SANGFOR_IPSEC_2016年渠道高級認(rèn)證培訓(xùn)01_SANGFOR DLAN互聯(lián)進(jìn)階配置

1、 SANGFOR DLAN 互聯(lián)進(jìn)階配置培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)Webagent技術(shù)掌握WEBAGENT的使用場景及配置隧道間路由技術(shù)掌握隧道間路由的使用場景及配置隧道內(nèi)NAT技術(shù)掌握隧道內(nèi)NAT的使用場景及配置跨運(yùn)營商訪問優(yōu)化了解跨運(yùn)營商訪問技術(shù)VPN內(nèi)網(wǎng)權(quán)限的設(shè)置案例掌握內(nèi)網(wǎng)權(quán)限的兩種配置方法隧道間路由技術(shù)隧道內(nèi)NAT技術(shù)深信服公司簡介跨運(yùn)營商訪問優(yōu)化SANGFOR DLAN深信服公司簡介VPN內(nèi)網(wǎng)權(quán)限的設(shè)置案例Webagent技術(shù)SANGFOR DLAN互聯(lián)進(jìn)階配置1.Webagent技術(shù)2. 隧道間路由技術(shù)3. 隧道內(nèi)NAT技術(shù)4. 跨運(yùn)營商訪問優(yōu)化5. VPN內(nèi)網(wǎng)權(quán)限的設(shè)置案例某用戶總部和分

2、支均通過ADSL拔號上網(wǎng)，用戶要求分支和總部建立SNAGFOR VPN連接以實(shí)現(xiàn)兩端內(nèi)網(wǎng)互訪。問題分析：由于兩端都是ADSL，IP地址隨時(shí)會(huì)變，分支與總部連VPN時(shí)，無法找到對端正確的IP地址。解決辦法：通過WEBAGENT動(dòng)態(tài)尋址實(shí)現(xiàn)配置說明：一、聯(lián)系深信服申請WEBAGENT地址二、在設(shè)備配置界面，選擇【VPN信息設(shè)置】下的【基本配置】，打開WEBAGENT配置頁面，將WEBAGENT地址填入到設(shè)備中點(diǎn)擊可測試WEBAGENT地址是否正確測試成功表示地址可用如圖，總部分別與兩個(gè)分支建立VPN連接，分支1與分支2均能訪問總部內(nèi)網(wǎng)，現(xiàn)用戶要求分支1與分支2之間能相互訪問。問題分析：兩個(gè)分支分別

3、與總部建立 VPN隧道，但分支1與分支2之間并沒有任何線路相連，也沒有VPN隧道。解決辦法：通過在分支設(shè)備中配置隧道間路由實(shí)現(xiàn)。VPNVPN配置說明： 1.配置總部與分支建立 VPN互聯(lián)，請參考 DLAN互聯(lián)基礎(chǔ)配置，此處不再贅述2.配置分支設(shè)備的隧道間路由分別在分支1和分支2配置兩條路由如圖，總部分別與兩個(gè)分支建立VPN連接，分支1與分支2內(nèi)網(wǎng)均為/24網(wǎng)段，用戶要求不能改變?nèi)魏我欢说腎P地址，實(shí)現(xiàn)分支與總部互訪。問題分析：兩個(gè)分支內(nèi)網(wǎng)網(wǎng)段相同，當(dāng)總部收到來自/24網(wǎng)段的數(shù)據(jù)時(shí)，不知道該回給哪個(gè)分支？解決辦法：通過配置隧道內(nèi)NAT實(shí)現(xiàn)注意：如果分支都是網(wǎng)關(guān)部署，設(shè)備支持，如果分支兩端是單臂部

4、署，需要修改LAN口IP地址或者升級到DLAN4.3R2解決配置說明：1.在總部設(shè)備中配置分支虛擬IP池類型選擇為分支，并配置分支虛擬IP池的范圍配置說明：2.在總部設(shè)備中新增分支用戶，并啟用“隧道內(nèi)NAT”功能勾選即啟用隧道內(nèi)NAT填寫需要進(jìn)行地址轉(zhuǎn)換的源子網(wǎng)網(wǎng)段和轉(zhuǎn)換后的子網(wǎng)網(wǎng)段，注：代理子網(wǎng)網(wǎng)段為虛擬IP池中為分支用戶所建的IP段。點(diǎn)擊確定，保存配置如圖，總部分別與分支建立了VPN連接，用戶反映VPN訪問速度很慢，通過測試發(fā)現(xiàn)有很嚴(yán)重的丟包現(xiàn)象。問題分析：用戶的分支和總部出口線路分別為不同的運(yùn)營商，有可能是因?yàn)榭邕\(yùn)商訪問導(dǎo)致很慢。解決辦法：通過配置跨運(yùn)營商訪問優(yōu)化功能解決。注：跨運(yùn)營商功

5、能只能優(yōu)化訪問丟包的問題配置說明：一、序列號中，開通跨運(yùn)營功能（若是硬件互聯(lián)，要求兩個(gè)硬件都需要開通序列號，若是硬件與軟件互聯(lián)，只需要開通硬件端的跨運(yùn)營商序列號即可。）填寫正確的序列號點(diǎn)擊確定保存配置說明：二、分支或移動(dòng)端啟用跨運(yùn)營商訪問在分支設(shè)備上啟用跨運(yùn)營商功能在移動(dòng)端啟用跨運(yùn)營商優(yōu)化功能需求：某總部和分支部署了兩臺VPN設(shè)備，現(xiàn)總部的VPN設(shè)備做為VPN總部與分支建立了VPN連接，用戶要求對分支訪問總部的服務(wù)器進(jìn)行權(quán)限控制，只允許分支網(wǎng)絡(luò)的PC訪問總部的WEB服務(wù)器（80端口），禁止訪問其他的任何服務(wù)器（包括PC客戶端）。如下圖：基本思路該客戶需求一共有兩種方法可以實(shí)現(xiàn)，通過VPN內(nèi)網(wǎng)權(quán)

6、限與通過防火墻過濾規(guī)則，下面分別介紹兩種情況下如何配置。配置方法一：通過VPN內(nèi)網(wǎng)權(quán)限實(shí)現(xiàn)。第一步：在總部VPN設(shè)備的VPN信息設(shè)置-高級設(shè)置-內(nèi)網(wǎng)服務(wù)設(shè)置頁面，新增一個(gè)WEB的內(nèi)網(wǎng)服務(wù)，頁面如下：本案例中，源IP為分支的內(nèi)網(wǎng)網(wǎng)段，源端口必須選擇1-65535，因?yàn)榘l(fā)起連接的端口均為隨機(jī)端口。目標(biāo)IP可為總部的內(nèi)網(wǎng)WEB服務(wù)器IP，目的端口為WEB端口80。配置方法一：通過VPN內(nèi)網(wǎng)權(quán)限實(shí)現(xiàn)。第二步：在總部設(shè)備的VPN信息設(shè)置-用戶管理頁面編輯分支用戶，點(diǎn)擊權(quán)限設(shè)置，頁面如下：注意：一旦設(shè)置了VPN內(nèi)網(wǎng)權(quán)限，不光VPN對端訪問本端受到限制，本端訪問VPN對端一樣會(huì)受到內(nèi)網(wǎng)權(quán)限的控制。因?yàn)閮?nèi)網(wǎng)權(quán)限只檢查數(shù)據(jù)包的IP和端口，不管這個(gè)數(shù)據(jù)包是VPN對端主動(dòng)發(fā)起的還是本端主動(dòng)發(fā)起VPN對端響應(yīng)的，只要符合規(guī)則條件的數(shù)據(jù)包都會(huì)做相同的處理。通過防火墻過濾規(guī)則可做到更細(xì)化的控制。配置方法二：通過防火墻過濾規(guī)則實(shí)現(xiàn)。第一步：在總部的VPN設(shè)備防火墻設(shè)置-IP組定義定義好分支網(wǎng)段的IP組，與總部WEB服務(wù)器的IP組，界面如下：配置方法二：通過防火墻過濾規(guī)則實(shí)現(xiàn)。第二步：在總部VPN設(shè)備的防火墻設(shè)置-過濾規(guī)則設(shè)置-VPNLAN，刪除VPN-LAN的三