深信服SSL VPN.docVIP

深信服SSL VPN 用户、资源、角色；用户和资源通过角色进行关联； Web应用：web应用通过ssl设备将内网服务转换为https协议，支持的类型：http，https，mail，ftp和fileshare。 优点：客户端免插件，支持所有浏览器； 缺点： 51/web/1/http/0/ Tcp应用：客户端和ssl设备建立连接，客户端的proxy控件抓取服务器的数据并进行数据封装，将普通的tcp连接转换为ssl数据，并传输到ssl设备。 数据到达ssl设备后，有ssl设备自身发起对服务器的访问，注意，原ip可以是虚拟ip池中的ip地址； 类型；支持所有的tcp应用 优点：在客户端自动安装一个小的控件； 建议：所有基于tcp的应用，建议首选添加tcp应用； L3VPN： L2vpn应用的实现是通过在client安装虚拟网卡，有网卡抓取访问服务器的数据，封装后通过网卡和ssl设备建立的隧道将数据传输到server。 支持的类型：所有tcp，udp、icmp应用； 特点：客户端需要安装虚拟网卡，较tcp的控件大一些，首次远程连接ssl设备需要安装虚拟网卡，实现方式类似ipsec的移动客户端； 远程应用： 采用基于服务器计算的应用模式，应用程序的安装、配置、管理、维护及执行都在服务器上，用户通过远程客户端登陆服务器进行操作，输出的内容通过网络传输给客户端。 特点：客户端无需安装应用程序，只需要安装remoteappclient组件，终端服务器需要安装remoteappagent。 注：需要微软的终端服务支持；win2003或2008都可以； 用户认证方式： 主要认证：本地认证：用户名、密码认证；数字证书/DKEY认证； 外部认证：LDAP认证；RADIUS认证； 辅助认证：短信认证、硬件特征码、令牌认证、 策略组设置： 角色： 域ou对应设备的用户组，域的安全组对应设备的角色，角色映射，在设备中看不到用户，设备上只有一个到ldap服务器的连接，用户都需要到域控上进行查询。 注意事项： 对于内网的解析，可以用下方内网dns的方式，但为防止下发不成功，可以在设备的配置中设置hosts信息，手工加入对内网服务器的地址到机器名的解析条目； 客户端选项：断线重连；显示客户端组件的下载链接；启用系统托盘； 资源服务选项：使用设备的ip地址作为源地址； 问题排查： 客户端问题： 登陆界面启用手工下载控件和svpntool工具； 安装前建议先修复IE，至少要检查，比如用360，要关闭杀毒软件和防火墙； IE加载项插件是否都是启用状态； 用户电脑上是否有其他的VPN软件，网银控件等； 用户网络出口的代理服务器、防火墙的设置； 用户LSP修复，初始化； IE的重置或恢复初始设置； 操作系统的ghost版本也可能导致问题出现； 设备配置问题： 用户、资源、角色等的设置，不同设置所适合的应用场景等； 内网问题： 比如内网路由，核心交换设置，设备到内网间有nat或防火墙等都可能导致问题出现，端口、最大的包数量封锁等； 排查思路： 首选确认是所有用户问题还是个别用户，个别终端还是所有终端，要分开对待。如果是所有用户，则需要从设备入手，如果是换电脑可以解决，则当做客户端问题来解决。如果是个别群体用户问题，则找共同点，比如共同的网络出口或运营商问题；另外某些资源有问题，可以进行配置修改，比如修改端口范围放大来测试；tcp资源改为l3vpn资源来进行测试，资源访问模式由nat模式修改为路由模式，逐步定位原因，另外要保证内网的服务器本身没有问题，保证设备lan口可以访问服务器，路由正常； 备份： 全局配置：设备的ip，部署方式等； VPN配置：关于sslvpn的设置，用户、资源组、角色等所有的设置，建议定期进行备份；