深信服SSL渠道初级认证培训02_基本网络环境部署和配置分解.ppt

SANGFOR SSL VPN设备部署培训 培训内容 培训目标 SSL VPN 部署模式介绍 1. 掌握SSL VPN支持的各种部署模式的特点。 网关模式 1. 掌握网关模式适用环境及支持的功能。 2. 掌握网关单线路和多线路的配置步骤。 单臂模式 1. 掌握单臂模式适用环境及支持的功能。 2. 掌握单臂单线路和多线路的配置步骤。 SANGFOR SSL 部署模式介绍 深信服公司简介 SANGFOR SSL 部署模式配置 SANGFOR SSL 动动手 SANGFOR SSL SANGFOR SSL 部署案例 SANGFOR SSL部署模式介绍 部署模式_简介 1、部署模式是指设备以什么样的工作模式部署到客户网络中去，不同的部署方式对客户的网络影响各有不同，具体以何种部署方式需要综合客户具体的网络环境和客户的功能需求而定。 2、SSL VPN支持网关（单线路和多线路）模式、单臂(单线路和多线路)模式部署。 网关模式特点 1、网关模式部署时SSL设备工作层次基本与路由器或包过滤防火墙相当，具备基本的路由转发及NAT功能。一般在客户原有网络环境中添加部署SSL设备时不采用这种模式，因为这种部署模式需要对客户的网络环境作较大的改动。 2、一般此种部署模式的客户网络环境规模比较小，用SSL设备替换原有部署在出口的路由器，或者是客户在规划新网络建设时将SSL部署为路由模式。 如客户出口有前置防火墙或网络规模比较大建议用单臂模式。 SANGFOR SSL部署模式介绍 SANGFOR SSL部署模式介绍 单臂模式特点 1、单臂模式时SSL设备工作模式基本与一台内网服务器相当，由前置设备将SSL服务对外发布，该模式下仅处理VPN数据。一般在客户原有网络环境中添加部署SSL设备时将采用这种模式，因为这种部署模式对客户的网络环境无变动，哪怕设备宕机也不会影响网络。 2、单臂模式部属只需要连接LAN口到内网，如果需要通过DMZ口管理设备，可将DMZ口也连接到局域网交换机。防火墙、NAT、DHCP等功能无法使用。 SANGFOR SSL部署配置 单线路 多线路 单臂 模式 网关模式 单线路 多线路 SANGFOR SSL部署配置（网关模式） SANGFOR SSL部署配置（网关模式） 非直连公网方式的网关模式部署（应用场景非常少，对网络改动较大，需要在前置设备上做端口映射） SANGFOR SSL部署配置（网关模式） 1、网关模式配置： 确定设备外网口（WAN1口）是固定IP或者是ADSL拨号方式，取得相应运营商给的IP地址信息或者是拨号的帐号密码；确定内网口（LAN口）的IP地址信息； 2、上网配置： 代理上网（NAT），确定内网是否多网段网络环境，如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。 网关单线路配置思路： SANGFOR SSL部署配置（网关模式） 1、线路确定：跟客户确认有几条公网线路接入，并申请多线路授权 2、网关模式配置：确定设备外网口是固定IP或者是ADSL拨号方式，取得相应运营商给的IP地址信息或者是拨号的帐号密码，给每条外网线路做配置；确定内网口（LAN口）的IP地址信息； 3、上网配置：代理上网（NAT），确定内网是否多网段网络环境，如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。 4、多线路配置：可根据客户需求设置IPSEC VPN多线路，SSL VPN多线路传输，上网数据的多线路选路策略。 网关多线路配置思路： SSL部署配置（网关单线路模式） 网关单线路模式配置截图 SSL部署配置（网关单线路模式） 代理上网配置截图 SSL部署配置（网关多线路模式） 网关多线路模式配置截图 SSL部署配置（网关多线路模式） 代理上网配置截图 SSL部署配置（网关多线路模式） 多线路配置截图（后续案例讲述配置） SANGFOR SSL部署配置（单臂单线路模式） 1、单臂模式配置：给设备LAN口分配一个可以上网的IP地址，填写正确的网关IP、DNS； 2、前置网关做TCP 443和80端口映射（如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口） 单臂单线路部署配置思路： SSL部署配置（单臂单线路模式） 单臂单线路模式配置截图 SANGFOR SSL部署配置（单臂多线路模式） 1、单臂模式配置：给设备LAN口分配一个可以上网的IP地址、填写正确的网关IP、DNS； 2、前置网关分别做两条线路的TCP 443和80端口映射（如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口） 3、配置SSL VPN多线路 单臂多线路部署配置思路： SSL部署配置（单臂多线路模式） 单臂多线路模式配置截图（与单臂单线路设置相同） SSL部署配置（单臂多线路模式