《SANGFORIPSEC2011年度渠道初级认证培训02DLAN互联基础技术》由会员分享,可在线阅读,更多相关《SANGFORIPSEC2011年度渠道初级认证培训02DLAN互联基础技术(19页珍藏版)》请在金锄头文库上搜索。
1、 SANGFOR DLAN互联基础技术培训内容培训目标互连基础技术介绍1.能够理解及解释SANGFOR VPN的几个 专用术语。2.掌握SANGFOR VPN支持的部署模式的 ,并且能够根据客户的具体拓扑环境选 择最优的部署模式。3.掌握SANGFOR VPN的连接建立过程。SANGFOR DLAN 术语解释SANGFOR DLAN 互联基础SANGFOR DLAN深信服公司简介SANGFOR DLAN 部署模式SANGFOR DLAN术语解释1 1.1. .1. 总部、分支、移动总部、分支、移动1.2. Webagent1.2. Webagent寻址寻址1.3. 1.3. 直连、非直连直连、
2、非直连1.4. 1.4. 虚拟网卡、虚拟虚拟网卡、虚拟IPIP、虚拟、虚拟IPIP 池池DLAN总部: 提供VPN服务,为其他VPN设备提供接入账户校验的设备。DLAN总部设备 需要配置WEBAGENT、新建VPN接入账号。DLAN分支: 配置连接管理端的设备称为DLAN分支设备。DLAN移动: 即SANGFOR VPN的软件客户端,又称为PDLAN。一个VPN设备既可以当总部,也可以当分支,也可以同时充当总部和分支的 角色。WEBAGENT: 用于SANGFOR DLAN互联时的寻址,通过总部和下面的分支,移动填入相 同的webagent进行IPSEC VPN的互联。WEBAGENT有如下几
3、种的填写方式: 1. IP:端口,如123.123.123.123:4009 适用于总部VPN设备有固定公网IP地址的环境2. IP1#IP2:端口,如123.123.123.123#221.221.221.221:4009 适用于总部VPN设备有多条固定IP的线路,且需要做VPN的线路备份的环境3. 网址的形式,如: 适用于总部VPN设备没有固定公网IP的环境,如ADSL线路。我的IP地址是X.X.X.X我的IP地址是X.X.X.X请告诉我总部的IP地址请告诉我总部的IP地址总部的IP地址是X.X.X.X总部的IP地址是X.X.X.X在寻址过程中,所有信息均使用DES加密。直连:也即VPN设
4、备本身有公网IP或者能够被从公网访问的到。 有如下几种情况可以被称为直连: 设备WAN口直接接光纤或者拨号,本身就有公网IP或者设备放在企业 内网,但是从前面的防火墙或者路由器做了TCP 4009的端口映射给 SANGFOR VPN设备。非直连:也即VPN设备本身没有公网IP或者无法从公网去访问。 常见的情况是设备放在企业的内网,能够上网,但是前面防火墙或者 路由器没有做端口映射给SANGFOR VPN设备,这样的设备称为非直 连设备。SANGFOR设备之间要能正常互相连接VPN,则至少要保证一端为直 连。前置路由器未做端 口映射,VPN设备为非直连VPN设备可以通 过公网直接访问 ,为直连虚
5、拟网卡虚拟网卡a a、只在移动、只在移动PDLANPDLAN上生成上生成b b、承载虚拟、承载虚拟IPIP地址地址c c、操作系统添加本地路由、操作系统添加本地路由虚拟虚拟IPIP、虚拟、虚拟IPIP池池a a、由总部端设定虚拟、由总部端设定虚拟IPIP池范围池范围b b、虚拟、虚拟IPIP分配到移动分配到移动PDLANPDLAN上上SANGFOR DLAN互联基础2.1 2.1 S SA ANGNGFOR FOR D DLANLAN建立连接的条件建立连接的条件 2.2 SANGFOR DLAN2.2 SANGFOR DLAN建立连接的过程建立连接的过程2.1.1.至少有一端是总部,且有足够的
6、授权。 硬件与硬件之间互连不需要授权。 2.1.2.至少有一端在公网上可访问“寻址”。 2.1.3.建立VPN两端的内网地址不能冲突。 2.1.4.建立VPN两端的版本要匹配。SANGFOR DLAN 建立连接的条件最基本的三步曲2.2.1. 寻址:与谁建立连接(找到对方) 寻址(WebAgent原 理、WebAgent设置)2.2.2. 认证:身份验证(提交正确、充分的信息)账号密码 、Dkey、硬件鉴权、第三方认证。2.2.3. 策略:(下发)选路策略、权限策略、VPN路由策略、安 全策略(移动用户)、VPN专线(移动用户)、分配虚拟IP( 移动用户)SANGFOR DLAN 建立连接的过
7、程SANGFOR DLAN部署模式3.1 网关模式部署 3.2 单臂模式部署SANGFOR VPN设备网关模 式部署,则设备在网络中 的角色与路由器相当,即 设备的各个网口必须配置 不同网段的IP地址。一般情况下,SANGFOR VPN设备需要部署在公网 出口,均采用网关模式部 署。为了保证网络可达性,如果 设备LAN口下接三层交换 机,且内网有多网段的情 况下,必须在设备上配置 路由。SANGFOR VPN设备单臂模式 部署,即只连接设备的LAN 口到局域网交换机。这种部署方式不需要改动原有 的网络环境,即使VPN设备故 障也不会影响网络的连通性。单臂模式部署需要注意的是: 需要在内网网关上添加路由, 到VPN对端内网网段,下一跳 交给本端的VPN设备LAN口 地址。1.什么叫直连和非直连?2.VPN建立连接的条件有哪些?3.SANGFOR VPN支持哪几种部署模式?问题思考
