SANGFOR_NGAF_2013年度渠道初级认证培训05

SANGFORNGAFVPN互联配置培训内容培训目标NGAFDLAN互联配置1.掌握NGAF设备建立DLAN互联的条件。2.掌握通过NGAF设备与其他SANGFOR设备建立DLAN互联的配置。NGAFDLAN多线路1.了解NGAF设备实现DLAN多线路功能的前提条件。2.掌握NGAF设备DLAN多线路功能的配置。NGAF标准IPSEC互联配置1.掌握NGAF设备与第三方设备建立标准IPSECVPN互联的配置。NGAFDLAN互联配置NGAFDLAN多线路配置深信服公司简介NGAF标准IPSECVPN互联配置练练手SANGFORNGAFNGAFDLAN互联基本条件1.至少有一端作为总部，且有足够的授权（硬件与硬件之间互连不需要授权）。2.建立DLAN互联的两个设备路由可达，且至少有一个设备的VPN监听端口能被对端设备访问到。3.建立DLAN互联两端的内网地址不能冲突。4.建立DLAN互联两端的版本需匹配。首先，我们回顾一下SANGFORDLAN互联的基本条件：学习本PPT内容之前，请提前学习《SANGFORIPSEC渠道初级培训教材》。NGAFDLAN互联基本条件NGAF仅支持作为网关（路由）模式或者单臂模式的SANGFORVPN对接。标准的第三方IPSEC互联，仅在网关模式部署下支持。网桥透明模式，虚拟线路模式，旁路模式都不支持VPN功能；NGAF2.0及以前版本，透明网桥模式或虚拟线路模式下也许有成功建立过VPN的案例，后续该模式都不提供支持，都需要更改为上述网关或单臂模式。NGAF3.0版本取消了VPN模块，ADSL以及DHCP模块，将在3.5版本合入。NGAFDLAN互联基本条件1.必须有一个物理接口为路由口，才支持建立DLAN连接。2.步骤请参考IPSECPPT（标准IPSEC互联配置参照SANGFORIPSEC2013年度渠道初级认证培训的标准IPSECVPN互联配置ppt）。NGAF如何建立DLAN互联？NGAFDLAN互联注意事项1.NGAF设备VPN模块下的【内网接口设置】有何作用？答：【内网接口设置】中只能添加非WAN属性的路由口，用于将这个接口上主IP（第一个IP）的网段通告对端的SANGFOR设备，对端访问这个网段的数据就能被加密封装，通过VPN传输。【内网接口设置】的作用与本地子网相同，但是，【内网接口设置】中添加接口只通告设备直连网段；通过本地子网，可以通告本端所有的内网网段。NGAFDLAN互联注意事项2.NGAF设备VPN模块下的【外网接口设置】有何作用？答：如果需要开启VPN多线路功能和标准IPSEC对接的情况下，则必须设置【外网接口设置】。通过【外网接口设置】添加外网接口，可探测外网接口的线路状态。NGAFDLAN多线路配置NGAFDLAN多线路配置案例用户环境：某用户公司在公网出口部署了一台NGAF设备，用于保护内网服务器和用户上网的安全。内网用户和服务器网段为172.16.1.0-172.16.2.0/24。分公司公网出口部署了一台SSL设备，用于远程办公。用户需求：通过NGAF设备和SSL设备建立VPN互联，且能够实现VPN的流量平均通过总部两条线路传输。NGAFDLAN多线路配置案例SSL设备上的配置思路：1.SSL设备设置连接管理。（配置省略）NGAF设备上的配置思路：1.物理接口设置：将eth1、eth2、eth3设置成路由接口，且eth1和eth2设置WAN属性。•静态路由设置：目标地址为172.16.1.0-172.16.2.0/24，下一跳为172.16.0.254。1.区域设置：设置内网和外网区域，内网区域添加eth3口，外网区域添加eth1和eth2（此处设置与VPN互联无关，可选配置）。•VPN设置：设置【基本设置】、【用户管理】、【外网接口设置】、【多线路选路策略】和【本地子网列表】。NGAFDLAN多线路配置1.由于需要配置两个WAN接口，必须确保设备有两条或两条以上线路的授权。NGAFDLAN多线路配置2.物理接口设置：设置正确的IP和网关开启链路故障检测，配置省略。开启链路故障检测，配置省略。非WAN属性的接口，无需开启链路故障检测NGAFDLAN多线路配置3.静态路由设置：NGAFDLAN多线路配置4.VPN设置：设置【基本设置】和【用户管理】NGAFDLAN多线路配置4.VPN设置：【外网接口设置】外网接口只能选择WAN属性的接口NGAFDLAN多线路配置4.VPN设置：【多线路选路策略】NGAFDLAN多线路配置4.VPN设置：【本地子网列表】如果NGAF设备eth3口直连网段也需要通过VPN访问，则需要把172.16.0.0网段加入到本地子网列表。NGAF标准IPSECVPN互联NGAF标准IPSECVPN互联条件1.NGAF设备必须具有分支机构的授权NGAF与第三方设备建立标准IPSECVPN互联条件：2.NGAF设备必须至少具有一个WAN属性的路由接口（非管理口Eth0），和一个非WAN属性的路由口（非管理口Eth0），用于建立标准IPSEC连接。NGAF标准IPSECVPN互联配置通过NGAF设备与第三方设备进行标准IPSECVPN互联时，除了【第三方对接】的配置外，还需要配置【内网接口设置】和【外网接口设置】（标准IPSEC互联配置参照《SANGFORIPSEC2011年度渠道高级认证培训01_标准IPSECVPN互联配置.ppt》）。配置了【外网接口设置】后，【第三方对接】第一阶段的线路出口才能选择线路，否则为空。NGAF标准IPSECVPN互联配置【内网接口设置】添加本端VPN数据进入NGAF设备的非WAN属性的路由口（非管理口eth0）。NGAF标准IPSECVPN互联注意事项1.NGAF设备不能通过管理口eth0建立标准IPSEC互联（即把eth0口添加其它IP地址，当做内网口或者外网口建立标准IPSECVPN的场景）。3.NGAF设备建立标准IPSEC互联时，VPN的数据必须从一个非WAN属性的路由口进入到设备，并从一个WAN属性的路由口转发。2.NGAF设备配置标准IPSEC互联时，必须配置【外网接口设置】和【内网接口设置】。练练手1.请尝试通过NGAF设备的路由口（非管理口）与另一台SANGFOR设备建立DLAN互联，并通过【内网接口列表】实现NGAF设备路由口下的直连网段通过VPN访问对端。2.请尝试通过NGAF设备的VLAN接口与另一台SANGFOR设备建立DLAN互联，并通过【本地子网列表】实现NGAF设备内网的网段与VPN对端网段通信。想一想1.通过NGAF设备与其他的SANGFOR设备建立DLAN互联有哪些基本条件？2.通过NGAF设备与其他的SANGFOR设备建立DLAN互联时，是否必须配置【内网接口设置】和【外网接口设置】？为什么？3.通过NGAF设备与第三方设备建立标准IPSEC互联时，配置和其他SANGFOR设备有哪些不同？