SANGFOR_SSL_XXXX年度渠道初级认证培训02

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

SANGFORSSLVPN设备部署培训培训内容培训目标SSLVPN部署模式介绍1.掌握SSLVPN支持的各种部署模式的特点。网关模式1.掌握网关模式适用环境及支持的功能。2.掌握网关单线路和多线路的配置步骤。单臂模式1.掌握单臂模式适用环境及支持的功能。2.掌握单臂单线路和多线路的配置步骤。SANGFORSSL部署模式介绍深信服公司简介SANGFORSSL部署模式配置SANGFORSSL动动手SANGFORSSLSANGFORSSL部署案例SANGFORSSL部署模式介绍•部署模式_简介1、部署模式是指设备以什么样的工作模式部署到客户网络中去,不同的部署方式对客户的网络影响各有不同,具体以何种部署方式需要综合客户具体的网络环境和客户的功能需求而定。2、SSLVPN支持网关(单线路和多线路)模式、单臂(单线路和多线路)模式部署。网关模式特点1、网关模式部署时SSL设备工作层次基本与路由器或包过滤防火墙相当,具备基本的路由转发及NAT功能。一般在客户原有网络环境中添加部署SSL设备时不采用这种模式,因为这种部署模式需要对客户的网络环境作较大的改动。2、一般此种部署模式的客户网络环境规模比较小,用SSL设备替换原有部署在出口的路由器,或者是客户在规划新网络建设时将SSL部署为路由模式。如客户出口有前置防火墙或网络规模比较大建议用单臂模式。SANGFORSSL部署模式介绍SANGFORSSL部署模式介绍单臂模式特点1、单臂模式时SSL设备工作模式基本与一台内网服务器相当,由前置设备将SSL服务对外发布,该模式下仅处理VPN数据。一般在客户原有网络环境中添加部署SSL设备时将采用这种模式,因为这种部署模式对客户的网络环境无变动,哪怕设备宕机也不会影响网络。2、单臂模式部属只需要连接LAN口到内网,如果需要通过DMZ口管理设备,可将DMZ口也连接到局域网交换机。防火墙、NAT、DHCP等功能无法使用。SANGFORSSL部署配置单线路多线路单臂模式网关模式单线路多线路SANGFORSSL部署配置(网关模式)SANGFORSSL部署配置(网关模式)非直连公网方式的网关模式部署(应用场景非常少,对网络改动较大,需要在前置设备上做端口映射)SANGFORSSL部署配置(网关模式)1、网关模式配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN口)的IP地址信息;2、上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。网关单线路配置思路:SANGFORSSL部署配置(网关模式)1、线路确定:跟客户确认有几条公网线路接入,并申请多线路授权2、网关模式配置:确定设备外网口是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码,给每条外网线路做配置;确定内网口(LAN口)的IP地址信息;3、上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。4、多线路配置:可根据客户需求设置IPSECVPN多线路,SSLVPN多线路传输,上网数据的多线路选路策略。网关多线路配置思路:SSL部署配置(网关单线路模式)网关单线路模式配置截图设置内网接口IP地址SSL部署配置(网关单线路模式)代理上网配置截图选择代理LAN或DMZ口下的网段上网SSL部署配置(网关多线路模式)网关多线路模式配置截图使用网关多线路,必须先开通多线路授权点击线路,分别配置线路一和线路二的IP地址和网关SSL部署配置(网关多线路模式)代理上网配置截图SSL部署配置(网关多线路模式)多线路配置截图(后续案例讲述配置)SANGFORSSL部署配置(单臂单线路模式)1、单臂模式配置:给设备LAN口分配一个可以上网的IP地址,填写正确的网关IP、DNS;2、前置网关做TCP443和80端口映射(如果用到IPSECVPN还需要映射TCP/UDP4009端口)单臂单线路部署配置思路:SSL部署配置(单臂单线路模式)单臂单线路模式配置截图给设备LAN口分配一个可以上网的IP,正确填写网关和DNS地址。配置DMZ口IP,可通过DMZ口管理设备SANGFORSSL部署配置(单臂多线路模式)•1、单臂模式配置:给设备LAN口分配一个可以上网的IP地址、填写正确的网关IP、DNS;•2、前置网关分别做两条线路的TCP443和80端口映射(如果用到IPSECVPN还需要映射TCP/UDP4009端口)•3、配置SSLVPN多线路单臂多线路部署配置思路:SSL部署配置(单臂多线路模式)单臂多线路模式配置截图(与单臂单线路设置相同)SSL部署配置(单臂多线路模式)单臂多线路模式多线路配置截图填入公网出口线路的真实公网IP地址。案例一:网关多线路部署案例某客户拓扑如图,客户需要实现外网用户通过SSLVPN接入访问内部的OA服务器群。客户有电信与网通两条链路,并且已经申请了多个IP地址。SSLVPN设备网关部署,分配一个电信与一个网通IP地址给SSLVPN设备使用。内网用户通过防火墙上网,外网用户需要实现输入域名xxx.test.com实现自动选择电信或者网通最快链路接入SSLVPN。部署需求:网关多线路部署配置思路•1.基础网络配置:网关模式,配置WAN1、WAN2口、LAN口IP地址信息,配置系统路由。(由于LAN口与服务器不在一个网段,而设备的默认路由指向WAN方向出口,所以需要添加到达内网的静态路由,下一条指向核心交换机)。•2.域名设置:将客户申请的二级域名XXX.test.com在ISP处用A记录指向1.1.2.2和2.1.2.2。•3.多线路设置:[系统配置]-[网络配置]-[多线路],勾选[启用IPSEC多线路传输],并且新建好两条线路。勾选[启用SSLVPN多线路],选择[SSLVPN用户直接接入本设备],并且新增两条线路。网关多线路部署配置步骤1.设置网关模式,LAN口和WAN1,WAN2口IP地址。网关多线路部署配置步骤2.设置系统路由网关多线路部署配置步骤3.设置SSLVPN多线路选路:a)启用IPSECVPN多线路,添加两条公网线路的IP地址(仅当SSL设备网关多线路直连公网的环境下需要设置)必须配置正确的DNS才能够进行链路检测线路故障检测用于实时检测链路的好坏,实现线路故障时自动切换。网关多线路部署配置步骤3.设置SSLVPN多线路选路:b)启用SSLVPN多线路,选择“SSLVPN用户直接接入本设备”点击线路名称,修改优先级网关多线路部署案例•a)一般情况下设置同等优先级即可。两条线路选择相同的优先级会直接对比从两条线路下载图片的耗时,选择耗时小的线路接入SSLVPN。•b)如果线路1设置为高,线路2设置为中。那么多线路选路的时候会自动从两条线路下载图片。优先级高的线路3秒内完成下载,不管优先级中的线路下载比优先级高的线路快还是慢,都选择优先级高的线路。3秒内未完成下载,则对比两条线路,哪条更快则选择哪条线路。•c)高优先级和中优先级之间是3秒,中和低之间是2秒,高和低之间是5秒SSLVPN多线路优先级的含义:案例二:单臂多线路部署案例客户拓扑如图所示,出口有电信与网通两条链路。客户需要不改动原有的网络环境部署SSL设备,同时实现外网用户输入1.1.2.2或者2.1.2.2任意一个IP地址均能自动选择最快链路接入SSLVPN。部署需求:单臂多线路部署配置思路•1.基础网络配置:单臂模式,配置LAN口IP地址,掩码,网关等信息。•2.前置防火墙做端口映射:前置防火墙需要做两条线路的80端口和443端口到172.16.1.10。需要注意:80端口也是必须映射的,因为多线路选路功能是依赖80端口来选路的,如果80端口不映射,将无法实现多线路选路功能。•3.多线路配置:[系统配置]-[网络配置]-[多线路],勾选[启用SSLVPN多线路],并且新增两条外网线路真实的公网IP地址。单臂多线路部署配置步骤1.设置单臂模式,LAN口IP地址,网关,以及DMZ口IP地址。单臂多线路和非直连公网的网关多线路模式下无需开启单臂多线路部署配置步骤2.设置SSLVPN多线路选路,新增公网出口线路真实的公网IP地址。SSLVPN自动选路功能注意事项1.要使用SSLVPN自动选路功能,必须开启HTTP端口。2.SSL单臂模式下必须在前置设备上同时做HTTPS端口和HTTP端口的映射,默认是TCP443和80端口。3.用户必须通过HTTP的方式访问SSL设备才能自动选路。通过webaent地址,域名,以及SSL设备的任意公网IP均可。练练手练练手客户网络现状和需求:随着公司发展,在外出差的人员越来越多,需要实现远程接入内网安全快速的访问内部系统。客户网络出口是一个路由器,有电信和网通两条公网线路,希望实现优先通过电信的线路连接SSLVPN,如果电信线路的延时比网通线路大很多时,才通过网通线路连VPN。练练手解决方案:SSLVPN设备网关模式部署替换原来网络中的路由器,设置多线路自动选路,通过电信线路和网通线路的选路优先级来实现客户的需求。1.单臂模式部署的时候可以使用设备的哪些接口接到网络里面?2.SSLVPN自动选路功能在直连公网的网关多线路和非直连公网的网关多线路模式下的配置是否有区别?如果有,请说出有哪些区别?3.请说出线路故障检测功能的作用。4.如果SSLVPN只启用HTTPS端口,是否可以使用SSL多线路自动选路功能?为什么?问题思考

1 / 38
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功