华为USG2210 小身材 大能耐

  【天极网网络频道】，在惊叹之余，也不禁为之深深折服，还说什么Visio，还说什么Powerpoint，手绘的拓扑你伤不起啊。

  怀揣着参拜大神的想法，去见了这位艺术工作者。

  其实大神的想法很简单，因为是设计公司，有很多资料需要共享，而资料通常都存放在文件服务器上，而设计师经常出差到外地，无法共享公司资源，于是想用一种办法，实现文件的远程共享。

  看了一下用户网络现状，其实网络结构很简单，网络出口是一条联通10MADSL，通过一台苹果路由器连接接入交换机，同时通过苹果路由器对公司进行无线覆盖;

  设计公司现网拓扑图如下：(与上图比，实在是汗颜)

  我们告诉客户，通过远程共享内网文件有多种方式，

  1、 可以映射内部服务器地址，比如FTP，HTTP等，不过相应的，需要在内网架设FTP服务器或者WEB服务器;

  2、 通过SSL VPN方式，建立VPN后，远程设计师就像在本地一样方便，而且，VPN上的所有数据均为加密传输，保证了安全性;

  3、 客户同时在线人数很少，可以使用防火墙自带的SSL VPN许可来实现，无需增加任何费用;

  经过权衡考虑，客户选择了后则，我们为客户规划的网络结构如下图：

  在网络出口处部署USG2210作为Internet接入层接入设备，提供拨号连接，对内作为内网网关;原有路由器作为无线AP，关闭其路由功能，为公司提供无线覆盖;

  USG2210自带3个免费SSL VPN许可，通过建立SSL VPN，实现远程用户对公司内部资源的共享，如下图：

  结构构建好后，开始进入调试阶段，问题出来了，由于客户是ADSL拨号接入，公网地址会不停变动，而SSL VPN需要一个虚拟网关地址，这个地址并不会随着公网地址的变化而进行变化，而且每次连接都需要事先知道公网地址，伴随着ADSL本身的不稳定性，SSL VPN并不能长期存在;

  经过一轮思考，我想出了个解决方案，就是在防火墙外端再添加一台路由器，通过路由器的地址映射来实现，可是客户的苹果路由器只有一个三层接口，其他均为二层接口，如果把USG的端口也设为二层端口，那么就无法在USG上配置虚拟网关;如果把USG的端口设为三层端口，那么两台设备间没有路由，无法通信;如果把USG的一个端口设为二层端口，另一个端口设为三层口，那么DHCP无法中继;此方案被自己否决。

  接下来我又通过官方网站与官方400电话等途径寻求帮助，从官网资料与400的说法来看，目前的版本是支持动态IP上实现SSL VPN的。

  具体实现命令如下：

  #

  v-gateway vg1 interface Dialer1 private

  #

  ddns policy 1

  ddns username user1 password %$%$7-*6IaE{;0Q:zWEoIEj)`'{r%$%$

  ddns client subname1.3322.org

  ddns server www.3322.org

  #

  #

  interface Dialer1

  link-protocol ppp

  ip address ppp-negotiate

  ddns apply policy 1

  #

  不过通过在防火墙上查看防火墙所支持DDNS列表，大部分是国外的，极少数国内的DDNS服务商例如3322.org又是收费服务，而对于一个10人左右的小企业，显然不愿意在动态域名上进行投资。

  难道真的不能免费在动态IP上实现SSL VPN功能么？

  通过冷静的思考，我终于想到了一个办法：

  1、 维持上图拓扑结构不变;

  2、 将SSL VPN虚拟网关地址设为内网端口IP地址，此地址为固定地址;

  3、 建立一条映射，映射SSL的端口到内网网关IP;

  有人要问，那么现在地址也是变化的，如何处理？不错，你也许也想到了，用花生壳，最重要的一步，绑定花生壳，以后发起连接的时候，使用域名而不是IP地址，花生壳将动态的将域名解析为IP地址，至此，问题解决。

  示意效果：

  1、 更改虚拟网关地址为内网端口地址

  2、测试SSL VPN

  浏览器提示安全链接，无视，添加例外(此步骤根据浏览器类型略有不同)

  2、 输入账号，密码

  3、 访问内网资源

  总结：

  1、 SSL VPN能够在动态地址上实现，不过需要DDNS支持;

  2、 在自己无计可施的时候，可在官网和400寻求自己需要的帮助;

  3、 SSL VPN对于远程接入真的很有用。