防护墙使用rbm+ssl 组网,RBM使用主备模式同时需要两个业务地址,是两台墙各使用一个业务地址来做ssl vpn还是在给sslvpn分配两个网关。下面这样做可以嘛
interface LoopBack2000
ip address 1.1.1.254 255.255.255.255
interface LoopBack2001
ip address 1.1.1.255 255.255.255.255
sslvpn gateway gw1
ip address 1.1.1.254 port 10555
service enable
#
sslvpn gateway gw2
ip address 1.1.1.255 port 10555
service enable
sslvpn context njjs
gateway gw1
gateway gw2
(0)
最佳答案
你好,可以的
SSL VPN能到防火墙,说明基础SSL VPN配置没有问题,以下是排查要点,请参考:
1、检查拨号的终端是否能拿到SSL VPN网关分配的接口地址。
2、防火墙上的物理端口、SSL-AC1接口需要加入安全域并放通安全策略或域间策略。
3、进一步检查路由的发布或指向是否有问题。
4、以下是SSL VPN IP接入的配置参考命令,对比看下:
[SSL_VPN]acl advanced 3000
[SSL_VPN-acl-ipv4-adv-3000]rule 0 permit ip source any
[SSL_VPN-acl-ipv4-adv-3000]quit
[SSL_VPN]sslvpn ip address-pool weijianing 172.16.1.2 172.16.1.254
[SSL_VPN]int SSLVPN-AC 1
[SSL_VPN-SSLVPN-AC1]ip address 172.16.1.1 24
[SSL_VPN-SSLVPN-AC1]quit
[SSL_VPN]sslvpn gateway james
[SSL_VPN-sslvpn-gateway-james]ip address 192.168.200.200
[SSL_VPN-sslvpn-gateway-james]service enable
[SSL_VPN-sslvpn-gateway-james]quit
[SSL_VPN]sslvpn context james
[SSL_VPN-sslvpn-context-james]gateway james
[SSL_VPN-sslvpn-context-james]ip-tunnel address-pool weijianing mask 24
[SSL_VPN-sslvpn-context-james]ip-tunnel interface SSLVPN-AC 1
[SSL_VPN-sslvpn-context-james]ip-route-list james
[SSL_VPN-sslvpn-context-james-route-list-james]include 10.0.0.0 24
[SSL_VPN-sslvpn-context-james-route-list-james]quit
[SSL_VPN-sslvpn-context-james]policy-group ip
[SSL_VPN-sslvpn-context-james-policy-group-ip]filter ip-tunnel acl 3000
[SSL_VPN-sslvpn-context-james-policy-group-ip]ip-tunnel access-route ip-route-list james
[SSL_VPN-sslvpn-context-james-policy-group-ip]quit
[SSL_VPN-sslvpn-context-james]service enable
[SSL_VPN-sslvpn-context-james]quit
[SSL_VPN]local-user weijianing class network
New local user added.
[SSL_VPN-luser-network-weijianing]password simple weijianing
[SSL_VPN-luser-network-weijianing]service-type sslvpn
[SSL_VPN-luser-network-weijianing]authorization-attribute sslvpn-policy-group ip
[SSL_VPN-luser-network-weijianing]quit
[SSL_VPN]security-zone name Untrust
[SSL_VPN-security-zone-Untrust]import interface SSLVPN-AC 1
[SSL_VPN-security-zone-Untrust]quit
(0)
在RBM主备模式下,通常建议两个防火墙共享同一个业务地址,以确保在主备切换时,业务不会中断。对于SSL VPN业务,如果需要通过这两个防火墙进行访问,建议配置一个虚拟IP地址,作为SSL VPN服务的入口点,由RBM机制保证这个入口点的高可用性。
至于您提到的两个业务地址,理论上每台防火墙可以使用一个业务地址来提供SSL VPN服务,但这并不是传统的RBM主备模式,而更像是负载均衡或分裂流量的配置。这可能会增加配置的复杂性,并且需要确保用户可以正确地被引导到各自的防火墙。
如果您希望使用RBM主备模式,同时为SSL VPN提供两个不同的业务地址,您需要仔细考虑网络设计和流量引导策略,以确保在主备切换时不会影响用户的访问。通常,这种配置需要精心设计,以保证在防火墙主备切换时,用户可以无缝地转移到新的活动防火墙上。
在实际操作中,这可能涉及到DNS、负载均衡器或其他网络设备的配置,以确保流量被正确地引导到活动的防火墙。如果您不熟悉这种复杂的网络设计和配置,建议咨询专业的网络安全专家来确保配置的正确性和可靠性。
(1)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论