SANGFOR-IPSEC-SANGFOR-DLAN基本功能介绍

SANGFORDLAN基本功能介绍January10,2017培训内容培训目标SANGFORDLAN介绍了解DLAN的应用背景SANGFORDLAN术语解释了解DLAN的一些专业术语SANGFORDLAN互联条件掌握DLAN的互联条件Contents123SANGFORDLAN介绍SANGFORDLAN术语解释SANGFORDLAN互联条件SANGFORDLAN介绍SANGFORDLAN即深信服自主研发的IPSecVPN产品。早在2001年，深信服便涉足IPSecVPN领域，旨在为用户提安全、高速、稳定、高性价比的虚拟专用网解决方案。经过多年的发展，SANGFORDLAN已经成为中国VPN领域的第一品牌。SANGFORDLAN的应用场景统一的信息平台建立，实现总部与分支之间资源共享的需求多线路环境下，实现线路智能选路的需求大专网内构建“小专网”，保障敏感数据的安全的需求专线备份，全方位的稳定性保证的需求SANGFORDLAN的技术特点基于国际标准的IPSecVPN细化到端口的权限控制VPN专线技术使访问更安全VPN多线路复用技术实现带宽叠加和负载均衡，最大化的提高带宽利用率！（专利）通过畅联技术优化传输线路，即使面对高丢包的环境也能畅通无阻！(专利）SANGFORDLAN的优势深信服设备自身能互联两种VPN类型，一是标准IPSECVPN，另外就是司自主开发的SANGFORVPN，与标准IPSECVPN相比，SANGFORVPN的优势有：1、支持两端都为非固定IP的公网环境2、VPN多线路复用技术，实现VPN链路的负载均衡和备份3、VPN专线技术，实现VPN网络与公网的隔离4、隧道间路由技术，分支用户通过总部上网，实现总部的统一管控5、隧道间NAT技术，解决多个分支网段IP冲突的问题6、隧道内流控技术，实现带宽合理分配SANGFORDLAN解决方案公网“专有化”！组网便利，易于扩展透明访问，使用方便SANGFORDLAN产品系列目前含有SANGFORDLAN模块的产品系列有：1.SANGFORDLAN设备（如S5100/P5100、VPN1050/1150）2.SANGFORSSL设备3.SANGFORAC设备4.SANGFORSG设备5.SANGFORMIG设备6.SANGFORWOC设备7.SANGFORNGAF设备注：设备在不同的部署模式下支持的功能各不一样，上述设备在某些特殊环境下不支持VPN功能Contents123SANGFORDLAN介绍SANGFORDLAN术语解释SANGFORDLAN互联条件1DLAN，总部，分支，移动DLAN：即SANGFORIPSECVPN，培训PPT中，所说的DLAN均指SANGFORIPSECVPN。总部：提供VPN接入服务，为其他VPN用户提供接入账户校验的设备。DLAN总部设备需要配置WEBAGENT、VPN接入账号等。一般将服务器端所在的网络做为总部。分支:即接入总部端的设备。一般将客户端所在的网络做为分支。移动：即SANGFORVPN的软件客户端，又称为PDLAN。一般将单个客户端通过软件接入总部时称为移动用户。一个VPN设备既可以当总部，也可以当分支，也可以同时充当总部和分支的角色。1DLAN，总部，分支，移动2webagentWEBAGENT:用于SANGFORDLAN互联时，分支与移动用户寻找总部的地址，从而建立VPN连接。WEBAGENT有如下几种的填写方式：1.IP:端口，如123.123.123.123:4009适用于总部VPN设备有固定公网IP地址的环境2.IP1#IP2:端口，如123.123.123.123#221.221.221.221:4009适用于总部VPN设备有多条固定IP的线路，且需要做VPN的线路备份的环境3.网址的形式，如webagent.sangfor.com.cn/webagent/123.php适用于总部VPN设备没有固定公网IP的环境，如ADSL线路。4.域名：端口形式，如适用于总部已存在动态域名指向他们出口的公网IP的环境2webagentWEBAGENT寻址过程：（在寻址过程中，所有信息均使用DES加密。）我的IP地址是X.X.X.X我的IP地址是X.X.X.X请告诉我总部的IP地址请告诉我总部的IP地址总部的IP地址是X.X.X.X总部的IP地址是X.X.X.X3直连与非直连直连：即设备的VPN连接端口能被公网直接访问。有如下几种情况可以被称为直连：A:设备WAN口直接接光纤或者拨号，本身就有公网IPB:设备放在企业内网，但是在前面的网关设备上将VPN连接端口映射给了SANGFORVPN设备。非直连：即设备的VPN连接端口不能被公网直接访问。常见的情况是设备放在企业的内网，能够上网，但是前面的网关设备没有做端口映射给SANGFORVPN设备。SANGFOR设备之间要能正常互连VPN，则至少要保证一端为直连。3直连与非直连VPN设备可以通过公网直接访问，为“直连”前置路由器未做端口映射，VPN设备为“非直连”4虚拟网卡、虚拟IP、虚拟IP池虚拟网卡a、承载虚拟IP地址b、用于VPN隧道内的数据进行通信4虚拟网卡、虚拟IP、虚拟IP池虚拟IP、虚拟IP池a、为虚拟网卡配置的地址b、VPN设备的虚拟网卡地址为自由获取，移动端虚拟网卡的地址由总部设备统一指定。5VPNTUN接口Vpntun接口：VPN数据的虚拟路由口，用来引导数据发往VPN隧道，从而封装报文。Contents123SANGFORDLAN介绍SANGFORDLAN术语解释SANGFORDLAN互联条件SANGFORDLAN建立连接的条件1.至少有一端是总部，且有足够的授权。(注意：深信服硬件与深信服硬件之间互联不需要授权，深信服PDLAN与深信服硬件互联需要授权，深信服硬件与第三方厂商互联需要授权。)2.至少有一端的VPN端口在公网上可访问（直连）。3.建立VPN连接的两个设备内网网段不能冲突。4.建立VPN连接的两端设备VPN版本要匹配。(如dlan4.x版本既能跟dlan4.x版本互联也能跟dlan5.x版本互联，但dlan2.x版本只能跟dlan2.x版本互联）SANGFORDLAN建立连接的过程最基本的三步曲1、寻址：与谁建立连接(找到对方)——寻址（WebAgent原理、WebAgent设置）2、认证：身份验证（提交正确、充分的信息）—账号密码、Dkey、硬件鉴权、第三方认证。3、策略：（下发）选路策略、权限策略、VPN路由策略、安全策略（移动用户）、VPN专线（移动用户）、分配虚拟IP问题思考1.用户一般在什么情况下会用到SANGFORIPSECVPN？2.相对标准IPSECVPN，SANGFORDLAN有哪些技术优势？3.两个SANGFOR硬件设备建立DLAN连接的必要条件有哪些？深信服社区资料库社区资料库旨在为用户提供最新、最全的产品资料！访问方式：bbs.sangfor.com.cn资料分类：通用资料产品介绍产品视频行业案例技术白皮书新功能介绍配置手册培训教材和视频测试指导排错指导销售专用资料销售工具案例集方案集测试集拓扑图自学工具售前培训认证考试经验分享深圳市南山区学苑大道1001号南山智园A1栋market@sangfor.com.cn