前段时间接到一位代理商传来的拓扑图，在惊叹之余，也不禁为之深深折服，还说什么Visio，还说什么Powerpoint，手绘的拓扑你伤不起啊。

▲手绘的拓扑

　　怀揣着参拜大神的想法，去见了这位艺术工作者。

　　其实大神的想法很简单，因为是设计公司，有很多资料需要共享，而资料通常都存放在文件服务器上，而设计师经常出差到外地，无法共享公司资源，于是想用一种办法，实现文件的远程共享。

　　看了一下用户网络现状，其实网络结构很简单，网络出口是一条联通10MADSL，通过一台苹果路由器连接接入交换机，同时通过苹果路由器对公司进行无线覆盖;

　　设计公司现网拓扑图如下：(与上图比，实在是汗颜)

▲如图

　　我们告诉客户，通过远程共享内网文件有多种方式，

　　1、 可以映射内部服务器地址，比如FTP，HTTP等，不过相应的，需要在内网架设FTP服务器或者WEB服务器;

　　2、 通过SSL VPN方式，建立VPN后，远程设计师就像在本地一样方便，而且，VPN上的所有数据均为加密传输，保证了安全性;

　　3、 客户同时在线人数很少，可以使用防火墙自带的SSL VPN许可来实现，无需增加任何费用;

　　经过权衡考虑，客户选择了后则，我们为客户规划的网络结构如下图：

▲如图

　　在网络出口处部署USG2210作为Internet接入层接入设备，提供拨号连接，对内作为内网网关;原有路由器作为无线AP，关闭其路由功能，为公司提供无线覆盖;

　　USG2210自带3个免费SSL VPN许可，通过建立SSL VPN，实现远程用户对公司内部资源的共享，如下图：

▲如图

　　结构构建好后，开始进入调试阶段，问题出来了，由于客户是ADSL拨号接入，公网地址会不停变动，而SSL VPN需要一个虚拟网关地址，这个地址并不会随着公网地址的变化而进行变化，而且每次连接都需要事先知道公网地址，伴随着ADSL本身的不稳定性，SSL VPN并不能长期存在;

　　经过一轮思考，我想出了个解决方案，就是在防火墙外端再添加一台路由器，通过路由器的地址映射来实现，可是客户的苹果路由器只有一个三层接口，其他均为二层接口，如果把USG的端口也设为二层端口，那么就无法在USG上配置虚拟网关;如果把USG的端口设为三层端口，那么两台设备间没有路由，无法通信;如果把USG的一个端口设为二层端口，另一个端口设为三层口，那么DHCP无法中继;此方案被自己否决。

　　接下来我又通过官方网站与官方400电话等途径寻求帮助，从官网资料与400的说法来看，目前的版本是支持动态IP上实现SSL VPN的。

　　具体实现命令如下：

　　#

　　v-gateway vg1 interface Dialer1 private

　　#

　　ddns policy 1

　　ddns username user1 password %$%$7-*6IaE{;0Q:zWEoIEj)`'{r%$%$

　　ddns client subname1.3322.org

　　ddns server www.3322.org

　　#

　　#

　　interface Dialer1

　　link-protocol ppp

　　ip address ppp-negotiate

　　ddns apply policy 1

　　#

　　不过通过在防火墙上查看防火墙所支持DDNS列表，大部分是国外的，极少数国内的DDNS服务商例如3322.org又是收费服务，而对于一个10人左右的小企业，显然不愿意在动态域名上进行投资。

　　难道真的不能免费在动态IP上实现SSL VPN功能么?

　　通过冷静的思考，我终于想到了一个办法：

　　1、 维持上图拓扑结构不变;

　　2、 将SSL VPN虚拟网关地址设为内网端口IP地址，此地址为固定地址;

　　3、 建立一条映射，映射SSL的端口到内网网关IP;

　　有人要问，那么现在地址也是变化的，如何处理?不错，你也许也想到了，用花生壳，最重要的一步，绑定花生壳，以后发起连接的时候，使用域名而不是IP地址，花生壳将动态的将域名解析为IP地址，至此，问题解决。

　　示意效果：

　　1、 更改虚拟网关地址为内网端口地址

▲如图

　　2、测试SSL VPN

▲如图

　　浏览器提示安全链接，无视，添加例外(此步骤根据浏览器类型略有不同)

　　2、 输入账号，密码

▲如图

　　3、 访问内网资源

▲如图

　　总结：

　　1、 SSL VPN能够在动态地址上实现，不过需要DDNS支持;

　　2、 在自己无计可施的时候，可在官网和400寻求自己需要的帮助;

　　3、 SSL VPN对于远程接入真的很有用。