P方式接入SSLVPN剖析.pptx

PPTP 方式接入SSL VPN培训内容培训目标PPTP接入的设备部署方式1、掌握SSL设备支持的PPTP接入方式2、掌握支持PPTP接入的SSL设备部署方式和注意事项PPTP接入访问资源的设备配置1、掌握用户通过PPTP接入SSL访问资源的设置以及注意事项PPTP客户端接入配置1、掌握用户通过iphone/ipad配置PPTP的访问资源的方法支持PPTP接入的SSL设备部署方式PPTP接入访问资源的配置深信服公司简介PPTP客户端接入配置练练手SANGFOR SSLPPTP VPN功能介绍PPTP是由多家公司（其中包括AscendCommunications,Microsoft,3Com,ECITelematics,以及U.S.Robotics等各大公司）专门为支持VPN而开发的一种技术。PPTP是一种通过现有的TCP/IP连接（称为“隧道”）来传送网络数据包的方法。它要求客户端和服务器之间存在有效的互连网连接。一般服务器需要与互连网建立连接，而客户端则通过ISP连接互连网，并且通过拨号网（Dial-UpNetworking，DUN）入口与PPTP服务器建立连接。通过PPTP传输的数据包在起点处（服务器或客户端）被加密为密文，在隧道内传送，在终点将数据解密还原。因为网络通信是在隧道内进行，所以数据对外而言是不可见的。一旦建立了VPN连接，远程的用户可以浏览公司局域网LAN，连接共享资源，收发电子邮件，就象本地用户一样。SANGFOR SSL设备支持的PPTP接入方式SANGFORSSL设备从5.1版本开始支持iPhone、iPad、Android 的PPTP接入，达到类似L3VPN服务的效果。通过PPTP方式接入，可以减少服务端部署成本以及手机维护的影响。SANGFORSSL设备能够提供细化到IP、端口的权限划分，弥补PPTP一般只能全网访问的不足，同时用户通过PPTP接入SSL无需安装客户端，避免软件冲突的可能。SSL设备的部署IPhone、IPad、Android用户首先通过系统自带的浏览器接入SSLVPN，再通过PPTP建立连接访问内网资源。PPTP接入SSL设备时，设备的部署模式支持网关（单线路和多线路），单臂（单线路和多线路），和普通的移动用户接入SSLVPN的部署配置相同，本PPT不再累述。需要注意的是，如果SSL设备单臂模式部署:1.前端设备除了映射SSL用户接入的TCP80和443端口外，还需要映射TCP1723端口。2.前端设备必须支持PPTP应用穿透。不同的设备厂家的配置和支持方式不同，需咨询设备厂家。例如TP-link 支持32个PPTP穿透；D-Link 不支持PPTP穿透,如果用户使用Ipad，通过Dlink的无线AP上网，则无法通过PPTP连接成功。PPTP接入访问资源的配置PPTP接入访问资源的配置1.【系统设置】-【SSLVPN选项】-【系统选项】-【接入选项】，勾选“启用PPTP接入服务”。2.【SSLVPN设置】-【组策略管理】，新增组策略，勾选“允许使用PPTP方式接入”。3.【SSLVPN设置】-【用户管理】，在需要PPTP接入的用户和用户组属性中关联第2步设置的组策略。4.【SSLVPN设置】-【资源管理】，新建L3VPN资源，添加需要通过PPTP访问的资源。5.【SSLVPN设置】-【角色授权】，新建角色，关联用户/用户组和资源。配置思路：PPTP接入访问资源的配置步骤1.启用PPTP接入服务PPTP接入访问资源的配置步骤2.新增组策略，勾选“允许使用PPTP方式接入”。PPTP接入访问资源的配置步骤3.在需要PPTP接入的用户和用户组中关联组策略。PPTP接入访问资源的配置步骤4.新建L3VPN资源，添加需要通过PPTP访问的资源。注意：通过PPTP访问的应用，必须添加成L3VPN资源。如果应用本身通过WEB应用就能访问到，则可以直接接入SSLVPN访问，无需再建立PPTP连接去访问。PPTP接入访问资源的配置步骤5.新建角色，关联用户/用户组和资源。选择关联了PPTP用户接入组策略的用户组选择手机用户需要访问的L3VPN资源PPTP客户端接入配置PPTP客户端接入配置以用户通过iphone/ipad配置PPTP访问资源举例：1.通过手机浏览器登陆SSLVPN，显示如下页面：带P标志的资源是L3VPN资源，必须通过PPTP接入才能访问。点击“通过PPTP方式接入”，出现接入帮助PPTP客户端接入配置2.安装描述文件到手机。PPTP客户端接入配置3.设置PPTPVPN登录，返回iphone主页面，打开“设置”：PPTP客户端接入配置4.连接成功后，可以看到“VPN”选项的开关变成了蓝色，右上角出现“VPN”的小图标。然后就可以通过浏览器或者应用程序访问内网应用了。PPTP客户端接入配置5.需要退出PPTPVPN时，请关闭“VPN”选项的开关。后续可直接连接PPTPVPN访问资源。PPTP客户端接入配置6.记住PPTP登录的密码。设置页面打开“通用”-“网络”-“VPN”，点击下图蓝色的箭头：在密码项填入密码后点击“存储”，以后打开VPN连接后无需再输入密码。PPTP接入访问内网资源注意事项1.用户首先登录SSLVPN，再通过PPTP的方式接入访问内网资源需要占用2个移动用户的授权。2.用户如果需要通过PPTP接入，则只支持用户名密码认证的方式，不支持外部认证。3.用户接入PPTP后，无法访问外网。4.使用PPTP接入SSLVPN设备，建议使用VPN3050以上型号的设备。5.个别地区电信运营商（如北京联通）会封锁3G网络的PPTP，如部署好后发现通过WIFI可以接入，但通过3G不行，很可能就是运营商封锁。6.iphone，ipad待机后可能会自动断开PPTP连接。7.PPTP连接不成功时，需确认从本端网络到SSL设备之间的设备，是否支持PPTP穿透。例如TP-link支持32个PPTP穿透，D-Link不支持PPTP穿透，Tenda支持PPTP穿透。想一想 1.为什么只要iphone/ipad上的PPTP VPN连接上了，无论SSL VPN连接是否存在，都可以直接访问关联的L3VPN？PPTPVPN连接与SSLVPN连接并没有关联，即使用户第一次访问时不登陆SSLVPN，在iphone/ipad的VPN连接设置里，填入SSL设备的IP，账号和密码，也可以直接建立PPTPVPN的连接，来访问关联的L3VPN资源。如果用户首先登录SSLVPN，再通过PPTP接入访问资源，则会消耗2个移动授权。2.Android系统是否和IPAD类似，先建立SSL VPN连接，就可以只输入密码建立PPTP连接？通过Android系统连入SSLVPN后，会提示用户记住VPN设备的IP地址，然后需要在PPTPVPN连接设置中，手动输入SSL设备的IP，账号和密码信息。Android系统不会自动下发配置给VPN连接。1.iphone/ipad会自动把配置（VPN设备的地址，账号）下发给VPN连接，用户只需要再次输入密码即可实现PPTP接入。用户首先登陆SSL VPN，再建立PPTP连接的好处在于：2.如果是通过webagent地址访问SSL设备，或者SSL设备的IP是不固定的情况下，首先建立SSLVPN，能实时获得设备的访问地址。动动手通过ipad/iphone/Android手机的PPTPVPN连入SSLVPN设备，访问L3VPN资源成功。实验步骤要求：1.首先登录SSLVPN，再通过PPTP接入访问资源2.注销SSLVPN，再通过PPTP接入访问资源1.用户通过PPTP接入SSL设备，是否可以访问所有类型的资源？问题思考2.SSL设备如何部署，才能支持用户通过PPTP接入?3.如果SSL设备没有固定的公网地址，是否支持用户通过PPTP方式接入？如果支持，需要如何设置？