《SANGFORIPSEC2011年度渠道初级认证培训02DLAN互联基础技术FGC》由会员分享,可在线阅读,更多相关《SANGFORIPSEC2011年度渠道初级认证培训02DLAN互联基础技术FGC(22页珍藏版)》请在金锄头文库上搜索。
1、 SANGFOR DLAN互联基础技术培训内容培训目标互连基础技术介绍1.能够理解及解释SANGFOR DLAN的几 个专用术语。2.掌握SANGFOR DLAN支持的部署模式 的,并且能够根据客户的具体拓扑环境 选择最优的部署模式。3.掌握SANGFOR DLAN的连接建立过程 。一、DLAN 常用术语二、DLAN 互连基础深信服公司简介三、DLAN 部署模式四、DLAN 练练手SANGFOR DLAN1 1.1.1、总部、分支、移动、总部、分支、移动 1.21.2、WebagentWebagent寻址寻址 1.31.3、直连、非直连、直连、非直连 1.41.4、虚拟网卡、虚拟、虚拟网卡、虚
2、拟IPIP、虚拟、虚拟IPIP池池我的IP地址是X.X.X.X我的IP地址是X.X.X.X请告诉我总部的IP地址请告诉我总部的IP地址总部的IP地址是X.X.X.X总部的IP地址是X.X.X.X在寻址过程中,所有信息均使用DES加密。直连:也即我们设备本身有公网IP或者能够被从公网访问的到。有如下几种 情况可以被称为直连:设备wan口直接接光纤或者拨号,本身就有公网IP或者 设备放在企业内网,但是从前面的防火墙或者路由器做了TCP 4009的端口映 射给我们设备。非直连:也即我们设备本身没有公网IP或者无法从公网去访问。常见的情况 是设备放在企业的内网,能够上网,但是前面防火墙或者路由器没有做
3、端口 映射给我们设备,这样的设备称为非直连设备。我们的设备之间要能正常互相连接VPN,则至少要保证一端为直连。虚拟网卡虚拟网卡a a、只在移动、只在移动PDLANPDLAN上生成上生成b b、承载虚拟、承载虚拟IPIP地址地址c c、操作系统添加本地路由、操作系统添加本地路由虚拟虚拟IPIP、虚拟、虚拟IPIP池池a a、由总部端设定虚拟、由总部端设定虚拟IPIP池范围池范围b b、虚拟、虚拟IPIP分配到移动分配到移动PDLANPDLAN上上一、DLAN 常用术语二、DLAN 互连基础深信服公司简介三、DLAN 部署模式四、DLAN 练练手SANGFOR DLAN2.12.1、 S SA A
4、NGNGFOR VPNFOR VPN建立连接的条件建立连接的条件 2.22.2、 SANGFOR VPNSANGFOR VPN建立连接的过程建立连接的过程2.1.1、至少有一端是总部,且有足够的授权。 硬件与硬件之间互连不需要授权。 2.1.2、至少有一端在公网上可访问“寻址”。 2.1.3、建立VPN两端的内网地址不能冲突。 2.1.4、建立VPN两端的版本要匹配。最基本的三步曲2.2.1、寻址:与谁建立连接(找到对方) 寻址(WebAgent原 理、WebAgent设置)2.2.2、认证:身份验证(提交正确、充分的信息)账号密码 、Dkey、硬件鉴权、第三方认证。2.2.3、策略:(下发)
5、选路策略、权限策略、VPN路由策略、 安全策略(移动用户)、VPN专线(移动用户)、分配虚拟IP (移动用户)一、DLAN 常用术语二、DLAN 互连基础深信服公司简介三、DLAN 部署模式四、DLAN 练练手SANGFOR DLAN3.1 网关模式部署 3.2 单臂模式部署接内网接外网放大图部署方法: 1、选择“网关模式”,配置内、外网IP信息(根据 具体情况设置) 2、设置“代理上网”(内网用户需要上外网时才) 3、填写webagent(外网为动态IP:例如ADSL) 4、设备虚拟IP地址池(移动用户) 5、建立用户接入帐号设备部署接内网不接线!放大图部署方法: 1、选择“单臂模式”,LA
6、N口接线,配内网IP、网 关和正确的DNS,WAN口不接线 2、填写webagent(外网为拨号)或填写外网IP(外 网为固定IP,格式如:219.159.60.137:4009) 3、设置虚拟IP地址池(移动用户) 4、建立接入用户帐号 5、前置网关做4009端口映射(IPSEC用到 TCP/UDP4009端口)和VPN分支、虚拟IP池的路由 ,下一跳指给VPN LAN口地址。我做端口映射一、DLAN 常用术语二、DLAN 互连基础深信服公司简介三、DLAN 部署模式四、DLAN 练练手SANGFOR DLAN网络环境: 某企业客户有总部在深圳,分支在北京 深圳总部环境:出口有CISCO P
7、IX 515防火 墙,10M光纤接入,内网有web服务器,内 网地址网段为:172.16.0.0/24 ,防火墙LAN 口地址为:172.16.0.254,WAN口地址为 :219.159.123.123 北京分支环境 :接入方式2M电信,ADSL拔 号上网,内网网段:192.168.0.1/24,内网网 关地址:192.168.0.254客户需求: 1.要求实现总部与分支实现互访 2.领导带电脑在外出差,能进入内网访问WEB 服务器1.要求实施总部与分支实现互访? 解决方法:深圳总部与北京分支各 部署一台DLAN网关,建立IPSEC隧 道,保证总部与分支数据进行互访及 访问安全.2.领导带电脑在外出差,能进入内网 访问WEB服务器? 解决方法:移动用户采用PDLAN客 户端接入总部,访问WEB服务器,解 决领导在外办公需求.深圳DLAN总部 设置单臂模式部署,设置上网前置FW做端口映射,设 置分支、虚拟IP地址路由设置Webagent(寻址)建虚拟IP地址池建用户(认证)设策略(策略)北京DLAN分支 设置路由模式部署,设置上网填一个连接管理DLAN移动设置建一个vpn连接(基本设置设 webagent、主连接参数设认 证信息)设置上网1.什么叫直连和非直连?2.VPN建立连接的条件有哪些?3.SANGFOR VPN支持哪几种部署模式?问题思考
