SANGFORIPSEC2011年度渠道初级认证培训02DLAN互联基础技术FGC.pptVIP

1.什么叫直连和非直连？ 2.VPN建立连接的条件有哪些？ 3.SANGFOR VPN支持哪几种部署模式？ 问题思考 * * SANGFOR DLAN 互联基础技术 培训内容 培训目标 互连基础技术介绍 1.能够理解及解释SANGFOR DLAN的几个专用术语。 2.掌握SANGFOR DLAN支持的部署模式的，并且能够根据客户的具体拓扑环境选择最优的部署模式。 3.掌握SANGFOR DLAN的连接建立过程。 一、DLAN 常用术语 二、DLAN 互连基础 深信服公司简介 三、DLAN 部署模式 四、DLAN 练练手 SANGFOR DLAN 1.1、总部、分支、移动 1.2、Webagent寻址 1.3、直连、非直连 1.4、虚拟网卡、虚拟IP、虚拟IP池 我的IP地址是X.X.X.X 我的IP地址是X.X.X.X 请告诉我总部的IP地址 请告诉我总部的IP地址 总部的IP地址是X.X.X.X 总部的IP地址是X.X.X.X 在寻址过程中，所有信息均使用DES加密。 直连：也即我们设备本身有公网IP或者能够被从公网访问的到。有如下几种情况可以被称为直连：设备wan口直接接光纤或者拨号，本身就有公网IP或者设备放在企业内网，但是从前面的防火墙或者路由器做了TCP 4009的端口映射给我们设备。 非直连：也即我们设备本身没有公网IP或者无法从公网去访问。常见的情况是设备放在企业的内网，能够上网，但是前面防火墙或者路由器没有做端口映射给我们设备，这样的设备称为非直连设备。 我们的设备之间要能正常互相连接VPN，则至少要保证一端为直连。 虚拟网卡 a、只在移动PDLAN上生成 b、承载虚拟IP地址 c、操作系统添加本地路由 虚拟IP、虚拟IP池 a、由总部端设定虚拟IP池范围 b、虚拟IP分配到移动PDLAN上 一、DLAN 常用术语 二、DLAN 互连基础 深信服公司简介 三、DLAN 部署模式 四、DLAN 练练手 SANGFOR DLAN 2.1、 SANGFOR VPN建立连接的条件 2.2、 SANGFOR VPN建立连接的过程 2.1.1、至少有一端是总部，且有足够的授权。 硬件与硬件之间互连不需要授权。 2.1.2、至少有一端在公网上可访问“寻址”。 2.1.3、建立VPN两端的内网地址不能冲突。 2.1.4、建立VPN两端的版本要匹配。 最基本的三步曲 2.2.1、寻址：与谁建立连接(找到对方) ——寻址（WebAgent原理、WebAgent设置） 2.2.2、认证：身份验证（提交正确、充分的信息）—账号密码、Dkey、硬件鉴权、第三方认证。 2.2.3、策略：（下发）选路策略、权限策略、VPN路由策略、安全策略（移动用户）、VPN专线（移动用户）、分配虚拟IP（移动用户） 一、DLAN 常用术语 二、DLAN 互连基础 深信服公司简介 三、DLAN 部署模式 四、DLAN 练练手 SANGFOR DLAN 3.1 网关模式部署 3.2 单臂模式部署 接内网 接外网 放大图 部署方法： 1、选择“网关模式”，配置内、外网IP信息（根据具体情况设置） 2、设置“代理上网”（内网用户需要上外网时才） 3、填写webagent（外网为动态IP：例如ADSL） 4、设备虚拟IP地址池（移动用户） 5、建立用户接入帐号 设备部署 接内网 不接线！ 放大图 部署方法： 1、选择“单臂模式”，LAN口接线，配内网IP、网关和正确的DNS，WAN口不接线 2、填写webagent（外网为拨号）或填写外网IP（外网为固定IP，格式如：37:4009） 3、设置虚拟IP地址池（移动用户） 4、建立接入用户帐号 5、前置网关做4009端口映射（IPSEC用到TCP/UDP4009端口）和VPN分支、虚拟IP池的路由，下一跳指给VPN LAN口地址。 我做端口映射 一、DLAN 常用术语 二、DLAN 互连基础 深信服公司简介 三、DLAN 部署模式 四、DLAN 练练手 SANGFOR DLAN 网络环境： 某企业客户有总部在深圳，分支在北京深圳总部环境：出口有CISCO PIX 515防火墙，10M光纤接入，内网有web服务器，内网地址网段为：/24 ,防火墙LAN口地址为:54,WAN口地址为:23 北京分支环境 ：接入方式2M电信，ADSL拔号上网，内网网段:/24，内网网关地址：54 客户需求： 1.要求实现总部与分支实现互访 2.领导带电脑在外出差,能进入内网访问WEB服务器 1.要求实施总部与分支实现互访? 解决方法：深圳总部与北京分支各部署一台DLAN网关,建立IPSEC隧道,保证总部与分支数据进行互访及访问安全. 2.领导带电脑在外出差,能进入内网访