SANGFOR_IPSEC_V43_2012年度培训03_DLAN互联基础技术_20120602

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

SANGFORDLAN互联基础技术培训内容培训目标SANGFORDLAN互连基础技术介绍1.理解SANGFORVPN的几个专用术语。2.掌握SANGFORVPN主要专利技术的使用场景及配置方法。3.掌握SANGFORVPN建立连接的条件与过程。SANGFORDLAN术语解释1.1.DLAN、总部、分支、移动1.2.Webagent1.3.直连、非直连1.4.虚拟网卡、虚拟IP、虚拟IP池DLAN:即SANGFORIPSECVPN,培训PPT中,所说的DLAN均指SANGFORIPSECVPN。总部:提供VPN接入服务,为其他VPN用户提供接入账户校验的设备。DLAN总部设备需要配置WEBAGENT、VPN接入账号等。一般将服务器端所在的网络做为总部。分支:即接入总部端的设备。一般将客户端所在的网络做为分支。移动:即SANGFORVPN的软件客户端,又称为PDLAN。一般将单个客户端通过软件接入总部时称为移动用户。一个VPN设备既可以当总部,也可以当分支,也可以同时充当总部和分支的角色。WEBAGENT:用于SANGFORDLAN互联时,分支与移动用户寻找总部的地址,从而建立VPN连接。WEBAGENT有如下几种的填写方式:1.IP:端口,如123.123.123.123:4009适用于总部VPN设备有固定公网IP地址的环境2.IP1#IP2:端口,如123.123.123.123#221.221.221.221:4009适用于总部VPN设备有多条固定IP的线路,且需要做VPN的线路备份的环境3.网址的形式,如:webagent.sangfor.com.cn/webagent/123.php适用于总部VPN设备没有固定公网IP的环境,如ADSL线路。我的IP地址是X.X.X.X我的IP地址是X.X.X.X请告诉我总部的IP地址请告诉我总部的IP地址总部的IP地址是X.X.X.X总部的IP地址是X.X.X.XWEBAGENT寻址过程:(在寻址过程中,所有信息均使用DES加密。)直连:即设备的VPN连接端口能被公网直接访问。有如下几种情况可以被称为直连:A:设备WAN口直接接光纤或者拨号,本身就有公网IPB:设备放在企业内网,但是在前面的网关设备上将VPN连接端口映射给了SANGFORVPN设备。非直连:即设备的VPN连接端口不能被公网直接访问。。常见的情况是设备放在企业的内网,能够上网,但是前面的网关设备没有做端口映射给SANGFORVPN设备。SANGFOR设备之间要能正常互连VPN,则至少要保证一端为直连。前置路由器未做端口映射,VPN设备为“非直连”VPN设备可以通过公网直接访问,为“直连”虚拟网卡a、承载虚拟IP地址b、用于VPN隧道内的数据进行通信虚拟IP、虚拟IP池a、为虚拟网卡配置的地址b、VPN设备的虚拟网卡地址为自由获取,移动端虚拟网卡的地址由总部设备统一指定。SANGFORDLAN专利技术1.1.Webagent技术1.2.隧道间路由技术1.3.隧道内NAT技术1.4.跨运营商访问优化某用户总部和分支均通过ADSL拔号上网,用户要求分支和总部建立SNAGFORVPN连接以实现两端内网互访。问题分析:由于两端都是ADSL,IP地址随时会变,分支与总部连VPN时,无法找到对端正确的IP地址。解决办法:通过WEBAGENT动态寻址实现配置说明:一、联系深信服申请WEBAGENT地址二、在设备配置界面,选择【VPN信息设置】下的【基本配置】,打开WEBAGENT配置页面,将WEBAGENT地址填入到设备中点击可测试WEBAGENT地址是否正确测试成功表示地址可用如图,总部分别与两个分支建立VPN连接,分支1与分支2均能访问总部内网,现用户要求分支1与分支2之间能相互访问。问题分析:两个分支分别与总部建立VPN隧道,但分支1与分支2之间并没有任何线路相连,也没有VPN隧道。解决办法:通过在分支设备中配置隧道间路由实现。配置说明:1.配置总部与分支建立VPN互联,请参考《DLAN互联基础配置》,此处不再赘述2.配置分支设备的隧道间路由分别在分支1和分支2配置两条路由如图,总部分别与两个分支建立VPN连接,分支1与分支2内网均为192.168.1.0/24网段,用户要求不能改变任何一端的IP地址,实现分支与总部互访。问题分析:两个分支内网网段相同,当总部收到来自192.168.1.0/24网段的数据时,不知道该回给哪个分支?解决办法:通过配置隧道内NAT实现配置说明:1.在总部设备中配置分支虚拟IP池类型选择为分支,并配置分支虚拟IP池的范围配置说明:2.在总部设备中新增分支用户,并启用“隧道内NAT”功能勾选即启用隧道内NAT填写需要进行地址转换的源子网网段和转换后的子网网段,注:代理子网网段为虚拟IP池中为分支用户所建的IP段。点击确定,保存配置如图,总部分别与分支建立了VPN连接,用户反映VPN访问速度很慢,通过测试发现有很严重的丢包现象。问题分析:用户的分支和总部出口线路分别为不同的运营商,有可能是因为跨运商访问导致很慢。解决办法:通过配置跨运营商访问优化功能解决。注:跨运营商功能只能解决访问丢包的问题配置说明:一、序列号中,开通跨运营功能(若是硬件互联,要求两个硬件都需要开通序列号,若是硬件与软件互联,只需要开通硬件端的跨运营商序列号即可。)填写正确的序列号点击确定保存配置说明:二、分支或移动端启用跨运营商访问在分支设备上启用跨运营商功能在移动端启用跨运营商优化功能SANGFORDLAN互联基础1.1SANGFORDLAN建立连接的条件1.2.SANGFORDLAN建立连接的过程1.至少有一端是总部,且有足够的授权。(注意:深信服硬件与深信服硬件之间互联不需要授权,深信服PDLAN与深信服硬件互联需要授权,深信服硬件与第三方厂商互联需要授权。)2.至少有一端的VPN端口在公网上可访问(直连)。3.建立VPN连接的两个设备内网地址不能冲突。4.建立VPN连接的两端设备VPN版本要匹配。SANGFORDLAN建立连接的条件最基本的三步曲1、寻址:与谁建立连接(找到对方)——寻址(WebAgent原理、WebAgent设置)2、认证:身份验证(提交正确、充分的信息)—账号密码、Dkey、硬件鉴权、第三方认证。3、策略:(下发)选路策略、权限策略、VPN路由策略、安全策略(移动用户)、VPN专线(移动用户)、分配虚拟IPSANGFORDLAN建立连接的过程1.WEBAGENT有哪几种填写方式?什么情况下必须使用域名形式的WEBAGENT地址?2.隧道内NAT功能的主要作用是什么?3.两个SANGFOR硬件设备建立DLAN连接的必要条件有哪些?问题思考

1 / 26
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功