SANGFOR-DLAN互联基础配置.pptVIP

培训内容 培训目标 DLAN 基础配置 掌握总部和分支的配置 DLAN 基础综合实验 能根据客户的实际的情况进行上架部署。 DLAN 基础配置 DLAN 基础综合实验 SANGFOR IPSEC 一、DLAN基础配置 说明：DLAN分为总部、分支和移动三类角色。 总部与分支或移动正常建立VPN连接的基本配置如下： （1）DLAN总部：需要配置webagent、虚拟IP池（非必配）、用户管理。 （2）DLAN分支：只需配置连接管理。 （3）DLAN移动：安装DLAN移动端软件，配置基本设置与主连接参数设置。 DLAN总部的配置 设置主备webagent信息 当外网是固定IP时，webagent填写格式为：IP:4009，备份webagent保留为空； 当外网是ADSL拨号时，webagent可向深信服客服中心申请 此处若填写了共享密钥，则分支/移动端也需要设置相同的密钥才能建立VPN连接。该密钥用于协商VPN隧道时进行数据加密。 VPN监听端口，与WEBAGENT上的端口对应，可以修改 点击可测试WEBAGENT是否正确 WEBAGENT配置 表示WEBAGENT可用 虚拟IP池配置： DLAN总部的配置 选择需要使用IP池地址的用户类型 定义IP池的地址范围。注：该地址范围不能包含内网用户或设备接口的IP。 注：当VPN使用了移动用户接入，或VPN分支用户启用了隧道内NAT时，才需要配置虚拟IP池，否则可不配置。 VPN用户配置 DLAN总部的配置 为VPN用户建立认证时的用户名和密码 选择该用户的类型 若类型为移动，必须勾选启用虚拟IP 勾选启用用户 点击确定保存配置 DLAN分支端的配置 填写总部提供的webagent及用户名/密码等信息，传输模式选择UDP或者TCP，传输端口默认4009 勾选启用 点击完成保存配置。 安装完成后，在桌面和开始-程序中自动生成SANGFOR移动控制台图标，双击即可打开PDLAN移动控制台。 在深信服官方网站上下载与总部版本对应的PDLAN移动客户端，双击进行安装。 DLAN移动端的设置 移动用户首先安装DLAN移动客户端 填写总部提供的webagent信息 单击“设置生效”保存配置 注意：PDLAN只支持windows操作系统 填入总部为移动用户建的用户名和密码 高网络延时和丢包的环境，请选择UDP模式 配置完成，点击设置生效，保存配置。 二、DLAN基础综合实验 要求： 根据用户的网络拓扑与实际需求，在对用户内网改动最小的情况下将设备部署到用户网络中并完成配置。 1、实验场景 用户原拓扑图如下： 某用户总公司在北京，目前通过在出口部署了一台防火墙，由防火墙代理上网。同时，内网接了三层交换机，划分了两个网段，一个网段用于内网PC上网，另一网段用来放服务器。 在深圳刚成立了一个分公司，分公司内网是二层环境，已有路由器代理内网用户上网。 （1）希望在总公司部署一台深信服VPN2050设备，代替原来的防火墙，代理内网用户上网 （2）希望在分公司部署一台深信服VPN1150设备，主要用来连VPN，不能改变分公司原有的网络环境，实现内网的PC可通过VPN访问总部服务器。 2、用户需求 3、配置参考-部署拓扑图 （1）总部配置-部署模式及网络接口 在【系统设置】-【网络接口配置】中，选择部署模式并配置内、外网口的地址及DNS信息。如下图 部署模式选择为“网关模式”，根据用户的实际情况填写内/外网接口地址及DNS信息。 （2）总部配置-代理上网 在【防火墙设置】-【NAT设置】-【代理上网设置】中，配置需要代理上网的内网网段。如下图 本案例要求，代理内网的两个网段上网。注意：新增代理上网网段时，同时勾选放通防火墙规则。 （3）总部配置-路由配置 在【系统设置】-【路由设置】-【系统路由设置】中，添加到内网两个网段的路由。如下图 子网网段可分别添加两个24位掩码的网段，也可加一条16位掩码的网段。本例无特殊要求，加一条16位掩码的网段即可。默认网关为与设备内网口相连的交换机接口 地址 （4）总部配置-本地子网 在【系统设置】-【本地子网列表】中，添加VPN分支需要访问的网段。如下图 本例要求访问服务器所在的网段 （5）总部配置-VPN信息配置 1.在【VPN信息设置】-【基本设置】中，配置WEBAGENT等信息， 2.在【VPN信息设置】-【用户管理】中，添加一个分支用户。如下图： 本例中，出口为固定IP，WEBAGENT格式 为：IP:4009 配置用户名、密码，选择用户类型。注：本例中类型选择为分支 （6）分支配置-部署模式及网络接口 在【系统设置】-【网络接口配置】中，选择部署模式并配置内网接口地址信息。如下图 接口地址为内网没有使用过的IP地址，网关为前置路