SANGFOR IPSEC渠道高级认证培训01 SANGFOR DLAN互联进阶配置.ppt

SANGFOR DLAN 互联进阶配置 培训内容 培训目标 Webagent技术 掌握WEBAGENT的使用场景及配置 隧道间路由技术 掌握隧道间路由的使用场景及配置 隧道内NAT技术 掌握隧道内NAT的使用场景及配置 跨运营商访问优化 了解跨运营商访问技术 VPN内网权限的设置案例 掌握内网权限的两种配置方法 隧道间路由技术 隧道内NAT技术 深信服公司简介 跨运营商访问优化 SANGFOR DLAN 深信服公司简介 VPN内网权限的设置案例 Webagent技术 SANGFOR DLAN互联进阶配置 1.Webagent技术 2. 隧道间路由技术 3. 隧道内NAT技术 4. 跨运营商访问优化 5. VPN内网权限的设置案例 某用户总部和分支均通过ADSL拔号上网，用户要求分支和总部建立SNAGFOR VPN连接以实现两端内网互访。 问题分析： 由于两端都是ADSL，IP地址随时会变，分支与总部连VPN时，无法找到对端正确的IP地址。 解决办法： 通过WEBAGENT动态寻址实现 配置说明： 一、联系深信服申请WEBAGENT地址 二、在设备配置界面，选择【VPN信息设置】下的【基本配置】，打开WEBAGENT配置页面，将WEBAGENT地址填入到设备中 点击可测试WEBAGENT地址是否正确 测试成功表示地址可用 如图，总部分别与两个分支建立VPN连接，分支1与分支2均能访问总部内网，现用户要求分支1与分支2之间能相互访问。 问题分析： 两个分支分别与总部建立 VPN隧道，但分支1与分支2之间并没有任何线路相连，也没有VPN隧道。 解决办法： 通过在分支设备中配置隧道间路由实现。 VPN VPN 配置说明： 1.配置总部与分支建立 VPN互联，请参考《 DLAN互联基础配置》，此处不再赘述 2.配置分支设备的隧道间路由 分别在分支1和分支2配置两条路由 如图，总部分别与两个分支建立VPN连接，分支1与分支2内网均为/24网段，用户要求不能改变任何一端的IP地址，实现分支与总部互访。 问题分析： 两个分支内网网段相同，当总部收到来自/24网段的数据时，不知道该回给哪个分支？ 解决办法： 通过配置隧道内NAT实现 注意：如果分支都是网关部署，设备支持，如果分支两端是单臂部署，需要修改LAN口IP地址或者升级到DLAN4.3R2解决 配置说明： 1.在总部设备中配置分支虚拟IP池 类型选择为分支，并配置分支虚拟IP池的范围 配置说明： 2.在总部设备中新增分支用户，并启用“隧道内NAT”功能 勾选即启用隧道内NAT 填写需要进行地址转换的源子网网段和转换后的子网网段，注：代理子网网段为虚拟IP池中为分支用户所建的IP段。 点击确定，保存配置 如图，总部分别与分支建立了VPN连接，用户反映VPN访问速度很慢，通过测试发现有很严重的丢包现象。 问题分析： 用户的分支和总部出口线路分别为不同的运营商，有可能是因为跨运商访问导致很慢。 解决办法： 通过配置跨运营商访问优化功能解决。 注：跨运营商功能只能优化访问丢包的问题 配置说明： 一、序列号中，开通跨运营功能（若是硬件互联，要求两个硬件都需要开通序列号，若是硬件与软件互联，只需要开通硬件端的跨运营商序列号即可。） 填写正确的序列号 点击确定保存 配置说明： 二、分支或移动端启用跨运营商访问 在分支设备上启用跨运营商功能 在移动端启用跨运营商优化功能 需求： 某总部和分支部署了两台VPN设备，现总部的VPN设备做为VPN总部与分支建立了VPN连接，用户要求对分支访问总部的服务器进行权限控制，只允许分支网络的PC访问总部的WEB服务器（80端口），禁止访问其他的任何服务器（包括PC客户端）。如下图： 基本思路 该客户需求一共有两种方法可以实现，通过VPN内网权限与通过防火墙过滤规则，下面分别介绍两种情况下如何配置。 配置方法一：通过VPN内网权限实现。 第一步：在总部VPN设备的『VPN信息设置』-『高级设置-『内网服务设置』页面，新增一个WEB的内网服务，页面如下： 本案例中，源IP为分支的内网网段，源端口必须选择1-65535，因为发起连接的端口均为随机端口。目标IP可为总部的内网WEB服务器IP，目的端口为WEB端口80。 配置方法一：通过VPN内网权限实现。 第二步：在总部设备的『VPN信息设置』-『用户管理』页面编辑分支用户，点击权限设置，页面如下： 注意：一旦设置了VPN内网权限，不光VPN对端访问本端受到限制，本端访问VPN对端一样会受到内网权限的控制。因为内网权限只检查数据包的IP和端口，不管这个数据包是VPN对端主动发起的还是本端主动发起VPN对端响应的，只要符合规则条件的数据包都会做相同