1 / 25

國家高速網路與計算中心

國家高速網路與計算中心. TWAREN SSL-VPN 建置與使用說明. 報告人 : 林孟璋 6/10/2010. 大綱. 前言 TWAREN SSL-VPN 系統架構 Cisco ASA-5550 系統 Juniper SA-6500 系統 使用說明 管理者介面與 SSL-VPN for iOS. 前言. SSL-VPN使用時機 出差時,連回校內讀取圖書資源 (ex :電子期刊 ) ‏ 校本部與分校的校園網路連接 專屬網路建置 (ex :防災網路、 Native IPv6 網路 ) ‏

vivien-wade
Download Presentation

國家高速網路與計算中心

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 國家高速網路與計算中心 TWAREN SSL-VPN建置與使用說明 報告人: 林孟璋 6/10/2010

  2. 大綱 • 前言 • TWARENSSL-VPN系統架構 • CiscoASA-5550系統 • JuniperSA-6500系統 • 使用說明 • 管理者介面與SSL-VPNforiOS

  3. 前言 SSL-VPN使用時機 • 出差時,連回校內讀取圖書資源(ex:電子期刊)‏ • 校本部與分校的校園網路連接 • 專屬網路建置(ex:防災網路、Native IPv6 網路)‏ • 校園IP 不足時利用SSL-VPN 做IP 動態的分配 • …

  4. 前言 TWARENSSL-VPN建置日誌 • 2009/01CiscoASA-5550對外服務 系統由8 部Cisco ASA 5550 設備所組成,其中TWAREN 南科機房有6部,TWAREN 竹科機房有2 部,設定為Cluster 架構以提高系統之可用率。 • 2010/08JuniperSA-6500對外服務 為提升服務品質與日漸增加連線單位需求,新建置1 台可提供5000人使用之SA-6500,並提供良好的管理與設定介面。

  5. TWARENSSL-VPN系統架構

  6. 連線單位使用SSL-VPN服務-1 • RemoteUser先連入SSL-VPN輸入帳號密碼 • SSL-VPN將帳號密碼轉給校園認證server查詢 • 認證成功後Pass回給ASA 或SA • 認證成功透過DHCP Server取得學校IP • 透過VPLS連回學校 • 讀取學校圖書資源或透過TANet連往Internet 學校使用者 Internet Remote User TWAREN Backbone TANET SSL VPN 雙系統之一 POP 7609V 校園認證系統 VPLS TANET65 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server

  7. 連線單位使用SSL-VPN服務-2 • RemoteUser先連入SSL-VPN輸入帳號密碼 • SSL-VPN將帳號密碼轉給校園認證server查詢 • 認證成功後Pass回給ASA 或SA • 認證成功透過DHCP Server取得學校IP • 透過VPLS連回學校 • 讀取學校圖書資源或透過TANet連往Internet 學校使用者 Internet Remote User TWAREN Backbone TANET SSL VPN 雙系統之一 POP 7609V 校園認證系統 VPLS TANET65 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server

  8. 連線單位使用SSL-VPN服務-3 • RemoteUser先連入SSL-VPN輸入帳號密碼 • SSL-VPN將帳號密碼轉給校園認證server查詢 • 認證成功後Pass回給ASA 或SA • 透過VPLS連回學校 • 讀取學校圖書資源或透過TANet連往Internet 學校使用者 Internet Remote User TWAREN Backbone TANET SSL VPN 雙系統之一 POP 7609V 校園認證系統 VPLS TANET65 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server

  9. 連線單位使用SSL-VPN服務-4 • RemoteUser先連入SSL-VPN輸入帳號密碼 • SSL-VPN將帳號密碼轉給校園認證server查詢 • 認證成功後Pass回給ASA 或SA • 認證成功透過DHCP Server取得學校IP • 透過VPLS連回學校 • 讀取學校圖書資源或透過TANet連往Internet 學校使用者 Internet Remote User TWAREN Backbone TANET SSL VPN 雙系統之一 POP 7609V 校園認證系統 VPLS TANET65 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server

  10. 連線單位使用SSL-VPN服務-5 • RemoteUser先連入SSL-VPN輸入帳號密碼 • SSL-VPN將帳號密碼轉給校園認證server查詢 • 認證成功後Pass回給ASA 或SA • 認證成功透過DHCP Server取得學校IP • 透過VPLS連回學校 • 讀取學校圖書資源或透過TANet連往Internet 學校使用者 Internet Remote User TWAREN Backbone TANET SSL VPN 雙系統之一 校園認證系統 POP 7609V VPLS TANET65 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server

  11. 連線單位使用SSL-VPN服務-6 • RemoteUser先連入SSL-VPN輸入帳號密碼 • SSL-VPN將帳號密碼轉給校園認證server查詢 • 認證成功後Pass回給ASA 或SA • 認證成功透過DHCP Server取得學校IP • 透過VPLS連回學校 • 讀取學校圖書資源或透過TANet連往Internet 學校使用者 Internet Remote User TWAREN Backbone TANET SSL VPN 雙系統之一 POP 7609V 校園認證系統 VPLS TANET65 學校 學校所屬 骨幹路由器 802.1Q 802.1Q 圖書資源 7609V DHCP Server

  12. CiscoASA-5550系統 • 欲申請服務之單位,需具備不與全國無線漫遊之認證伺服器。 • 可接受多種之認證伺服器,例如Radius、LDAP 、 Tacacs+。 • CiscoASA-5550透過Cluster所組成,加強了容錯與提高了可用率。 • User 登入網址:https://sslvpn.twaren.net

  13. JuniperSA-6500系統 • Juniper SA6500系統透過了IVE(Instant Virtual Extranet)技術(註)提供了高穩定度的SSL-VPN環境平台。 • 亦可接受多種之認證伺服器,例如Radius、LDAP 、 AD/NT。 • 擁有後端的管理介面,供管理人員查詢。 • User登入網址:https://sslvpn9.twaren.net/xxx(xxx為學校縮寫) 註 The IVE is a hardened network operating system that acts as the platform for allJuniper Networks Secure Access products. These appliances provide a range ofenterprise-class scalability, high availability, and security features that extend secure, remote access to network resources.

  14. 使用說明 • CiscoASA-5550 1.登入網址https://sslvpn.twaren.net,輸入E-mail帳號、 密 碼。 2.登入成功,出現如下頁畫面,分別有Clientlessmode 與Tunnelmode工作選項。 3.Tunnelmode為執行Cisco所提供的SSL-VPNClient 應用程式AnyConnect,並取得學校所配置的IP。 4.Clientlessmode,不需使用者在其電腦上安裝Client 端 軟體,只要有瀏覽器的電腦就可以允許使用者存取 網路資源(例如FTP,RDP..)。 5.左邊為各種可執行之應用程式。

  15. 使用說明 CiscoASA-5550

  16. 使用說明 Tunnelmode,AnyConnect登入與執行時畫面

  17. 使用說明 • JuniperSA-6500 1.登入網址https://sslvpn9.twaren.net/xxx,輸入E-mail帳 號與密碼(xxxx為申請學校縮寫),以國網中心為例, 該縮寫為nchc(註),整個URL為https://sslvpn9.twaren.net/nchc 2.登入成功,出現如下畫面,第一次執行時,要求安 裝SSL-VPNClient端軟體NetworkConnect的相關步驟。 3.如果輸入不是nchc的帳號,會跳出請輸入正確e-mail 帳號的提示資訊。 4.下方為JuniperSA-6500提供的SSL-VPNClient端軟體 啟動按鈕。 註:該縮寫,供連線單位自行命名

  18. 使用說明 • JuniperSA-6500登入畫面

  19. 使用說明 JuniperSA-6500登入成功後畫面

  20. 使用說明 JuniperNetworkConnect 登入與執行畫面

  21. 管理者介面 CiscoASA-5550與JuniperSA-6500 皆提供後端管理者介面供查詢 Cisco 查詢使用者Log畫面

  22. 管理者介面 JuniperSA-6500管理者端畫面

  23. SSL-VPNforiOS JuniperSA-6500管理者端畫面

  24. SSL-VPNforiOS

  25. Thanks 請參閱相關網頁 http://noc.twaren.net/noc_2008/Services/SSLVPN/

More Related