SSL VPN网络扩展三种路由模式下在终端生成的路由有什么区别
https://support.huawei.com/enterprise/zh/doc/EDOC1000160160/5da513e1
SSL VPN的网络扩展服务提供三种路由模式:手动路由模式、分离路由模式和全路由模式。
启用网络扩展后,防火墙根据配置的路由模式向分支机构的用户推送路由。路由模式决定了用户可以访问的资源范围。
假设用户从防火墙获取的IP地址为6.6.6.1/24(虚拟网卡的IP地址),路由的下一跳地址为192.168.1.2。
手动路由模式
命令 | 用户侧生成的路由 | 接入服务 | |
|---|---|---|---|
手动路由模式 | network-extension mode manual network-extension manual-route 10.1.1.0 255.255.255.0 选择手动路由模式时,必须指定用户访问的Intranet网段。 | 只有到总部(10.1.1.0/24)的流量进入虚拟网卡6.6.6.1,并进入SSL VPN隧道。到Internet和LAN的路由保持不变。 | 用户可以同时访问LAN、Internet和企业内网。 |
IPv4 Route Table =================================================================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.2 192.168.1.2 10 //访问Internet的路由 6.6.6.1 255.255.255.255 On-link 6.6.6.1 257 10.1.1.0 255.255.255.0 On-link 6.6.6.1 1 //访问企业内网的路由 10.1.1.255 255.255.255.255 On-link 6.6.6.1 257 192.168.2.0 255.255.255.0 192.168.1.2 192.168.1.2 11 //访问局域网的路由 ===================================================================================================================
分离路由模式
路由模式 | 命令 | 用户侧生成的路由 | 接入服务 |
|---|---|---|---|
分离路由模式 | network-extension mode split | 默认路由的出接口IP地址被修改为虚拟网卡的IP地址,用户无法访问Internet。由于到本地局域网的路由保持不变,用户仍然可以访问LAN。 | 用户只能访问LAN和企业内网,不能访问Internet。 |
IPv4 Route Table =================================================================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 On-link 6.6.6.1 1 //访问企业内网的路由 6.6.6.0 255.255.255.0 On-link 6.6.6.1 257 6.6.6.1 255.255.255.255 On-link 6.6.6.1 257 6.6.6.255 255.255.255.255 On-link 6.6.6.1 257 192.168.2.0 255.255.255.0 192.168.1.2 192.168.1.2 11 //访问局域网的路由 ===================================================================================================================
全路由模式
路由模式 | 命令 | 用户侧生成的路由 | 接入服务 |
|---|---|---|---|
全路由模式 | network-extension mode full | 几乎所有路由的出接口IP地址都修改为虚拟网卡的IP地址,这意味着所有来自用户的流量都进入SSL VPN隧道。路由表中仍然存在到192.168.2.0(本地LAN)的路由。由于此路由的开销为11,但防火墙下发的路由开销为1。因此,到192.168.2.0的路由不生效。 | 用户只能访问企业内网,不能访问LAN和Internet。 如果要访问外网,请参考: |
IPv4 Route Table ========================================================================================================================================= Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 On-link 6.6.6.1 1 //访问企业内网的路由 6.6.6.0 255.255.255.0 On-link 6.6.6.1 257 //访问企业内网的路由 6.6.6.1 255.255.255.255 On-link 6.6.6.1 257 //访问企业内网的路由 6.6.6.255 255.255.255.255 On-link 6.6.6.1 257 //访问企业内网的路由 192.168.2.0 255.255.255.0 192.168.1.2 192.168.1.2 11 //访问企业内网的路由 192.168.2.0 255.255.255.0 On-link 6.6.6.1 1 //访问企业内网的路由 192.168.2.255 255.255.255.255 On-link 6.6.6.1 257 //访问企业内网的路由 =========================================================================================================================================
SSL VPN的网络扩展服务提供三种路由模式总结如下:
在手动路由模式下,必须明确定义总部网络子网,并且可以通过SSL VPN的虚拟网络适配器访问它,同时内部网和互联网访问也可以保持在可访问的情况下。
在分离路由模式下,内部LAN访问继续可访问,因为本地LAN网关未更改。但是互联网和HQ子网可以通过虚拟网络适配器访问,这就是为什么SSL VPN客户端失去了互联网访问,应在HQ中配置代理服务器,为他们提供互联网访问。
在全路由模式下,所有流量路由(互联网、内部网、HQ子网)都通过SSL VPN的虚拟网络适配器路由,这就是为什么在该模式下只有HQ子网可以访问,内部网和互联网将无法访问(互联网可以在总部再次提供代理服务器,如拆分隧道场景)。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/2518.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
