Déplacement 14: Comment puis-je configurer le fractionnement de tunnel pour VPN SSL?

Dernière réponse jul. 11, 2019 09:29:32 8 1 1 0

Déplacement 14: Comment puis-je configurer le fractionnement de tunnel pour VPN SSL? 
VPN fournit un service d’extension réseau. Les utilisateurs peuvent activer le service pour accéder aux ressources intranet de l'entreprise.Cependant, certains utilisateurs ont fait savoir qu'après avoir activé le service d'extension du réseau, ils ne pouvaient plus accéder à Internet.Comment cela peut-il arriver? 
Avant d’expliquer la cause de ce problème, le Dr WoW a introduit un concept, à savoir le fractionnement de tunnels. Qu'est-ce que le fractionnement de tunnel? La scission de tunnel est un scénario d'application de VPN. Avec la fonction de fractionnement de tunnel, les utilisateurs peuvent accéder à Internet et au réseau local local lorsqu'ils accèdent à l'intranet d'entreprise distant via des tunnels VPN. Avec ce concept à l'esprit, vous savez maintenant que le problème se produit dans le scénario de fractionnement de tunnel VPN SSL. SSL VPN prend-il en charge le scénario de fractionnement de tunnel (qu'un type de VPN prenne en charge le fractionnement de tunnel dépend-il des produits)? Oui. Le problème est dû à une configuration incorrecte. 

Exemple 

La figure suivante illustre le scénario de fractionnement de tunnel VPN SSL. Les utilisateurs s'attendent à accéder à différentes ressources après avoir activé l'expansion du réseau. Comment pouvons-nous configurer le service d'extension du réseau pour répondre à cette exigence? 

Le service d'extension réseau de SSL VPN fournit trois modes de routage: le mode manuel, le mode divisé et le mode de routage complet. Une fois que l'expansion du réseau est activée, le pare-feu envoie les itinéraires aux utilisateurs de la branche en fonction du mode de routage configuré. Le mode de routage détermine l'étendue des ressources accessibles aux utilisateurs. Le tableau suivant répertorie les mappages des modes de routage et des ressources accessibles: Dans l'exemple suivant, supposons que l'adresse IP obtenue par l'utilisateur auprès du pare-feu est 6.6.6.1/24 (adresse IP de la carte réseau virtuelle) et l'adresse du saut suivant. de l'itinéraire est 192.168.1.2. 


Mode de routageCommander 

Route générée côté utilisateur 

Services accessibles 

Mode manuel 

network-extension mode manual


network-extension manual-route 10.1.1.0 255.255.255.0


Lorsque le mode manuel est sélectionné, le segment Intranet auquel l'utilisateur doit accéder doit être spécifié. 



Comme le montre la figure 1 , les informations de routage précédentes montrent que seul le trafic à destination du siège est acheminé vers la carte réseau virtuelle 6.6.6.1 et entre dans le tunnel SSL VPN. Les itinéraires vers Internet et le réseau local restent inchangés. 


Les utilisateurs peuvent accéder simultanément au réseau local, à Internet et à l'intranet d'entreprise. 

Mode Split

network-extension mode split  



Comme le montre la figure 2 , les informations de routage précédentes montrent que l'adresse IP de l'interface sortante de la route par défaut est remplacée par l'adresse IP de la carte réseau virtuelle et que les utilisateurs ne peuvent pas accéder à Internet. Comme la route vers le réseau local reste inchangée, les utilisateurs peuvent toujours accéder au réseau local. 

Les utilisateurs peuvent uniquement accéder au réseau local et à l'intranet de l'entreprise, mais ne peuvent pas accéder à Internet. 

Mode route complète 

network-extension mode full  



Comme le montre la figure 3 , les adresses IP des interfaces sortantes de presque toutes les routes sont remplacées par l'adresse IP de la carte réseau virtuelle, ce qui signifie que tout le trafic des utilisateurs entre dans le tunnel VPN SSL. L'itinéraire vers 192.168.2.0 (réseau local) existe toujours dans la table de routage. Le coût de cette route étant de 11, mais le coût de la route fournie par le pare-feu est de 1. Par conséquent, la route vers 192.168.2.0 ne prend pas effet. 

Les utilisateurs peuvent uniquement accéder à l'intranet de l'entreprise, mais ne peuvent pas accéder au réseau local ni à Internet. 


Le mode divisé est utilisé par défaut, ce qui entraîne une défaillance de l'accès à Internet. Pour résoudre ce problème, modifiez le mode de routage en mode manuel. 

Précautions 

Le service d’extension du réseau étant doté d’une fonction de protection des itinéraires, vous ne pouvez pas modifier les itinéraires fournis par le pare-feu. Même si vous avez effectué un changement, celui-ci ne prend pas effet. Pour modifier un itinéraire dans la table de routage d'un PC, désactivez l'extension du réseau, puis modifiez l'itinéraire. 
Figure 1:


Figure 2: 

Figure 3: 


  • x
  • Standard:

Adham_mostafa publié il y a 7 jours plus tôt Utile(0) Utile(0)
Description très détaillée
Merci!
  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page