SANGFORNGAFv7.12017年度渠道初级认证培训05VPN互联配置.ppt

NGAF DLAN 多线路配置 4. VPN设置：【多线路选路策略】 NGAF DLAN 多线路配置 4. VPN设置：【本地子网列表】 如果NGAF设备eth3口直连网段也需要通过VPN访问，则需要把172.16.0.0网段加入到本地子网列表。 NGAF 标准IPSEC VPN 互联 标准IPSEC VPN互联条件 1. NGAF设备必须具有分支机构的授权 NGAF与第三方设备建立标准IPSEC VPN互联条件： 2. NGAF设备必须至少具有一个WAN属性的路由接口（非管理口Eth0），和一个非WAN属性的路由口（非管理口Eth0），用于建立标准IPSEC连接。 标准IPSEC VPN互联配置 通过NGAF设备与第三方设备进行标准IPSEC VPN互联时，除了【第三方对接】的配置外，还需要配置【vpn接口设置】和外网接口中的【与IPSec vpn出口线路匹配】（标准IPSEC互联配置参照《SANGFOR_IPSEC_2017年渠道初级认证培训05_第三方IPSEC对接互联配置.ppt》）。 外网接口开启【与IPSec vpn出口线路匹配】之后，【第三方对接】第一阶段的线路出口才能选择正确的出口线路，否则VPN会启动不成功。 标准IPSEC VPN互联配置 【VPN接口设置】添加本端VPN数据进入NGAF设备的非WAN属性的路由口（非管理口eth0）。 标准IPSEC VPN互联注意事项 NGAF设备不能通过管理口eth0建立标准IPSEC互联（即把eth0口添加其它IP地址，当做内网口或者外网口建立标准IPSEC VPN的场景），但是NGAF设备可以通过管理口eth0建立SANGFOR VPN对接。 3. NGAF设备建立标准IPSEC互联时，VPN的数据必须从一个非WAN属性的路由口进入到设备，并从一个WAN属性的路由口转发。 NGAF设备配置标准IPSEC互联时，必须配置外网接口和内网接口。 * Jan, 2017 SANGFOR NGAF VPN互联配置 培训内容 培训目标 NGAF DLAN互联配置 掌握NGAF设备建立DLAN互联的条件。 掌握通过NGAF设备与其他SANGFOR设备建立DLAN互联的配置。 NGAF DLAN多线路 了解NGAF设备实现DLAN多线路功能的前提条件。 掌握NGAF设备DLAN多线路功能的配置。 NGAF 标准IPSEC互联配置 掌握NGAF设备与第三方设备建立标准IPSEC VPN互联的配置。 NGAF SSL VPN配置 了解NGAF设备SSL VPN的基本配置。 1 2 3 4 5 DLAN 互联配置 DLAN 互联配置 标准 IPSEC VPN 互联配置 NGAF SSL VPN配置 练练手 Contents NGAF DLAN 互联基本条件 1. 至少有一端作为总部，且有足够的授权（硬件与硬件之间互连不需要授权）。 2. 建立DLAN互联的两个设备路由可达，且至少有一个设备的VPN监听端口能被对端设备访问到。 3. 建立DLAN互联两端的内网地址不能冲突。 4. 建立DLAN互联两端的版本需匹配 首先，我们回顾一下SANGFOR DLAN互联的基本条件： 学习本PPT内容之前，请提前学习《 SANGFOR IPSEC渠道初级培训教材》。 NGAF仅支持作为网关（路由）模式或者单臂模式的SANGFOR VPN对接。标准的第三方IPSEC互联，仅在网关模式部署下支持。网桥透明模式，虚拟线路模式，旁路模式都不支持VPN功能； NGAF DLAN 互联基本条件 必须有一个物理接口为路由口，才支持建立DLAN连接。 步骤请参考IPSEC PPT （标准IPSEC互联配置参照SANGFOR IPSEC SANGFOR_IPSEC_2017年渠道初级认证培训03_SANGFOR DLAN互联基础配置ppt）。 NGAF 如何建立DLAN互联？ NGAF DLAN 互联注意事项 NGAF设备VPN模块下的【VPN内网设置】有何作用？ 答：【VPN内网设置】中只能添加非WAN属性的路由口，用于将这个接口上主IP（第一个IP）的网段通告对端的SANGFOR 设备，对端访问这个网段的数据就能被加密封装，通过VPN传输。 【VPN内网设置】的作用与本地子网相同，但是，【VPN内网设置】中添加接口只通告设备直连网段；通过本地子网，可以通告本端设备可路由到达的所有内网网段。 NGAF DLAN 互联注意事项 NGAF设备VPN模块下的【多线路设置】有何作用？ 答：如果需要开启VPN多线路功能和标准IPSEC对接的情况下，则必须设置【多线路设置】。 通过【多线路设置】添加线路，可探测外网接口的线路状态。而且多线路设置中线路对应接口线路设置