SANGFOR_SSL_v6.815年度渠道初级认证培训02_基本网络环境部署和配置.ppt

培训内容 培训目标 SSL VPN 部署模式介绍 1. 掌握SSL VPN支持的各种部署模式的特点。 网关模式 1. 掌握网关模式适用环境及支持的功能。 2. 掌握网关单线路的配置步骤。 单臂模式 1. 掌握单臂模式适用环境及支持的功能。 2. 掌握单臂单线路的配置步骤。 SANGFOR SSL 部署模式介绍 深信服公司简介 SANGFOR SSL 部署模式配置 SANGFOR SSL 动动手 SANGFOR SSL SANGFOR SSL 部署案例 SANGFOR SSL部署模式介绍 部署模式_简介 1、部署模式是指设备以什么样的工作模式部署到客户网络中去，不同的部署方式对客户的网络影响各有不同，具体以何种部署方式需要综合客户具体的网络环境和客户的功能需求而定。 2、SSL VPN支持网关（单线路和多线路）模式、单臂(单线路和多线路)模式部署。 网关模式特点 1、网关模式部署时SSL设备工作层次基本与路由器或包过滤防火墙相当，具备基本的路由转发及NAT功能。一般在客户原有网络环境中添加部署SSL设备时不采用这种模式，因为这种部署模式需要对客户的网络环境作较大的改动。 2、一般此种部署模式的客户网络环境规模比较小，用SSL设备替换原有部署在出口的路由器，或者是客户在规划新网络建设时将SSL部署为路由模式。 如客户出口有前置防火墙或网络规模比较大建议用单臂模式。 SANGFOR SSL部署模式介绍 SANGFOR SSL部署模式介绍 单臂模式特点 1、单臂模式时SSL设备工作模式基本与一台内网服务器相当，由前置设备将SSL服务对外发布，该模式下仅处理VPN数据。一般在客户原有网络环境中添加部署SSL设备时将采用这种模式，因为这种部署模式对客户的网络环境无变动，哪怕设备宕机也不会影响网络。 2、单臂模式部属只需要连接LAN口到内网，如果需要通过DMZ口管理设备，可将DMZ口也连接到局域网交换机。防火墙、NAT、DHCP等功能无法使用。 SANGFOR SSL部署配置 单线路 多线路 单臂 模式 网关模式 单线路 多线路 注：本PPT只介绍单线路环境 部署，多线路环境请参考高级 认证PPT。 SANGFOR SSL部署配置（网关模式） SANGFOR SSL部署配置（网关模式） 非直连公网方式的网关模式部署（应用场景非常少，对网络改动较大，需要在前置设备上做端口映射） SANGFOR SSL部署配置（网关模式） 1、网关模式配置： 确定设备外网口（WAN1口）是固定IP或者是ADSL拨号方式，取得相应运营商给的IP地址信息或者是拨号的帐号密码；确定内网口（LAN口）的IP地址信息； 2、上网配置： 代理上网（NAT），确定内网是否多网段网络环境，如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。 网关单线路配置思路： SSL部署配置（网关单线路模式） 网关单线路模式配置截图 设置内网接口IP地址 SSL部署配置（网关单线路模式） 代理上网配置截图 选择代理LAN或DMZ口下的网段上网 SANGFOR SSL部署配置（单臂单线路模式） 1、单臂模式配置：给设备LAN口分配一个可以上网的IP地址，填写正确的网关IP、DNS； 2、前置网关做TCP 443和80端口映射（如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口） 单臂单线路部署配置思路： SSL部署配置（单臂单线路模式） 单臂单线路模式配置截图 给设备LAN口分配一个可以上网的IP，正确填写网关和DNS地址。 配置DMZ口IP，可通过DMZ口管理设备 案例一：网关单线路部署案例 某客户拓扑如图，客户需要实现外网用户通过SSL VPN接入访问内部的web服务器群。客户只有一条外网线路，对应的公网ip是。SSL VPN设备网关部署，内网用户通过SSL VPN设备上网，外网用户需要实现输入域名实现接入SSL VPN。 部署需求： 网关单线路部署配置思路 1. 基础网络配置：网关模式，配置WAN1、LAN口IP地址信息，配置系统路由。 2. 静态路由：由于LAN口与服务器不在一个网段，而设备的默认路由指向WAN方向出口，所以需要添加到达内网的静态路由，下一条指向核心交换机 。 3. 域名设置：将客户申请的二级域名XXX.在ISP处用A记录指向 。 4. 代理上网：将内网PC私网ip转换成，代理内网用户上公网。 网关单线路部署配置步骤 1. 设置网关模式，LAN口和WAN1口IP地址。 网关单线路部署配置步骤 2. 设置系统路由 网关单线路部署配置步骤 3. 设置代理上网 案例二：单臂单线路部署案例 客户拓扑如图所示，出口有一条电信链路。客户需要不改动原有的网络环境部署SSL 设备，实现外