SSL VPN: 网络扩展

SSL VPN: 网络扩展
FW通过网络扩展业务，在虚拟网关与远程用户之间建立安全的SSL VPN隧道，将用户连接到企业内网，实现对企业IP业务的全面访问。
网络扩展业务交互流程
远程用户使用网络扩展功能访问内网资源时，其内部交互过程如图所示。
网络扩展业务交互流程

（1）远程用户通过Web浏览器登录虚拟网关。
（2）成功登录虚拟网关后启动网络扩展功能。
启动网络扩展功能，会触发以下几个动作：
远程用户与虚拟网关之间会建立一条SSL VPN隧道。 远程用户本地PC会自动生成一个虚拟网卡。虚拟网关从地址池中随机选择一个IP地址，分配给远程用户的虚拟网卡，该地址作为远程用户与企业内网Server之间通信之用。有了该私网IP地址，远程用户就如同企业内网用户一样可以方便访问内网IP资源。
虚拟网关向远程用户下发到达企业内网Server的路由信息。
虚拟网关会根据网络扩展业务中的配置，向远程用户下发不同的路由信息。
（3）远程用户向企业内网的Server发送业务请求报文，该报文通过SSL VPN隧道到达虚拟网关。
（4）虚拟网关收到报文后进行解封装，并将解封装后的业务请求报文发送给内网Server。
（5）内网Server响应远程用户的业务请求。
（6）响应报文到达虚拟网关后进入SSL VPN隧道。
远程用户收到业务响应报文后进行解封装，取出其中的业务响应报文。

网络扩展报文封装过程
网络扩展功能建立SSL VPN隧道的方式有两种：可靠传输模式和快速传输模式。可靠传输模式中，SSL VPN采用SSL协议封装报文，并以TCP协议作为传输协议；快速传输模式中，SSL VPN采用UDP协议作为传输协议。
可靠性传输模式下的报文封装
图2是采用可靠性传输模式进行报文封装的过程。从图中可以看出，远程用户与企业内网Server（图中以远程用户访问SIP Server为例）之间通信的源地址（SRC：192.168.1.1）就是它虚拟网卡的IP地址。期间的报文交互经过往复的加解密之后安全到达通信双方。远程用户访问SIP Server时，内层报文的源端口是5880（随机），目的端口是5060，传输协议基于UDP。外层报文采用的封装协议是SSL，传输协议是TCP。
图2 可靠性传输模式下报文封装过程

快速传输模式下的报文封装
图3是采用快速传输模式进行报文封装的过程。该模式下报文的封装原理和可靠性模式下报文封装原理是一样的，只是传输协议由TCP改为了UDP。
图3 快速传输模式下报文封装过程

VPN配置案例汇总、VPN汇总（列表、list、全）vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html