j'ai compris

[Dr.WoW] [No.43] Network Extension-part 2

publié il y a  2020-3-31 22:31:13 27 0 0 0

4 Configuration de l'extension réseau

La configuration du service d'extension de réseau peut être divisée en plusieurs étapes:

8.          Créez une passerelle virtuelle.

9.          Sous la passerelle virtuelle, créez et configurez la méthode d'authentification pour les utilisateurs distants et configurez l'autorisation de rôle.

dix.       Configurez le service d'extension réseau.

La figure 1-7 montre la page de configuration détaillée.

Figure 1-7 Configuration de l'extension réseau


[Dr.WoW] [No.43] Extension de réseau - partie 2-1308879-1

Le service d'extension réseau nécessite uniquement la configuration de deux segments d'adresse IP; il y a peu d'éléments à configurer, c'est donc très simple. Cependant, la sélection de ces deux segments d'adresse IP est compliquée.

Paramètre 1: l'étendue de l'affectation du pool d'adresses IP

Dans la section théorique ci-dessus, j'ai expliqué qu'après qu'un utilisateur distant a activé la fonction d'extension réseau, la passerelle virtuelle attribuera une adresse IP pour la carte réseau virtuelle de l'utilisateur distant, mais d'où vient cette adresse? Les lecteurs intelligents ont probablement déjà deviné que cela est sélectionné au hasard dans le pool d'adresses que nous sommes sur le point de configurer.

Ce pool d'adresses est désigné unilatéralement par l'administrateur réseau. Lors de la désignation du pool d'adresses, il est important de faire attention à la relation entre le segment de réseau de ce pool d'adresses et le segment du réseau interne. Si ce segment d'adresse est configuré sur le même sous-réseau que le segment de réseau interne 10.1.1.2, après que l'utilisateur distant aura obtenu cette adresse attribuée par la passerelle virtuelle, ce sera comme si l'utilisateur distant et le serveur de réseau interne étaient connectés ensemble par un commutateur de couche deux ― l'utilisateur distant pourra accéder directement au serveur et il n'y aura donc aucun problème de routage. Si le pool d'adresses et le serveur de réseau interne ne sont pas dans le même segment de réseau ici (dans l'exemple, ils ne sont pas dans le même segment de réseau), alors un itinéraire avec une adresse de destination qui est le segment de réseau du pool d'adresses (192.168.1.0 ) et une interface sortante qui est une interface publique liée à Internet doit être configurée sur le pare-feu. Cette route est uniquement utilisée pour déterminer les relations entre les zones de sécurité et ne dirige pas le transfert de paquets .

[FW] ip route-static 192.168.1.0 255.255.255.0 GigabitEthernet0/0/2 1.1.1.2

De plus, si un serveur qui attribue spécialement des adresses IP aux utilisateurs a été configuré dans une entreprise (comme un serveur DHCP, un serveur d'authentification tiers, etc.), cela sera acceptable tant que le pool d'adresses utilisé dans l'extension réseau n'entre pas en conflit avec les segments d'adresses attribués par le serveur ― chacun peut attribuer ses propres adresses IP sans affecter les uns les autres.

Paramètre 2: une liste de segments de réseau interne accessible

J'ai indiqué ci-dessus qu'un utilisateur distant qui permet l'extension du réseau peut accéder à toutes les ressources IP d'un réseau interne de l'entreprise, mais si cela est vrai, pourquoi existe-t-il toujours un "segment de réseau interne accessible"? Ceci est finalement fait pour le contrôle, car si nous ne configurons pas ce paramètre, les utilisateurs distants par défaut pourront accéder à toutes les ressources sur le réseau interne; nous ajoutons cette fonction afin de contrôler de manière flexible la portée d'accès des utilisateurs distants.

Que nous configurions ou non ce paramètre affecte non seulement la portée à laquelle les utilisateurs peuvent accéder au réseau interne de l'entreprise, mais affecte également les autres statuts du réseau pour l'utilisateur distant.

l    Si le "segment de réseau interne accessible" est configuré comme 10.1.1.0 pour l'extension du réseau, la passerelle virtuelle enverra un itinéraire détaillé au PC de l'utilisateur distant, avec une adresse de destination qui est le segment de réseau interne 10.1.1.0. L'interface sortante est l'adresse de la carte de passerelle virtuelle ( l'adresse IP privée du réseau interne de l'entreprise 192.168.1.1 obtenue par l'utilisateur distant )

C:\> route print

 

IPv4 Routing Table

===========================================================================

Active routes:

Network Destination            Netmask                      Gateway            Interface            Metric   

0.0.0.0           0.0.0.0               10.111.78.1    10.111.78.155     10

10.1.1.0          255.255.255.0        On-Link         192.168.1.1       1

10.1.1.255       255.255.255.255      On-Link         192.168.1.1       257


l    Si le paramètre "segment de réseau interne accessible" n'est pas configuré pour l'extension du réseau, à quoi ressemblerait l'itinéraire de l'utilisateur distant? Dans le tableau ci-dessous, nous pouvons voir que la passerelle virtuelle a envoyé une route par défaut à l'utilisateur distant et que l'interface sortante est l'adresse de la carte réseau virtuelle (l'adresse IP privée du réseau interne de l'entreprise 192.168.1.1 obtenue par l'utilisateur distant)

C:\> route print

 

IPv4 Routing Table

===========================================================================

Active Routes:

Network Destination       Netmask                    Gateway                Interface             Metric

0.0.0.0           0.0.0.0               On-Link         192.168.1.1       1


Ne sous-estimez pas les différences entre les deux types d'itinéraires indiqués ci-dessus. Lors de la configuration du "segment de réseau interne accessible", la passerelle virtuelle émet uniquement un itinéraire vers certains segments de réseau interne de l'entreprise vers l'utilisateur distant, et cet itinéraire n'affectera pas les autres itinéraires. Cela signifie que si l'utilisateur distant veut accéder au réseau interne de l'entreprise, il / elle peut accéder au réseau interne de l'entreprise, et si l'utilisateur distant veut accéder à Internet, il / elle peut accéder à Internet ― ce type d'accès ne sera pas affecté du tout, ce qui signifie que l'utilisateur peut accomplir tout ce qui doit être accompli.

Si nous choisissons de ne pas configurer ce paramètre, des problèmes surviennent. Normalement, la route d'un utilisateur distant pour accéder à Internet est une route par défaut, mais maintenant la passerelle virtuelle envoie une autre route par défaut, et cette route par défaut envoyée par la passerelle virtuelle a la priorité la plus élevée (le nombre de sauts est 1). Cela rendra la route par défaut d'origine de l'utilisateur distant non valide, ce qui signifie que l'utilisateur distant n'aura aucun moyen d'accéder à Internet. Si l'utilisateur distant doit accéder à Internet, il ne peut se déconnecter que temporairement de la connexion d'extension réseau, puis réactiver l'extension réseau lorsqu'il souhaite accéder au réseau interne. Par conséquent, le choix de la méthode de configuration d'extension de réseau à choisir dépend des besoins de l'utilisateur d'entreprise.

La configuration du service d'extension réseau est terminée et nous verrons ci-dessous comment l'utilisateur distant doit utiliser la fonction d'extension réseau pour accéder aux ressources réseau internes.

5 Processus de connexion

La fonction d'extension de réseau SSL VPN fournit aux utilisateurs distants deux types de chemins d'accès au réseau interne: l'un utilise le navigateur IE et l'autre utilise un client d'extension réseau indépendant.

l    Navigateur IE

une.          L'utilisateur distant saisit l'adresse d'accès de la passerelle virtuelle dans la barre d'adresse du navigateur IE.

b.          Une fois l'interface de connexion de la passerelle virtuelle affichée, le nom d'utilisateur et le mot de passe sont entrés.

c.          Les utilisateurs qui se sont connectés avec succès peuvent voir l'onglet "extension réseau" sur la page des ressources de la passerelle virtuelle et peuvent cliquer sur "Activer" sous l'extension réseau. Comme le montre la figure 1-8 , l'utilisateur distant obtiendra l'adresse IP du réseau interne de l'entreprise qui lui a été attribuée par la passerelle virtuelle et peut ainsi accéder directement aux ressources du réseau interne de l'entreprise.

Figure 1-8 Extension réseau ― initiation


[Dr.WoW] [No.43] Extension de réseau - partie 2-1308879-2

Lors de l'introduction des principes d'encapsulation de paquets, j'ai mentionné que l'établissement d'un tunnel VPN SSL est divisé en deux modes (transport fiable et transport rapide), et le mode par défaut lors de l'établissement du tunnel VPN SSL entre le navigateur IE et la passerelle virtuelle est le mode de transport rapide.

l    Client indépendant

une.          L'utilisateur distant télécharge et installe le client indépendant de l'extension réseau

Une fois que l'utilisateur distant s'est connecté avec succès à la passerelle virtuelle, il / elle clique ensuite sur "Options utilisateur" dans le coin supérieur droit de l'interface, après quoi le lien de téléchargement du client d'extension réseau peut être vu, comme le montre la figure 1-9. . L'installation est très simple - tout ce qui doit être fait est de suivre les instructions en un seul clic sur "Suivant".

Figure 1-9 Téléchargement du logiciel client d'extension réseau


[Dr.WoW] [No.43] Extension de réseau - partie 2-1308879-3

L'avantage de l'utilisation du client indépendant est que le client d'extension réseau peut démarrer automatiquement lorsqu'un appareil s'allume et possède une fonction pour se reconnecter automatiquement lorsqu'une connexion est perdue. En revanche, lorsque vous utilisez la méthode du navigateur IE, la passerelle virtuelle doit être connectée à chaque fois, ce qui est relativement lourd.

b.          Connectez-vous à la passerelle virtuelle.

Adresse: adresse de passerelle virtuelle

Nom d'utilisateur et mot de passe: nom d'utilisateur et mot de passe de connexion à la passerelle virtuelle attribués à l'utilisateur distant par l'administrateur.

Comme le montre la figure 1-10 , un simple clic sur «connexion» permet à l'utilisateur distant d'accéder aux ressources réseau internes de la même manière que les utilisateurs réseau internes.

Figure 1-10 Connexion à la passerelle virtuelle


[Dr.WoW] [No.43] Extension de réseau - partie 2-1308879-4

Lorsque vous utilisez le client indépendant pour établir un tunnel SSL VPN, le mode d'établissement du tunnel SSL VPN peut être configuré. Sur l'interface de connexion, cliquez sur "Options". Un choix peut alors être fait en "Mode Tunnel" pour utiliser soit le mode de transport fiable soit le mode de transport rapide. Dans le mode tunnel, il existe également un "mode d'auto-adaptation", ce qui signifie que le client choisira automatiquement s'il faut utiliser le mode de transport fiable ou le mode de transport rapide pour établir le tunnel VPN SSL en fonction des conditions du réseau.

Si la fonction d'extension réseau a déjà été activée, comment l'utilisateur distant peut-il déterminer si sa fonction d'extension réseau fonctionne? Deux méthodes peuvent être utilisées ici. Tout d'abord, la commande ipconfig doit être utilisée pour vérifier si l'utilisateur distant a obtenu l'adresse IP privée attribuée par la passerelle virtuelle. Selon l'exemple ci-dessus, si, après l'extension du réseau est activé, vous en tant qu'utilisateur distant obtenez une adresse IP dans le segment de réseau 192.168.1.0, alors félicitations! Vous vous êtes déjà connecté avec succès au réseau interne de l'entreprise.

La deuxième méthode consiste pour l'utilisateur distant à tester et à voir s'il peut ou non accéder aux ressources du réseau interne de l'entreprise.

Nous rencontrons fréquemment la circonstance suivante: un utilisateur distant a déjà obtenu l'adresse IP attribuée par la passerelle virtuelle, mais ne peut pas accéder aux ressources réseau internes. Pourquoi est-ce? Il y a généralement deux raisons pour lesquelles ce genre de situation se produit:

l    La première est que l'utilisateur distant n'avait pas les autorisations de service pour accéder à cette ressource de réseau interne (par exemple, le personnel de R&D n'ayant pas les autorisations d'accéder au système financier);

l    La seconde est que lorsque nous avons configuré l'extension réseau, le segment de réseau dans lequel se trouvent les ressources réseau internes auxquelles l'utilisateur distant souhaite accéder n'était pas inclus dans le "segment de réseau interne accessible".

Ces deux problèmes sont facilement résolus. Soit l'utilisateur distant demande à l'administrateur réseau des autorisations de service, soit l'administrateur réseau effectue une inspection sur le pare-feu pour confirmer si les ressources réseau internes ont toutes été ajoutées.


Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici.


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.