SuccendoSSLVPN培训教材.ppt

O2Security Succendo SSL VPN 产品培训教材 3.5版本,议程,SSL VPN简介 O2Security Succendo SSL VPN网关框架 Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能,版本号3.5,议程,SSL VPN简介 O2Security Succendo SSL VPN网关框架 Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能,版本号3.5,企业网络的基本概况,版本号3.5,应用需求,每天见客户谈生意，还要回去收邮件、下订单，真累啊！要是,要出差给客户调机器了，这次可得准备充分点。上次忘带一个升级文件，硬是麻烦同事用QQ给我传了1小时。要是,我们访问总部内的OA、ERP等系统通过远程网络访问安全吗？要是,企业内网,网络办公,网络订单,OA系统的访问,文件传输,版本号3.5,传统IPSEC VPN的缺陷,问题2 用户端需要安装客户端软件,问题3 受网络环境以及用户端配置影响,问题4 - 需要改变防火墙配置,问题5 整个网络可能暴漏在外,问题1 NAT会阻断IPsec连线,版本号3.5,SSL VPN的优势,多种加密算法保证传输安全,防火墙仅需打开一个端口：443,数据信息及网络更安全,用户端无需安装客户端软件 不受限于客户端平台环境 NAT不会阻断SSL VPN连线,无须修改当前网络拓扑,版本号3.5,议程,SSL VPN简介 O2Security Succendo SSL VPN网关框架 核心实体介绍 基本配置和功能实现演示 用户登录过程演示 网关常见部署模式 Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能,版本号3.5,核心实体介绍,角色,用户,服务,SSL VPN需要解决的问题：谁在什么情况下能够访问什么资源 谁： 用户 资源：服务 用户和服务之间的授权关系： 角色 SUCCENDO SSL VPN的三要素：,版本号3.5,核心实体介绍,角色,用户,服务,角色的衍生物：条件和属性,条件,属性,重认证 阻止上网 有效时间 主机绑定 缓存清理 主机保护等,凭证类型 访问控制 主机检测,决定该角色有效的条件,决定该角色能够做些额外事，或者有些什么特性,分类,分类,版本号3.5,核心实体介绍-条件,是否已经安装杀毒软件 预置： Trend Office Scan 7.3.0 McAfee 8.0.0 Norton Anti Virus 金山毒霸2006 瑞星杀毒软件2006 Kaspersky Anti-Virus 6.0 McAfee 7.0.0 是否开启了Windows Firewall 是否开启了Windows 自动更新 管理员可自主定义检查规则,用户名 密码,|,&,限定用户登录时必须使用 用户名和密码 证书 用户名密码+证书,限定某一个单一IP地址/ 一个IP地址段的用户， 能否从SSL VPN设备的 一个指定接口访问SSL VPN。 可设定允许/拒绝两个动作。,版本号3.5,用户第一次登陆成功后， VPN会记录用户登陆PC的硬盘特征码， 从而限定用户以后只能从此PC上登陆的,键盘保护,进程保护,设置用户端是否能使用某些 键盘操作,实施检查客户端指定进程的运行状态，保证这些进程处于管理员指定的运行或者禁止的状态,在用户退出SSL VPN之后， 清理用户的上网痕迹， 还可清理用户PC上管理员指定路径下的文件,ABCDEFG,至此，用户通过客户端安全检查，并获取安全属性后，可以得到服务列表,核心实体介绍-属性,版本号3.5,核心实体介绍,用户,服务,角色,条件,属性,用户认证方式 本地用户名密码 证书 用户名密码+证书 AD LDAP RADIUS 短消息,代理 NC FILEPASS UDESK,1.身份认证,2.条件检查,3.赋予属性,4.获取服务,NOTE 1. 请在客户端安全里定义相应的条件和属性。 2. 各种认证方式、条件和属性以及服务的配置请查看实验指导。,版本号3.5,核心实体介绍-服务的高级功能,客户端应用程序绑定： 1. 允许终端客户保持原有的使用习惯，如原来使用IE作为默认浏 览器，在使用SSL VPN来访问服务后，仍绑定IE作为浏览器 2. 添加资源访问路径 3. 变更服务访问端口（详细配置见实验指导）,流量控制： 1. 针对代理模式下的所有服务，可对其实施流量控制 2. 针对某个用户，设定流量统计的初始时间，在一个特定的时间周期内，如 果用户使用此服务的流量达到设定值，则不允许用户继续使用该服务。用 户只能在下一个流量计时周期开始后，才能重新放问服务。,数据压缩： 1.全局压缩：将客户端与SSL VPN之间的全部数据进行压缩后传输。 2. 端到端的数据传输压缩：将端到端隧道中要传输的数据先进行压缩。,虚拟服务： 通过地址和端口映射的设置，无需通过SSL VPN进行身份认证，即可获取内 网基于80和3389端口的服务资源。(详细配置见实验指导),版本号3.5,单点登陆技术-标准WINDOWS窗口认证,登陆SSL VPN，在“设置”里找到并配置PIA的信息,VPN记录PIA信息,用户登陆SSL VPN，从客户端配置PIA（密码输入助手） SSL VPN在用户发起服务请求时，从PIA中取出认证信息自动为用户完成认证工作 用户无需二次认证即能访问后端服务,单点登陆技术-WEB认证,登陆SSL VPN； 请求访问后端服务输入服务认证信息,VPN记录成功认证信息,用户访问后端服务时，初次输入密码成功访问服务。 此时，SSL VPN会记录下服务认证信息。 以后用户登陆SSL VPN后，无须二次认证，即可访问后端服务,NOTE: 单点登陆的配置信息请参见单点登陆配置文档。,版本号3.5,议程,SSL VPN简介 O2Security Succendo SSL VPN网关框架 核心实体介绍 基本配置和功能实现演示 用户登录过程演示 网关常见部署模式 Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能,版本号3.5,基本配置和实现功能演示,创建一个本地用户名和密码 创建一个角色 对角色的条件和属性进行定义 条件：限定客户端只能通过用户名和密码的方式进行认证 属性：允许绑定用户名和登陆PC，允许取消绑定和重绑定 创建一个HTTP的服务，并对服务流量进行控制 使用客户端应用，绑定打开HTTP服务时自动调用的页面 用户登陆系统，可选择使用虚拟键盘的方式输入用户名和密码 用户退出系统，查看用户会话等日志审计记录,版本号3.5,议程,SSL VPN简介 O2Security Succendo SSL VPN网关框架 核心实体介绍 基本配置和功能实现演示 用户登录过程演示 网关常见部署模式 Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能,版本号3.5,用户登陆过程演示-WEB浏览器,账号,管理员,用户,单一用户,用户组,分组管理,IP,域名,身份认证,通过虚拟门户登陆,IP,域名,多虚拟门户,身份 认证,虚拟门户是一种能够通过不同的配置向终端用户提供不同登陆界面的技术。 虚拟门户上显示出终端用户可采用的所有的认证方式，如本地认证，CA证书认证，LDAP，AD，RADIUS认证等。 虚拟门户多适用于为企业内部各个不同部门设定不同的登陆页面，使得用户登录时容易识别登陆的是自己的部而 且本部门还可以在本部门的虚拟门户上发布本部门的公告信息。,单一虚拟门户,版本号3.5,专有客户端登陆认证,选择一种认证方式,输入用户名密码或者 使用证书认证,步骤二,步骤三,输入SSL VPN的IP地址 或者域名地址,步骤一,版本号3.5,议程,SSL VPN简介 O2Security Succendo SSL VPN网关框架 核心实体介绍 基本配置和功能实现演示 用户登录过程演示 网关常见部署模式 Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能,版本号3.5,常见部署模式-直连模式,直连部署模式将SSL VPN以串接的方式连入网络中，成为内外网通讯的唯一路径。,版本号3.5,常见部署模式-旁路模式,旁路部署模式将SSL VPN与内外网络的接口连接在一个交换机上。它的接入无需修改现 有的网络拓扑，可根据需求灵活接入。,版本号3.5,议程,SSL VPN简介 O2Security Succendo SSL VPN网关框架 Succendo SSL VPN和其他产品的对比 与ARRAY产品的对比 与JUNIPER产品的对比 与SINFOR产品的对比 Succendo SSL VPN的高级功能,版本号3.5,与ARRAY产品的对比,版本号3.5,与ARRAY产品的对比,版本号3.5,与ARRAY产品的对比,版本号3.5,与ARRAY产品的对比,版本号3.5,SSL VPN简介 O2Security Succendo SSL VPN网关框架 Succendo SSL VPN和其他产品的对比 与ARRAY产品的对比 与JUNIPER产品的对比 与SINFOR产品的对比 Succendo SSL VPN的高级功能,版本号3.5,与JUNIPER产品的对比,版本号3.5,与JUNIPER产品的对比,版本号3.5,与JUNIPER产品的对比,版本号3.5,与JUNIPER产品的对比,版本号3.5,议程,SSL VPN简介 O2Security Succendo SSL VPN网关框架 Succendo SSL VPN和其他产品的对比 与ARRAY产品的对比 与JUNIPER产品的对比 与SINFOR产品的对比 Succendo SSL VPN的高级功能,版本号3.5,与SINFOR产品的对比,版本号3.5,与SINFOR产品的对比,版本号3.5,与SINFOR产品的对比,版本号3.5,与SINFOR产品的对比,版本号3.5,议程,SSL VPN简介 O2Security Succendo SSL VPN网关框架 Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能 NC的配置 SITE2SITE的配置 AP和AA的配置 多ISP的配置,版本号3.5,NC模式服务的介绍,原理：在NC虚拟网卡和NC虚拟IP配合使用的支持下， 通过IP层路由实现数据包的传输。即可支持IP层 以上的各种应用。 应用场合：多用于支持流媒体和实时性要求高的大数据 传输以及一些基于专有客户端程序的应用。 实现结果：终端用户会分配一个虚拟NC IP地址，借助 相应的路由信息，访问内网的资源。,版本号3.5,NC配置,在管理端需要配置的内容 IP pool NC设置（里面的NC 路由是必须的，可由系统根据服务添加路由，或由管理员手动添加） NC服务,或者,版本号3.5,NC配置实例,如上图网络拓扑 客户处于/16网段，应用服务器所在网段在/16网段。 假设条件：用户和角色已经配置好,版本号3.5,NC配置实例实验一,实验一描述：配置IP POOL，使IP POOL和/16处于同一网段。,配置步骤： 配置IP POOL， 添加一个IP Pool，使其地址为-0; 配置NC 设置，添加NC路由为/16; 备注：NC设置里面的所有配置都是配置给NC客户端所使用的。SSL VPN设备自身不会用到这些信息。,或者,版本号3.5,NC配置实例实验一,原理说明：因为同一网段中的寻址方式是，由请求方发ARP请求的广播报文，请求目的IP地 址的MAC地址。收到该报文并具有该IP的机器回应自己的MAC地址给请求方，并记录请求方 的MAC地址在自己的ARP缓存内。请求方收到ARP回应后，修改自己的ARP缓存，以后数据 直接发向目的MAC地址。 而NC分配给客户端的虚拟IP看上去虽然和真实的应用服务器处于同一网段，但实际上隔离了 一个SSL VPN物理设备，ARP广播没办法发送，因此ARP 代理功能必须被勾选来帮助回应 ARP请求。,配置步骤： 3. 配置一个NC的服务，这里以全网打开的服务为例：将服务地址设置为any，将协议设置为any； 4. 将NC-配置里的ARP代理勾选上。,版本号3.5,NC配置实例实验一,配置步骤： 5.登录客户端，等分配好虚拟IP以后，访问/16网段的服务。比如去ping一下后端的应用服务器，发现可以ping通。 6.使用route print查看PC机的主机路由，发现/16已经添加到用户的PC机。,版本号3.5,NC配置实例实验二,实验二描述：配置IP POOL，使IP POOL和/16不在同一网段。,配置步骤： 配置IP POOL， 添加一个IP Pool，使其地址为-0； 配置NC 设置，添加NC路由为/16; 添加NC的any服务，如实验一所示,版本号3.5,NC配置实例实验二,实验二描述：配置IP POOL，使IP POOL和/16不在同一网段。,配置步骤： 4. 在客户端登录用户，等分配好虚拟IP后，检查用户PC的路由，发现/16的路由已经添加到用户PC 5. 去访问NC服务，比如ping一个目标网段的地址，却发现不能ping通。 原因：客户PC分配的IP地址池和应用服务器所在网段不一样。PC有了去应用服务器所 在网段的路由，但是应用服务器并没有到虚拟IP池的路由。 6. 在需要访问的应用服务器上添加到/16的路由，目的网关指向（SSL VPN的内网接口地址）（在路由器或3层交互机上添加也行）,版本号3.5,NC配置实例实验二,实验二描述：配置IP POOL，使IP POOL和/16不在同一网段。,配置步骤： 重新访问NC的服务，可以访问。,版本号3.5,NC配置实例总结,总结： IP POOL和内网服务所处同一网段时，不需要改变客户应用环境，但是必须勾选“ARP Proxy”功能； IP POOL和内网服务不在同一网段时，不需启用“ARP Proxy”功能，但是必须保证所需访问的服务器有指向IP POOL所在网段的路由。,版本号3.5,议程,SSL VPN简介 O2Security Succendo SSL VPN网关框架 Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能 NC的配置 SITE2SITE的配置 AP和AA的配置 多ISP的配置,版本号3.5,端到端的连接,版本号3.5,端到端的连接的介绍,功能介绍： SITE2SITE功能实现两个或者多个网段通过 专有通道实现安全连通。 典型应用场景1：各地分公司之间通过S2S的通道实现 内部资源的安全互访。 典型应用场景2：子公司或者分公司通过S2S通道连接 到总公司，并安全访问总公司内部资 资源。,版本号3.5,Site2Site原理,模拟IPSec的端到端； 和IPSec的区别：用SSL层而不是IP层来承载IP包； 能够达到与IPSEC VPN组网同样的效果；SSL VPN的端到端功能配置和实现更灵活； 和NC服务的异同： 都利用NC连接在SSL层承载IP包 NC服务是PC到SSL VPN设备之间的连接， 而Site2Site是在两台SSL VPN设备之间建立NC连接。 总结：利用NC的原理，将NC客户端的PC机换成SSL VPN设备，就构成了Site2Site功能。,版本号3.5,Site2Site配置,两台SSL VPN设备，一台作为客户端，一台作为服务器； 作为服务器的那台设备S，所有配置和NC相同。检验配置成功的方法：NC用户访问NC的服务能够成功； 作为客户端的那台设备C，需要配置“端对端互联-端对端列表”作为NC客户端,版本号3.5,Site2Site配置,实验网络拓扑介绍 /16和/16两个局域网物理上隔绝，需要通过SSL VPN的端到端功能相连。 SSL VPN1作为Client，SSL VPN2 作为Server。 假设条件：在server上用户和角色已经配置好。,版本号3.5,Site2Site配置,实验目的：将两个地址不冲突的网段连接起来。 配置步骤 配置Server： （和配置NC相同） 配置IP POOL； 配置NC设置，包括NC路由（这里是/16）； 配置NC服务（这里可以配置一个any的服务）； 检测Server是否配置成功： （这步可以省略） a. 登录的客户端页面，输入用户名和密码登录。可以访问NC的服务成功。,版本号3.5,Site2Site配置,配置步骤 3. 配置客户端： a. 配置Site2Site客户端：其中远端地址为服务器地址；远端端口为服务器的SSL监听端口，认证服务器为服务器上的认证服务器名（大小写敏感）；用户和密码都为服务器上配置的用户和密码；路由为客户端SSL VPN后端的局域网网段。在这个实验中，配置如右图所示。,版本号3.5,Site2Site配置,3. 配置客户端： b. 配置好并保存下来， c. 点击“信息”下面的图标，可以看到对应的Site2site连接信息：,说明：这里的IP地址是从服务器获取的虚拟IP地址；下面是从服务器获取的S2S服务列表，这里只有一项any的服务；后面的路由是从服务器获取的路由信息。这里的所有配置都是服务器传给客户端的。因为在服务器上没有配置DNS和WINS，所以这两项为空。,版本号3.5,Site2Site配置,配置步骤 4. 客户使用： 完成上面3步，可以说Site2Site就配置好了。但是为了让用用户能够正确使用Site2Site提供的功能，还需下面两步： a. 保证/16这个LAN中的机器有到的路由，网关地址设置为； b. 保证/16这个LAN中的机器有到的路由，网关地址设置为。,版本号3.5,Site2Site配置,配置步骤 5. 终端客户使用Site2Site： /16网段的机器可以去ping /16网段的任意一台设备，可以ping通； /16网段的机器可以ping /16网段的任意一台设备，可以ping通。 注意：终端客户使用时，不需要再登录SSL VPN客户端，只需要添加步骤4中要求的路由即可。这里客户端和服务器只是连接上的区别，Site2Site连接一旦建立，对于客户端和服务器来说就是对等的，可以允许通过的IP数据包取决于S2S连接中用户授权的NC服务，但是没有传递方向之分。这里之所以能够ping，是因为NC服务配置的是支持any协议的全网服务。,版本号3.5,议程,SSL VPN简介 O2Security Succendo SSL VPN网关框架 Succendo SSL VPN和其他产品的对比 Succendo SSL VPN的高级功能 NC的配置 SITE2SITE的配置 AP和AA的配置 多ISP的配置,版本号3.5,典型应用场景-双机热备,版本号3.5,双机热备的介绍,两种备机模式： 主机-备机模式：当主机DOWN掉后，备机切换成主机， 提供服务，保证网络连通性。 主机-主机模式：1.两台设备都在线工作，当其中一台设(负载均衡模式) 备DOWN掉后，由另外一台处理所有 请求。 2.两台设备同时提供服务，可根据客户 端组件的计算，对客户端的请求实施 负载均衡处理，保证两台SSL VPN均 衡的工作。,版本号3.5,AP的原理,AP的同步机制： 设备配置信息分为需同步信息和不同步信息两类。设备网络地址等与设备自身相关的信息不会被同步； 首先启动AP的设备为主机； 后启动AP的设备第一次会向主机做一次初始同步，保证需同步信息的一致； 设备初始同步以后，改变主机或从机的配置都会立即同步到对端。（配置同步没有主从机之分）,版本号3.5,AP的原理,AP的主备机制： 主机掌管Float IP（浮动IP）； 主机down掉以后，从机立即切换成主机，并掌管Float IP； 用户使用Float IP登录设备（主机），不会感觉到主从切换； 用户使用主机IP或从机IP可以分别登录主机和从机。这时主备机制不起效。 换言之，只有使用Float IP登录，主备机制才起效。,版本号3.5,AP的原理,主从切换的检测点： 通过心跳线的hello报文（必选）； 系统内部的关键进程（管理员可配置）； 设备的接口状态（管理员可配置）； 可ping的一个地址（管理员可配置）；,版本号3.5,AP的配置实验,以上图拓扑为例，配置AP； 拓扑介绍： 图的右方是/16的LAN，两台SSL VPN设备提供主备的接口 是左边/16的接口，Float IP设定为5。 上图的主机和从机只是为了标注Float IP的连线方便指定的。真实配置时，不能 指定。先配置好AP的为主机。,版本号3.5,AP的配置实验,配置过程： 将两台设备用心跳线连接起来。（可以是交叉线直接连接，也可以通过交换机连接） 配置SSL VPN1如右图所示，其中接口选择为心跳线所在接口，安全密钥用于hello报文的加密，必须和对端配置一致，本端IP和对端IP分别为自己和对端的心跳线地址。,3. 配置以后保存，可以看到本设备的当前状态为“主”，表示是主机，因为对端没有配置，对端的状态为“非活动”的。,版本号3.5,AP的配置实验,配置过程： 4. 配置Float IP：点击FE2上面的超链接,5. 配置Float IP如下图所示：,SSL VPN1就配置好了，这时Float IP已经生效，通过Float IP登录，可以访问SSL VPN1.,版本号3.5,AP的配置实验,配置过程： 6.配置SSL VPN2： 采用和SSL VPN1同样的方式，先配置HA，如右图所示。 7. 点击保存以后，SSL VPN2会向SSL VPN1做一次初始同步，如图所示： 8. 等系统启动好以后，发现初始同步完成。这时需在SSL VPN2上将Float IP配置好（同样配置5的地址）。,版本号3.5,AP的配置实验,配置完成： 检查SSL VPN1的状态，如右图， 对端状态为活动； 检查SSL VPN2的状态，如右图： 从机，对端状态为活动。,用户使用： 以Float IP登录（这时登录的是SSL VPN1）； 将SSL VPN1掉电，这时SSL VPN2通过hello报文检测到SSL VPN1状态为非活动，立即将自己切换为主机。这时用户继续Float IP登录设备的操作，一切正常，但是这时的登录设备已经切换为SSL VPN2.,版本号3.5,AA的原理,AA的同步机制： 设备配置信息分为需同步信息和不同步信息两类。设备网络地址等与设备自身相关的信息不会被同步； 后启动AA的设备第一次会向先启动AA的设备做一次初始同步，保证需同步信息的一致； 设备初始同步以后，改变任意设备的配置都会立即同步到对端。,版本号3.5,AA的原理,AA的负载均衡机制： 客户端通过IP列表自动计算来选择IP； IP列表由登录浏览器的地址，MAP IP构成； 如果不配置MAP IP，那IP列表中只有一项登录IP，不能够完成负载均衡的工作； AA模式中的每台设备都需要配置MAP IP，以通告给客户端负载均衡的地址； MAP IP是真实的，客户端可访问的地址。不同于Float IP是虚拟出来的； 当没有防火墙时，MAP IP就是设备的接口地址；当有防火墙时，就是防火墙外部的DNAT地址,版本号3.5,AA的配置实验一,以上图拓扑为例，配置AA； 拓扑介绍： 图的右方是/16的LAN，两台SSL VPN设备提供主备的接口 是左边/16的接口，Map IP就分别设置为接口地址和 。,版本号3.5,AA的配置实验（一）,配置过程： 将两台设备用心跳线连接起来。（可以是交叉线直接连接，也可以通过交换机连接） 配置SSL VPN1如右图所示，其中接口选择为心跳线所在接口，安全密钥用于hello报文的加密，必须和对端配置一致，本端IP和对端IP分别为自己和对端的心跳线地址。,3. 配置以后保存，可以看到本设备的当前状态为“主”，表示是主机，因为对端没有配置，对端的状态为“非活动”的。,版本号3.5,AA的配置实验（一）,配置过程： 4. 配置Map IP：点击FE2上面的超链接,5. 配置Map IP如下图所示： 6. 因为Map IP只能在外网接口上生效，这里还需要将接口类型转换为外网口。,版本号3.5,AA的配置实验（一）,配置过程： 7.配置SSL VPN2： 采用和SSL VPN1同样的方式，先配置HA，如右图所示。 8. 点击保存以后，SSL VPN2会向SSL VPN1做一次初始同步，如图所示： 9. 等系统启动好以后，发现初始同步完成。这时需在SSL VPN2上将MAP IP配置好（配置SSL VPN2的接口地址）。,版本号3.5,AA的配置实验（一）,配置完成： 检查SSL VPN1的状态，如右图，主 机，对端状态为活动； 检查SSL VPN2的状态，如右图：主 机，对端状态为活动。,用户使用： 以任意Map IP地址登录SSL VPN，例如以登录 登录以后，客户端页面上会出现一个地址列表,如右图所示。 客户访问服务的连接通过哪台VPN设备是依据这两个地址 自动计算的。1输入的地址只是登录SSL VPN设备的入口 地址而已。与负载均衡功能没有直接关系。负载功能用的 地址是2中列出的地址,版本号3.5,AA的配置实验（一）,用户使用： 3. 将SSL VPN1断电（所在的设备）； 4. 这时只要不在客户端页面上做F5刷新或退出操作（因为IE连接的地址是），服务能够正常使用（当前正在连接的服务会断掉，需要用户手动重连）,版本号3.5,AA的配置实验（二）,实验二改进： 在实验一的配置基础上引入Float IP的概念，Float IP由先配置的设备获得 用户登录vpn的地址使用Float IP，而负载均衡的功能仍然用Map IP完成,实验一的缺陷 客户登录时，需要记住两个IP作为登录地址； 当登录的设备down掉以后，不能做F5刷新或者退出操作。,版本号3.5,AA的配置实验（二）,配置过程： 在实验一的基础上，给SSL VPN1添加Float IP： 5. 在实验一的基础上，给SSL VPN2添加Float IP： 5. 用户使用： 以Float IP登录； 登录以后，设备做负载均衡的地址列表为：,登录以后程序会把Float IP也加入地址列表。以后的负载均衡是按照 地址列表中的地址进行计算自动进行。 例如这时Float IP是SSL VPN1所掌控的，那断掉SSL VPN1的电源， Float IP立即被SSL VPN2掌控。用户感觉不到切换，可以自由做F5的 刷新和退出操作。用户只需要记住Float IP就可以登录客户端，不必 向实验一 一样记两个登录地址。,版本号3.5,AA的配置实验三,以上图拓扑为例，配置AA； 拓扑介绍： 在实验一的基础上，前端加了一台防火墙。