问

防火墙SSL+RBM组网

SSL VPN

2024-09-14提问

0关注
0收藏，552浏览

zhiliao_RXQVAw

zhiliao_RXQVAw 四段

粉丝：0人关注：0人

问题描述：

防护墙使用rbm+ssl 组网，RBM使用主备模式同时需要两个业务地址，是两台墙各使用一个业务地址来做ssl vpn还是在给sslvpn分配两个网关。下面这样做可以嘛

组网及组网描述：

interface LoopBack2000

ip address 1.1.1.254 255.255.255.255

interface LoopBack2001

ip address 1.1.1.255 255.255.255.255

sslvpn gateway gw1

ip address 1.1.1.254 port 10555

service enable

sslvpn gateway gw2

ip address 1.1.1.255 port 10555

service enable

sslvpn context njjs

gateway gw1

gateway gw2

最佳答案

无名之辈

无名之辈九段

粉丝：222人关注：0人

你好，可以的

SSL VPN能到防火墙，说明基础SSL VPN配置没有问题，以下是排查要点，请参考：

1、检查拨号的终端是否能拿到SSL VPN网关分配的接口地址。

2、防火墙上的物理端口、SSL-AC1接口需要加入安全域并放通安全策略或域间策略。

3、进一步检查路由的发布或指向是否有问题。

4、以下是SSL VPN IP接入的配置参考命令，对比看下：

[SSL_VPN]acl advanced 3000

[SSL_VPN-acl-ipv4-adv-3000]rule 0 permit ip source any

[SSL_VPN-acl-ipv4-adv-3000]quit

[SSL_VPN]sslvpn ip address-pool weijianing 172.16.1.2 172.16.1.254

[SSL_VPN]int SSLVPN-AC 1

[SSL_VPN-SSLVPN-AC1]ip address 172.16.1.1 24

[SSL_VPN-SSLVPN-AC1]quit

[SSL_VPN]sslvpn gateway james

[SSL_VPN-sslvpn-gateway-james]ip address 192.168.200.200

[SSL_VPN-sslvpn-gateway-james]service enable

[SSL_VPN-sslvpn-gateway-james]quit

[SSL_VPN]sslvpn context james

[SSL_VPN-sslvpn-context-james]gateway james

[SSL_VPN-sslvpn-context-james]ip-tunnel address-pool weijianing mask 24

[SSL_VPN-sslvpn-context-james]ip-tunnel interface SSLVPN-AC 1

[SSL_VPN-sslvpn-context-james]ip-route-list james

[SSL_VPN-sslvpn-context-james-route-list-james]include 10.0.0.0 24

[SSL_VPN-sslvpn-context-james-route-list-james]quit

[SSL_VPN-sslvpn-context-james]policy-group ip

[SSL_VPN-sslvpn-context-james-policy-group-ip]filter ip-tunnel acl 3000

[SSL_VPN-sslvpn-context-james-policy-group-ip]ip-tunnel access-route ip-route-list james

[SSL_VPN-sslvpn-context-james-policy-group-ip]quit

[SSL_VPN-sslvpn-context-james]service enable

[SSL_VPN-sslvpn-context-james]quit

[SSL_VPN]local-user weijianing class network

New local user added.

[SSL_VPN-luser-network-weijianing]password simple weijianing

[SSL_VPN-luser-network-weijianing]service-type sslvpn

[SSL_VPN-luser-network-weijianing]authorization-attribute sslvpn-policy-group ip

[SSL_VPN-luser-network-weijianing]quit

[SSL_VPN]security-zone name Untrust

[SSL_VPN-security-zone-Untrust]import interface SSLVPN-AC 1

[SSL_VPN-security-zone-Untrust]quit

暂无评论

2 个回答

按时间按赞数

zhiliao_v6hOyc

zhiliao_v6hOyc 五段

粉丝：3人关注：2人

在RBM主备模式下，通常建议两个防火墙共享同一个业务地址，以确保在主备切换时，业务不会中断。对于SSL VPN业务，如果需要通过这两个防火墙进行访问，建议配置一个虚拟IP地址，作为SSL VPN服务的入口点，由RBM机制保证这个入口点的高可用性。

至于您提到的两个业务地址，理论上每台防火墙可以使用一个业务地址来提供SSL VPN服务，但这并不是传统的RBM主备模式，而更像是负载均衡或分裂流量的配置。这可能会增加配置的复杂性，并且需要确保用户可以正确地被引导到各自的防火墙。

如果您希望使用RBM主备模式，同时为SSL VPN提供两个不同的业务地址，您需要仔细考虑网络设计和流量引导策略，以确保在主备切换时不会影响用户的访问。通常，这种配置需要精心设计，以保证在防火墙主备切换时，用户可以无缝地转移到新的活动防火墙上。

在实际操作中，这可能涉及到DNS、负载均衡器或其他网络设备的配置，以确保流量被正确地引导到活动的防火墙。如果您不熟悉这种复杂的网络设计和配置，建议咨询专业的网络安全专家来确保配置的正确性和可靠性。