3.4. Пример настроенной сети с использованием Alphabyte ZTNA

../_images/ab-ztna-example1.png

По сравнению с диаграммой, показанной в качестве примера в разделе 2. Минимальная конфигурация (Alphabyte VPN), в этой конфигурации администратор добавил отдельные ресурсы:

  • Gitlab

  • сервер разработки

  • Zabbix

  • файловый сервер

Также администратор указал две роли («Разработчик» и «Поддержка») и назначил пользователей для каждой из них.

Пользователь B с ролью «Разработчик» отправил запросы к ресурсам в обеих сетях (запросы помечены зелеными стрелками):

  • На два ресурса в разных подсетях сети «Офис» (Gitlab и сервер разработки);

  • На один ресурс в сети «Датацентр» (файловый сервер).

После получения запроса через VPN-туннель пользователя, сервер маршрутизации установил, что:

  1. Пользователь B имеет роль «Разработчик».

  2. Отправляемый запрос разрешен этой ролью.

Затем сервер маршрутизации переслал этот запрос в VPN-туннель, открытый соответствующим коннектором. Ответы ресурсов были отправлены пользователю B обратно через VPN-туннель.

Одна подсеть в «Датацентре» и одна подсеть в «Офисе» имеют тот же реальный диапазон IP-адресов (10.20.30.0/24), но им назначены разные виртуальные диапазоны IP-адресов. Запросы пользователей отправлялись на виртуальные IP-адреса, что позволяло им получать доступ к разным сетям в течение одной сессии. Каждый коннектор изменяет виртуальный IP-адрес на реальный IP-адрес ресурса для доступа к нему.

Пользователь D с ролью «Поддержка» также отправил запросы к ресурсам в обеих сетях (запросы помечены синими стрелками):

  • На один ресурс в сети «Датацентр» (Zabbix);

  • На один ресурс в сети «Офис» (Gitlab).

Сервер маршрутизации определил, что:

  1. Пользователь D имеет роль «Поддержка».

  2. Запрос к ресурсу Zabbix разрешен этой ролью.

  3. Запрос к ресурсу Gitlab запрещен.

Соответственно, сервер маршрутизации заблокировал запрос к сети «Офис» до того, как этот был передан на соответствующий коннектор.

Пользователю C назначены обе роли («Разработчик» и «Поддержка»): он может получить доступ к ресурсам, разрешенным любой из этих ролей. Например, даже если роль «Разработчик» не разрешает доступ к ресурсу Zabbix, пользователю C будет разрешен доступ как к Zabbix, так и к Gitlab.