深信服-DLAN技術(shù)知識講解

深信服-DLAN技術(shù)培訓(xùn)目的1、掌握DLAN技術(shù)的原理2、掌握DLAN常用功能的原理和配置大綱一、DLAN技術(shù)介紹二、DLAN基本配置三、DLAN高級配置四、DLAN綜合實(shí)驗(yàn)五、DLAN常見問題一、DLAN技術(shù)介紹1、SINFORDLAN術(shù)語2、SINFORDLAN互聯(lián)基礎(chǔ)3、SINFORDLAN新老版本區(qū)別1、SINFORDLAN術(shù)語DLAN總部、DLAN分支、DLAN移動Webagent尋址直連、非直連虛擬網(wǎng)卡、虛擬IP、虛擬IP池DLAN總部、DLAN分支、DLAN移動Webagent尋址在尋址過程中，所有信息均使用DES加密。電信：

（5）網(wǎng)通：直連與非直連直連：即我們設(shè)備本身有公網(wǎng)IP或者能夠被從公網(wǎng)訪問的到。非直連：即我們設(shè)備本身沒有公網(wǎng)IP或者無法從公網(wǎng)去訪問到。我們的設(shè)備之間要能正?；ハ噙B接VPN，則至少要保證一端為直連。虛擬網(wǎng)卡、虛擬ip、虛擬ip池虛擬網(wǎng)卡

a、只在移動PDLAN上生成

b、承載虛擬IP地址

c、操作系統(tǒng)添加本地路由虛擬IP、虛擬IP池

a、由總部端設(shè)定虛擬IP池范圍

b、虛擬IP分配到移動PDLAN上SINFORDLAN互聯(lián)1、互聯(lián)條件2、互聯(lián)過程1、SINFORDLAN互聯(lián)的條件a、至少有一端是總部，且有足夠的授權(quán)。硬件與硬件之間互連不需要授權(quán)。b、至少有一端在公網(wǎng)上可訪問——“可尋址”或固定公網(wǎng)IP。c、建立VPN兩端的內(nèi)網(wǎng)地址不能沖突。d、建立VPN兩端的版本要匹配。2、DLAN互聯(lián)的過程最基本的三步曲a、尋址——與誰建立連接(找到對方)b、認(rèn)證——提交正確、充分的信息c、策略——選路策略、權(quán)限策略、VPN路由策略、安全策略（移動用戶，4.x版本無此功能）、VPN專線（移動用戶）、分配虛擬IP（移動用戶）二、SINFORDLAN基本配置一、硬件間互聯(lián)二、軟件移動和硬件互聯(lián)1、硬件間互聯(lián)DLAN總部設(shè)置設(shè)置上網(wǎng)設(shè)置Webagent（尋址）建用戶（認(rèn)證）設(shè)策略（策略）DLAN分支設(shè)置填一個連接管理VPN設(shè)置上網(wǎng)DLAN總部配置/webagent/m5100/support.phpDLAN分支配置查看DLAN連接狀態(tài)移動和硬件總部互聯(lián)DLAN總部設(shè)置設(shè)置上網(wǎng)設(shè)置Webagent（尋址）建用戶（認(rèn)證）設(shè)策略（策略）DLAN移動設(shè)置建一個vpn連接（基本設(shè)置設(shè)webagent、主連接參數(shù)設(shè)認(rèn)證信息）設(shè)置上網(wǎng)總部單臂時注意在路由器上做端口映射和加回包路由。DLAN總部配置移動端配置注意點(diǎn)右下角的設(shè)置生效注意點(diǎn)右下角的設(shè)置生效三、DLAN高級配置1、用戶第三方認(rèn)證2、用戶管理3、加密算法4、硬件鑒權(quán)5、DKEY6、內(nèi)網(wǎng)權(quán)限7、FW對DLAN的控制8、多線路9、VPN內(nèi)組播10、VPN隧道內(nèi)NAT11、VPN隧道內(nèi)流控12、跨運(yùn)營商13、隧道間路由14、標(biāo)準(zhǔn)IPSEC對接1、用戶第三方認(rèn)證支持本地認(rèn)證和LDAP認(rèn)證、Radius認(rèn)證（注意：S5100及以下的小硬件不支持）基本配置與SSL的第三方認(rèn)證相同，可對比學(xué)習(xí)。（注意：暫不支持指定搜索路徑，必須使用域管理員賬號）2、用戶管理新增用戶組（使用同種加密算法的用戶的邏輯組合、是否是用網(wǎng)上鄰居、具有相同訪問權(quán)限）；恢復(fù)了多用戶登錄<公用賬戶>功能。此三項(xiàng)只對移動用戶有效。3、加密算法在原來2.5x僅支持AES的基礎(chǔ)上擴(kuò)展支持了多種加密（DES、3DES、AES）和認(rèn)證（MD5、SHA-1）算法，并可根據(jù)客戶需求增加其他算法。注：認(rèn)證算法用于配置標(biāo)準(zhǔn)IPsec.4、硬件鑒權(quán)通過捆綁對端機(jī)器的硬件信息，即使在有人竊取到對端接入的用戶名密碼也無法接入，保證信息的安全。5、DKEY通過將連接信息存儲在USBKey中，實(shí)現(xiàn)客戶端零配置需求，同時保證在用戶名密碼泄露的情況下，光憑用戶名密碼無法接入總部，保證信息的安全。（只針對移動用戶）6、內(nèi)網(wǎng)權(quán)限權(quán)限設(shè)置更加細(xì)化，可實(shí)現(xiàn)雙向的權(quán)限控制--可針對訪問數(shù)據(jù)的源IP、端口，目的IP、端口進(jìn)行控制（類似標(biāo)準(zhǔn)IPSec的出入站策略）分支訪問過來的時候確實(shí)只能訪問50這臺服務(wù)器了，但是同時總部也只有50這臺電腦能訪問分支，總部其他電腦訪問不到分支。源：2

目標(biāo)：0源：0目標(biāo)：2目標(biāo)IP不符合內(nèi)網(wǎng)權(quán)限條件，缺省拒絕。分支能訪問總部的服務(wù)器/24/246、內(nèi)網(wǎng)權(quán)限權(quán)限設(shè)置更加細(xì)化，可實(shí)現(xiàn)雙向的權(quán)限控制--可針對訪問數(shù)據(jù)的源IP、端口，目的IP、端口進(jìn)行控制（類似標(biāo)準(zhǔn)IPSec的出入站策略）2.5x4.x2.5x4.x6、內(nèi)網(wǎng)權(quán)限—新老版本比較案例:“針對訪問數(shù)據(jù)的源IP、端口，目的IP、端口進(jìn)行權(quán)限控制”，老版本的內(nèi)網(wǎng)權(quán)限，只能細(xì)致到一條隧道（賬號），但對使用同一隧道（賬號）接入的不同IP就無法做限制了，現(xiàn)在有了“源”的選項(xiàng)則可實(shí)現(xiàn)權(quán)限細(xì)致到某一IP。注意這里的“源”是指VPN連接的對端--即，在那里設(shè)置的內(nèi)網(wǎng)權(quán)限，則“源”一定是VPN連接對端的內(nèi)網(wǎng)。6、內(nèi)網(wǎng)權(quán)限7、FW對DLAN的控制防火墻的規(guī)則，對在VPN<->LAN、WAN、DMZ之間傳輸?shù)臄?shù)據(jù)都生效，且NAT規(guī)則對VPN虛擬網(wǎng)卡也生效（通過目的路由用戶上網(wǎng)）。設(shè)置方法，同原有的過濾規(guī)則、NAT設(shè)置類似，只是要注意數(shù)據(jù)傳輸方向上源IP、目的IP的設(shè)置。8、多線路 通過VPN多線路技術(shù)可以將VPN數(shù)據(jù)同時在不同的物理線路上跑，以獲得大于單鏈路帶寬的傳輸速度或者將多個物理鏈路作為VPN線路的備份，以達(dá)到冗余的目的。帶寬疊加線路主備動態(tài)適應(yīng)平均分配8、多線路—選路策略帶寬疊加：把連接平均分配到2條線路上去，同一個連接始終只走同一條線路。8、多線路—選路策略當(dāng)主線路組中的VPN線路（1-1）和（2-2）線路延時差值大于200ms時，較差的線路將不參與VPN數(shù)據(jù)的承載（即使它好的，并且在主線路組中）。8、多線路—帶寬疊加平均分配：就是按ip包來平均分配。假設(shè)建立了兩條隧道的情況，則第一個ip包走隧道1，第二個ip包走隧道2，第三個又走隧道1，第四個又走隧道2，以此類推。8、多線路—選路策略返回453218、多線路—平均分配線路主備：同時和對端的多條線路建立VPN連接，但是數(shù)據(jù)只從指定的主線路上傳輸，當(dāng)主線路斷掉后，則會切換為備份線路來傳輸；當(dāng)主線路又恢復(fù)后，則又切回主線路傳輸。8、多線路—選路策略如果主線路組有多條VPN線路，則只有當(dāng)主線路組的VPN線路全部都不可用時，才會切換到備份線路組中的VPN線路上X8、多線路—線路主備動態(tài)適應(yīng)：vpn建立之前做一個tcp探測，選延時小的線路建立vpn隧道。建立好后，如果該線路VPN一直不斷，則一直使用這個vpn隧道。8、多線路—選路策略當(dāng)閾值設(shè)置成0時，設(shè)備會在主線路組中動態(tài)探測，選擇最優(yōu)的線路做為VPN線路。？？要連vpn到總部8、多線路—動態(tài)適應(yīng)IP2IP1原理：單臂部署時，在VPN設(shè)備網(wǎng)口設(shè)置中配置多個IP，多線路設(shè)置處配置單臂多線路，前置網(wǎng)關(guān)做SNAT，如此實(shí)現(xiàn)單臂模式下VPN數(shù)據(jù)分別走相應(yīng)的外網(wǎng)線路。前置網(wǎng)關(guān)設(shè)備有多線路且以源IP來進(jìn)行選路時實(shí)現(xiàn)VPN數(shù)據(jù)分別走相應(yīng)的外網(wǎng)線路。電信1電信2內(nèi)網(wǎng)實(shí)現(xiàn)前提：1、單臂設(shè)備有多線路授權(quán)；2、前置設(shè)備有多線路；3、前置設(shè)備支持根據(jù)源IP做策略路由。主線路組平均分配8、多線路—單臂模式下多線路配置：這里就是單臂多線路配置LAN口多IP的地方。每配置一個IP，不要忘記點(diǎn)確定，否則切換到第2條線，剛才配置的就丟失了。8、多線路—單臂模式下多線路配置：第2個IPLAN口本身并不能作為一個多線路IP使用。LAN口IP和多線路IP必須在同一個網(wǎng)段，否則會有問題。8、多線路—單臂模式下多線路配置：線路1和線路2的IP也必須在同一網(wǎng)段。8、多線路—單臂模式下多線路應(yīng)用1：電信網(wǎng)通內(nèi)網(wǎng)1、做2個端口映射2、單臂設(shè)備配置2個多線路IP（LAN口就隨便配一個IP）3、SW或者FW做策略路由，把不同的源IP交給不同的線路出去4、單臂設(shè)備配置多線路設(shè)置部分，并且配置多線路選路策略5、針對用戶啟用多線路選路策略IP1IP2總部8、多線路—單臂模式下多線路應(yīng)用2：內(nèi)網(wǎng)電信網(wǎng)通內(nèi)網(wǎng)分支總部1、單臂設(shè)備配置2個多線路IP（LAN口就隨便配一個IP）2、SW或者FW做策略路由，把不同的源IP交給不同的線路出去3、單臂設(shè)備配置多線路設(shè)置部分4、總部設(shè)備配置多線路策略，本端線路1分別對應(yīng)對端線路1、對端線路2IP1IP25、分支通過多線路和總部建立VPN連接8、多線路—單臂模式下多線路9、VPN支持組播

原理：為了滿足對VOIP、視頻會議的需求，VPN4.3開始支持組播包。支持星型拓?fù)浣Y(jié)構(gòu)下總部對各個分支的組播，以及分支對總部的組播。移動用戶支持接收總部的組播數(shù)據(jù)，但不能向總部發(fā)組播數(shù)據(jù)。配置：10、VPN隧道內(nèi)NAT原理：在兩個或多個分支間發(fā)送子網(wǎng)沖突的時候，對其中幾個分支子網(wǎng)地址進(jìn)行NAT，對有沖突的分支賬戶啟用虛擬IP段（可按需求配置多個虛擬IP網(wǎng)段），分支對虛擬網(wǎng)卡送來的數(shù)據(jù)先替換源IP為虛擬IP，主機(jī)號保持不變，之后發(fā)送到總部，對總部送回的數(shù)據(jù)根據(jù)之前的替換映射關(guān)系還原源IP之后在發(fā)送到虛擬網(wǎng)卡。這樣有相同內(nèi)網(wǎng)段的幾個分支都可以同時連上總部。/24/24/24總部分支分支SNAT注意：隧道內(nèi)NAT只解決分支與分支網(wǎng)段沖突問題。分支與總部網(wǎng)段沖突無法解決。IP地址是一對一的關(guān)系。比如原來是2.1，轉(zhuǎn)換過去就是3.1，是對應(yīng)的。（只轉(zhuǎn)換網(wǎng)絡(luò)位）10、VPN隧道內(nèi)NAT配置：想要轉(zhuǎn)換到哪個IP段的起始IP地址想要轉(zhuǎn)換到那個IP段的掩碼多少個網(wǎng)段需要轉(zhuǎn)換10、VPN隧道內(nèi)NAT應(yīng)用：分支A和分支B的內(nèi)網(wǎng)有沖突，想通過隧道間NAT實(shí)現(xiàn)跟總部的互訪，并且這2個分支之間還要能通過總部互訪。/24/24/24總部分支A分支BSNAT（3.0）SNAT（4.0）分支A和分支B如何實(shí)現(xiàn)互訪？方案：分支A添加隧道間路由，源為2.0網(wǎng)段，目的為3.0網(wǎng)段。分支B添加隧道間路由，源為2.0網(wǎng)段，目的為4.0網(wǎng)段。源一定是真實(shí)網(wǎng)段，因?yàn)樗淼篱g路由在SNAT之前。11、VPN隧道內(nèi)流控應(yīng)用：VPN隧道內(nèi)流控主要用來解決某些隧道占用大量帶寬，影響其他用戶的使用的情況。注意：要注意的問題是不要因?yàn)榱骺貙?dǎo)致該隧道內(nèi)的流量迅速下降，只要不超過最大帶寬限制就可以了。另外，流控只能針對隧道，沒辦法針對隧道內(nèi)的具體應(yīng)用！11、VPN隧道內(nèi)流控配置：12、跨運(yùn)營商Dlan4.1支持跨運(yùn)營商功能（需要額外開授權(quán)，在連接管理里啟用），此功能解決的是跨運(yùn)營商導(dǎo)致的丟包問題，解決因?yàn)閬G包帶來的TCP滑動窗口變小而導(dǎo)致的傳輸效率低下問題，對于跨運(yùn)營商不丟包而是延時大的環(huán)境沒有效果。丟包率可以選擇低丟包、高丟包和手動設(shè)置，根據(jù)不同的網(wǎng)絡(luò)環(huán)境選擇合適的參數(shù)進(jìn)行部署，達(dá)到最佳效果。在【序列號設(shè)置】里的高級里，可以打開跨運(yùn)營商授權(quán)，在那里決定是否支持跨運(yùn)營商。一旦開啟了跨運(yùn)營商授權(quán)，則連到該設(shè)備來的所有用戶都可以啟用跨運(yùn)營商功能。12、跨運(yùn)營商13、隧道間路由

DLAN4.0新增的隧道間路由功能，實(shí)現(xiàn)了兩點(diǎn)間在不直接建立VPN連接的情況下進(jìn)行互訪。隧道間路由采用策略路由實(shí)現(xiàn)，隧道間路由的優(yōu)先級高于系統(tǒng)路由，系統(tǒng)路由中看不到添加的路由信息。目的用戶路由用戶的下拉菜單=用戶管理+連接管理的用戶13、隧道間路由配置：只需在兩個分支端配置隧道間路由。13、隧道間路由--分支通過總部上網(wǎng)------------

上網(wǎng)數(shù)據(jù)------------

VPN數(shù)據(jù)分支端配置：分支端在隧道間路由里勾上通過總部上網(wǎng)即可。分支設(shè)備必須是路由模式。網(wǎng)絡(luò)號為分支端內(nèi)網(wǎng)網(wǎng)段，如果有多子網(wǎng)則也需要添加多條隧道間路由，每條路由一個內(nèi)網(wǎng)網(wǎng)段。13、隧道間路由--分支通過總部上網(wǎng)注意事項(xiàng)：總部和分支VPN的建立步驟不再闡述。總部前面的路由器（防火墻）上要代理分支這個網(wǎng)段上網(wǎng)，同時加到分支網(wǎng)段的路由指向設(shè)備LAN口。如果分支有多網(wǎng)段，則總部同樣需要添加各個網(wǎng)段的代理上網(wǎng)規(guī)則及回包路由。13、隧道間路由--分支通過總部上網(wǎng)隧道間路由，A訪問C的內(nèi)網(wǎng)，同時C也訪問A的內(nèi)網(wǎng)。13、隧道間路由—場景1A訪問C的內(nèi)網(wǎng)，同時還能訪問C的多子網(wǎng)。13、隧道間路由—場景2通過隧道間路由，移動端與移動端之間實(shí)現(xiàn)互訪。4.X兩個移動直接可以互訪，2.5x沒隧道間路由。13、隧道間路由—場景3移動端通過隧道間路由訪問總部內(nèi)網(wǎng)和多子網(wǎng)只需在移動上加隧道間路由。設(shè)備B上不用加。13、隧道間路由—場景314、標(biāo)準(zhǔn)ipsec對接—案例14、標(biāo)準(zhǔn)ipsec對接—案例Sinfor配置：Cisco配置：cryptoisakmppolicy10encr3deshashmd5authenticationpre-sharegroup2cryptoisakmpkeysinforaddress!cryptoipsectransform-setsinfor.tsesp-3desesp-md5-hmacmodetunnel!cryptomapsinfor.m100ipsec-isakmpsetpeersettransform-setsinfor.tssetpfsgroup2matchaddress110!interfaceFastEthernet0/0ipaddresscryptomapsinfor.m!interfaceFastEthernet1/0ipaddress!iprouteaccess-list110permitip555514、標(biāo)準(zhǔn)ipsec對接—案例查看cisco連接狀態(tài)：Router#shcryisakmpsadstsrcstateconn-idslotQM_IDLE20QM_IDLE30Router#shcryptoengineconnectionsactiveIDInterface