SANGFOR_DLAN互联基础配置_xuzeng.pptVIP

一、系统部署配置 说明：通过配置系统部署相关设置项，保证VPN设备加入客户网络中，网络的通畅性。 VPN设备默认登录方式： P5100 LAN口：53:1000 S5100 LAN口：53:1000 DMZ口：53:1000 其它型号 LAN口：54:1000 DMZ口：54:1000 默认用户名/密码：Admin/Admin 1、网关模式 *此时将设备当一台路由器/防火墙对待 （1）网络接口配置 （2）系统路由配置 （3）防火墙配置（根据实际情况可选配置） 代理上网 NAT设置 端口映射 过滤规则设置 （4）本地子网配置 网络接口配置 系统路由配置 如果内网三层环境或需要路由跳转的情况需添加系统静态路由。 防火墙配置 如果需要设备代理内网用户上网（包括设置用户上网权限）、向外网发布内网服务器，以及用到防火墙过滤规则时，需设置防火墙相关选项。 代理上网设置 端口映射设置 防火墙过滤规则设置 本地子网设置 当通过VPN需要访问与设备内网口非同网段时需添加本地子网。 2、单臂模式 *此时将VPN设备当内网一台服务器看待 （1）网络接口配置 （2）本地子网设置（同网关模式下配置） （3）前置网关设备为VPN设备的VPN监听端口设置端口映射（当设备作为总部时需设置） （4）前置网关设备或内网三层交换机/路由器添加到对端VPN网络/虚拟IP池（与VPN设备内网口非同网段时）的回包路由指向VPN设备LAN口IP 网络接口配置 二、DLAN基础配置 说明：DLAN分为总部、分支和移动三类角色。 （1）DLAN总部配置：需要配置webagent、用户管理、虚拟IP池（移动用户）。 （2）DLAN分支配置：只需配置连接管理。 （3）DLAN移动配置：基本设置与主连接参数设置。 DLAN总部的配置 DLAN分支端的配置 DLAN移动端的设置 移动用户首先安装DLAN移动客户端 三、DLAN基础综合实验 1、实验场景及需求 1、实验场景及需求 （1）客户为一市局级政府行业客户，市局网络办公网与政务专网是物理隔离的，即上互联网均通过办公网，访问市局服务器则需要接入到政务专网。分局无法通过现有网络访问到市局服务器。 （2）客户现在希望通过深信服IPSec VPN（总部M5100，分支S5100）实现分局用户能够访问市局的服务器，且市局不可私自拉外网线路。 （3）网段信息均表现在图中。要求总部部署M5100且不能替换原有防火墙，市局行政专网只有这个IP可用，且该IP可正常访问市局服务器；分局采用S5100替换原有简单的路由器 并代理内网用户正常上网。 2、配置思路分析 （1）分局较好部署，直接调换原有路由器代理分局用户上网并与市局建立IPSec VPN隧道。 （2）市局部署较复杂，我们根据需求将其逐个分解。 ①保证VPN设备本身既能提供分局设备接入，又能与市局服务器通信，故将设备以_____模式部署在_________________的位置。 ②根据上一步判断，配置设备的网络接口信息，要保证分支设备能接入总部设备，需在总部的______设备上做________________；其次，要保证设备以及分支能访问到总部服务器，需要在总部VPN设备上添加_____________和_____________。 ③经过上面两步配置，分支的数据可以到达总部的服务器，但是总部的服务器能正常相应分支的数据请求，还需在总部的___________设备上添加_____________________________________。 ④以上系统配置完成后，按照DLAN基础配置方法分别设置总部、分支相关选项。 3、操作演练 根据配置思路的分析以及前面提到的DLAN互联所需配置项，完成本实验实际所需的操作。 4、配置参考-部署拓扑图 （1）市局VPN网关设备系统配置 （2）市局网络调整改动 以下两个改动需要客户协助： ①原有办公网防火墙将52的TCP/UDP4009映射至互联网：8； ②原有政务网上三层交换机添加静态路由: （3）市局设备DLAN配置 （4）分局设备系统配置 （5）分局DLAN配置 （6）检测DLAN两端互访 通过查看市局和分局两台设备的运行情况——DLAN运行状态，以及直接通过深信服IPSec VPN访问对端的服务器，确认DLAN的连通性。 一、DLAN 部署配置 二、DLAN