深信服下一代防火墙入门_2012年度渠道初级认证培训04_VPN互联配置_20120701.pptVIP

练练手 1. 请尝试通过NGAF设备的路由口（非管理口）与另一台SANGFOR设备建立DLAN互联，并通过【内网接口列表】实现NGAF设备路由口下的直连网段通过VPN访问对端。 2. 请尝试通过NGAF设备的VLAN接口与另一台SANGFOR设备建立DLAN互联，并通过【本地子网列表】实现NGAF设备内网的网段与VPN对端网段通信。 想一想 通过NGAF设备与其他的SANGFOR设备建立DLAN互联有哪些基本条件？ 通过NGAF设备与其他的SANGFOR设备建立DLAN互联时，是否必须配置【内网接口设置】和【外网接口设置】？为什么？ 通过NGAF设备与第三方设备建立标准IPSEC互联时，配置和其他SANGFOR 设备有哪些不同？ * * * * * * 培训内容 培训目标 NGAF DLAN互联配置 掌握NGAF设备建立DLAN互联的条件。 掌握通过NGAF设备与其他SANGFOR设备建立DLAN互联的配置。 NGAF DLAN多线路 了解NGAF设备实现DLAN多线路功能的前提条件。 掌握NGAF设备DLAN多线路功能的配置。 NGAF 标准IPSEC互联配置 掌握NGAF设备与第三方设备建立标准IPSEC VPN互联的配置。 NGAF DLAN 互联配置 NGAF DLAN 多线路配置 深信服公司简介 NGAF 标准 IPSEC VPN 互联配置 练练手 SANGFOR NGAF NGAF DLAN 互联基本条件 1. 至少有一端作为总部，且有足够的授权（硬件与硬件之间互连不需要授权）。 2. 建立DLAN互联的两个设备路由可达，且至少有一个设备的VPN监听端口能被对端设备访问到。 3. 建立DLAN互联两端的内网地址不能冲突。 4. 建立DLAN互联两端的版本需匹配。 首先，我们回顾一下SANGFOR DLAN互联的基本条件： 学习本PPT内容之前，请提前学习《 SANGFOR IPSEC渠道初级培训教材》。 NGAF DLAN 互联基本条件 由于NGAF设备部署的灵活性，除了满足上述的DLAN互联条件以外，只需要NGAF设备上有一个可配置IP地址的三层接口（可以是路由口、子接口、管理口和VLAN接口），即可建立DLAN互联。 NGAF DLAN 互联基本条件 物理接口是路由口，直接通过路由口与对端设备建立DLAN连接。 NGAF 各种接口类型下，如何建立DLAN互联？ 3. 物理接口是虚拟网线接口，需通过设备上其余的三层接口与对端设备建立DLAN连接。 2. 物理接口是透明口，可以设置VLAN接口，通过VLAN接口或设备上其余的三层接口与对端设备建立DLAN连接。 NGAF DLAN 互联案例 用户环境： 某用户公司分部透明模式部署了一台NGAF设备，用于保护内网服务器和用户上网的安全。内网用户和服务器网段为-/24。 总公司公网出口部署了一台SSL设备，用于远程办公。 用户需求： 通过NGAF设备和SSL设备建立VPN互联，满足公司总部和分公司相互访问对端的服务器的需求。 NGAF DLAN 互联案例 NGAF设备上的配置思路： 1. 物理接口设置： 将eth1和eth2口设置成透明access口，设置相同的VLAN ID，连接前置路由器的eth2接口设置成WAN属性。 VLAN接口设置：VLAN接口分配/24网段的空余地址。 区域设置：设置内网和外网区域，内网区域添加eth1口，外网区域添加eth2（此处设置与VPN互联无关，可选配置）。 4. 静态路由设置：目标地址为-/24，下一跳指向54；目标地址为，下一跳指向。 5. VPN设置：设置【连接管理】和【本地子网列表】，将总部需要通过VPN访问的网段加入到本地子网列表。 NGAF 互联案例 与NGAF相连的三层交换机的配置： 1. 由于内网各网段的网关指向三层交换机，三层交换机的缺省路由指向前置的路由器， 所以还必须在三层交换机上添加到VPN对端网段的路由，下一跳指向NGAF的VLAN接口。（配置省略） SSL设备上的配置思路： SSL设备作为VPN的总部，设置webagent地址和用户管理。（配置省略） NGAF DLAN 互联配置 1. 物理接口设置： 使用eth2口连接前置路由器，需设置WAN口属性 两个接口需设置相同的VLAN ID，ID数值可任意设置。 NGAF DLAN 互联配置 2. VLAN接口设置： 填写相应的VLAN ID 为VLAN接口分配一个可以访问公网的IP地址 NGAF DLAN 互联配置 3. 静态路由设置： 按照格式填写静态路由 NGAF DLAN 互联配置 4. VPN设置：