gateway           Interface           Metric   

0.0.0.0        0.0.0.0              10.111.78.1   10.111.78.155    10

10.1.1.0         255.255.255.0       On-Link       192.168.1.1      1

10.1.1.255      255.255.255.255     On-Link        192.168.1.1      257


l  Si el parámetro "segmento de red interna accesible" no está configurado para la extensión de la red, ¿cómo sería la ruta del usuario remoto? En la siguiente tabla podemos ver que el gateway virtual ha enviado una ruta predeterminada al usuario remoto, y que la interfaz saliente es la dirección de la tarjeta de red virtual (la dirección IP privada de la red interna de la empresa 192.168.1.1 obtenida por el usuario remoto)


C:\> route print

IPv4 Routing Table

===========================================================================

Active Routes:

Network Destination      Netmask                   Gateway              Interface            Metric

0.0.0.0           0.0.0.0               On-Link         192.168.1.1       


No subestimes las diferencias entre los dos tipos de rutas mostradas justo arriba. Al configurar "el segmento de red interna accesible", el gateway virtual sólo emite una ruta a algunos segmentos de red interna de la empresa al usuario remoto, y esta ruta no afectará a otras rutas. Esto significa que si el usuario remoto quiere acceder a la red interna de la empresa, puede acceder a la red interna de la empresa, y si el usuario remoto quiere acceder a Internet, puede acceder a Internet, este tipo de acceso no se verá afectado en absoluto, lo que significa que el usuario puede lograr lo que se debe lograr.

Si optamos *****o configurar este parámetro, surgen problemas. Normalmente, la ruta de un usuario remoto para acceder a Internet es una ruta por defecto, pero ahora el gateway virtual está enviando otra ruta predeterminada, y esta ruta predeterminada enviada por el gateway virtual tiene la prioridad más alta (el conteo de hop es 1). Esto hará que la ruta predeterminada original del usuario remoto no sea válida, lo que significa que el usuario remoto no tendrá forma de acceder a Internet. Si el usuario remoto debe acceder a Internet, entonces sólo podrá desconectarse temporalmente de la conexión de extensión de red y luego volver a habilitar la extensión de red cuando desee acceder a la red interna. Por lo tanto, la elección del método de configuración de la extensión de red a elegir depende de las necesidades del usuario corporativo.

Se ha completado la configuración del servicio de extensión de red, y a continuación veremos cómo el usuario remoto debe utilizar la función de extensión de red para acceder a los recursos de red internos.

5 proceso de inicio de sesión

La función de extensión de red SSL VPN proporciona a los usuarios remotos dos tipos de rutas para acceder a la red interna ― uno utiliza el navegador IE y el otro utiliza un cliente de extensión de red independiente.

l  IE Browser.

a. El usuario remoto introduce la dirección de acceso del gateway virtual en la barra de direcciones del navegador de IE.

b. Después de que aparezca la interfaz de inicio de sesión del gateway virtual, se ingresan el nombre de usuario y la contraseña.

c. Usuarios que se han registrado con éxito puede ver la pestaña "extensión de red" en la página de recursos de la puerta de enlace virtual, y puede hacer clic en "Enable" en la extensión de red. Como se muestra en la Figura 1-8, el usuario remoto obtendrá la dirección IP de la red interna de la empresa asignada para ella por el gateway virtual, y de esta manera puede acceder directamente a los recursos de red interna de la empresa.

Figura 1-8 Ampliación de la red -iniciación



Al introducir los principios de encapsulación de paquetes, mencioné que el establecimiento de un túnel SSL VPN se divide en dos modos (transporte fiable y transporte rápido), y el modo predeterminado al establecer la VPN SSL tunnel entre el navegador IE y el gateway virtual es el modo de transporte rápido.

l  Cliente independiente

a. El usuario remoto descarga e instala el cliente independiente de la extensión de red

Después de que el usuario remoto se registra con éxito en el gateway virtual, luego hace clic en "opciones de usuario" en la esquina superior derecha de la interfaz, después de lo cual se puede ver el enlace de descarga del cliente de extensión de red, como se muestra en la Figura 1-9. La instalación es muy simple -todo lo que hay que hacer es seguir las instrucciones en un solo clic "Next."

Figura 1-9 Descargar el software del cliente de extensión de red

56275784a34df.png


La ventaja de utilizar el cliente independiente es que el cliente de extensión de red puede iniciar automáticamente cuando un dispositivo se enciende, y tiene una función que volver a conectar automáticamente cuando se pierde una conexión. Por otro lado, cuando se utiliza el método de navegador IE, el gateway virtual debe estar conectado a cada vez, lo que es relativamente engorroso.

b. Log in the virtual gateway.

Dirección: Dirección de puerta de enlace virtual

Nombre de usuario y contraseña: El nombre de usuario del gateway virtual y la contraseña asignada al usuario remoto por el administrador.

Como se muestra en la Figura 1-10, haciendo clic en "login", el usuario remoto puede acceder a los recursos de red internos de la misma manera que los usuarios internos de la red.

Figura 1-10 Iniciar sesión en virtual gateway

5627578fef53a.png


Cuando se utiliza el cliente independiente para establecer un túnel SSL VPN, se puede configurar el modo de establecimiento del túnel SSL VPN 's. En la interfaz de inicio de sesión, haga clic en "Opciones". "Una opción se puede hacer en" Tunnel Mode "para utilizar el modo de transporte fiable o el modo de transporte rápido. Dentro del modo Túnel también hay un" modo de autoadaptación ", lo que significa que el cliente seleccionará automáticamente si utiliza el modo de transporte fiable o el modo de transporte rápido para establecer el túnel de SSL VPN de acuerdo con las condiciones de la red.

Si la función de extensión de red ya ha sido habilitada, ¿cómo puede el usuario remoto determinar si su función de extensión de red está funcionando? Aquí se pueden utilizar dos métodos. En primer lugar, el comando ipconfig necesita ser utilizado para ver si el usuario remoto ha obtenido la dirección IP privada asignada por el gateway virtual. De acuerdo con el ejemplo anterior, si, después de la extensión de red habilitada, usted como usuario remoto obtiene una dirección IP dentro del segmento de red 192.168.1.0, luego felicitaciones! Ya se ha conectado con éxito a la red interna de la empresa.

El segundo método es que el usuario remoto pruebe y vea si pueden o no acceder a los recursos de la red interna de la empresa.

Con frecuencia encontramos la siguiente circunstancia: Un usuario remoto ya ha obtenido la dirección IP asignada por el gateway virtual, pero no puede acceder a los recursos de red internos. ¿Por qué es esto? Por lo general, hay dos razones por las que se produce este tipo de situaciones:

l  La primera es que el usuario remoto no tenía permisos de servicio para acceder a este recurso de red interna (por ejemplo, el personal de I + D que no tiene permisos para acceder al sistema financiero);

l  El segundo es que cuando configuramos la extensión de red, el segmento de red en el que se encuentra el recurso de red interno al que el usuario remoto desea acceder se encuentra no incluido en el "segmento de red interna accesible."

Estos dos problemas se resuelven fácilmente. O bien el usuario remoto se aplica al administrador de red para los permisos de servicio o el administrador de la red realiza una inspección en el firewall para confirmar si los recursos de red internos han sido agregados.


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión