收藏
下载资源

SANGFOR DLAN互联基础配置

上传人:油条 文档编号:53288807 上传时间:2018-08-29 格式:PPT 页数:29 大小:3.12MB
返回 下载 相关 举报
SANGFOR DLAN互联基础配置_第1页
第1页 / 共29页
SANGFOR DLAN互联基础配置_第2页
第2页 / 共29页
SANGFOR DLAN互联基础配置_第3页
第3页 / 共29页
SANGFOR DLAN互联基础配置_第4页
第4页 / 共29页
SANGFOR DLAN互联基础配置_第5页
第5页 / 共29页
点击查看更多>>
资源描述

《SANGFOR DLAN互联基础配置》由会员分享,可在线阅读,更多相关《SANGFOR DLAN互联基础配置(29页珍藏版)》请在金锄头文库上搜索。

1、SANGFOR DLAN互联基础配置,一、系统部署配置,说明:通过配置系统部署相关设置项,保证VPN设备加入客户网络中,网络的通畅性。VPN设备默认登录方式:P5100 LAN口:http:/10.254.254.253:1000S5100 LAN口:http:/10.254.254.253:1000DMZ口:http:/10.253.253.253:1000其它型号 LAN口:http:/10.254.254.254:1000DMZ口:http:/10.254.253.254:1000默认用户名/密码:Admin/Admin,1、网关模式,*此时将设备当一台路由器/防火墙对待(1)网络接口配

2、置(2)系统路由配置(3)防火墙配置(根据实际情况可选配置)代理上网NAT设置端口映射过滤规则设置(4)本地子网配置,网络接口配置,设置内网口LAN、DMZ的IP/掩码,设置外网口信息:线路类型、IP/掩码、网关、DNS,线路类型选择为ADSL时,设置用户名、密码,并勾选“自动拨号”,*设备重启后,请使用新配置的IP登录网关控制台,系统路由配置,如果内网三层环境或需要路由跳转的情况需添加系统静态路由。,防火墙配置,如果需要设备代理内网用户上网(包括设置用户上网权限)、向外网发布内网服务器,以及用到防火墙过滤规则时,需设置防火墙相关选项。,代理上网设置,填写代理上网规则名称、内网接口以及需要代理

3、的网段信息,*如需代理多个网段上网,则添加多条代理上网规则(需配合添加到非设备直连内网口所在网段的系统路由设置)。,端口映射设置,设置端口映射相关选项。,防火墙过滤规则设置,本地子网设置,当通过VPN需要访问与设备内网口非同网段时需添加本地子网。,2、单臂模式,*此时将VPN设备当内网一台服务器看待 (1)网络接口配置 (2)本地子网设置(同网关模式下配置) (3)前置网关设备为VPN设备的VPN监听端口设置端口映射(当设备作为总部时需设置) (4)前置网关设备或内网三层交换机/路由器添加到对端VPN网络/虚拟IP池(与VPN设备内网口非同网段时)的回包路由指向VPN设备LAN口IP,网络接口

4、配置,单臂模式VPN数据交互只用到LAN口,所以只需配置LAN口信息即可,*设备重启后,如需从设备LAN口登录网关控制台请使用新配置的LAN口IP,二、DLAN基础配置,说明:DLAN分为总部、分支和移动三类角色。(1)DLAN总部配置:需要配置webagent、用户管理、虚拟IP池(移动用户)。(2)DLAN分支配置:只需配置连接管理。(3)DLAN移动配置:基本设置与主连接参数设置。,DLAN总部的配置,当外网是固定IP时,webagent填写格式为:IP:4009,备份webagent保留为空; 当外网是ADSL拨号时,webagent可向深信服客服中心申请,设置用户名/密码,类型可选择

5、移动、分支,当用户类型为移动时,需设置虚拟IP 可从虚拟IP池中指定一个IP,若设置为0.0.0.0,则自动从虚拟IP池中分配,DLAN分支端的配置,添加总部名称(自定义)、总部提供的webagent及用户民/密码信息,DLAN移动端的设置,移动用户首先安装DLAN移动客户端,三、DLAN基础综合实验,1、实验场景及需求,1、实验场景及需求,(1)客户为一市局级政府行业客户,市局网络办公网与政务专网是物理隔离的,即上互联网均通过办公网,访问市局服务器则需要接入到政务专网。分局无法通过现有网络访问到市局服务器。(2)客户现在希望通过深信服IPSec VPN(总部M5100,分支S5100)实现分

6、局用户能够访问市局的服务器,且市局不可私自拉外网线路。(3)网段信息均表现在图中。要求总部部署M5100且不能替换原有防火墙,市局行政专网只有10.172.38.5这个IP可用,且该IP可正常访问市局服务器;分局采用S5100替换原有简单的路由器 并代理内网用户正常上网。,2、配置思路分析,(1)分局较好部署,直接调换原有路由器代理分局用户上网并与市局建立IPSec VPN隧道。 (2)市局部署较复杂,我们根据需求将其逐个分解。保证VPN设备本身既能提供分局设备接入,又能与市局服务器通信,故将设备以_模式部署在_的位置。根据上一步判断,配置设备的网络接口信息,要保证分支设备能接入总部设备,需在

7、总部的_设备上做_;其次,要保证设备以及分支能访问到总部服务器,需要在总部VPN设备上添加_和_。经过上面两步配置,分支的数据可以到达总部的服务器,但是总部的服务器能正常相应分支的数据请求,还需在总部的_设备上添加_。以上系统配置完成后,按照DLAN基础配置方法分别设置总部、分支相关选项。,3、操作演练,根据配置思路的分析以及前面提到的DLAN互联所需配置项,完成本实验实际所需的操作。,4、配置参考-部署拓扑图,(1)市局VPN网关设备系统配置,(2)市局网络调整改动,以下两个改动需要客户协助: 原有办公网防火墙将192.168.1.252的TCP/UDP4009映射至互联网:202.103.24.88;原有政务网上三层交换机添加静态路由:192.168.0.0 255.255.255.0 10.172.38.5,(3)市局设备DLAN配置,(4)分局设备系统配置,(5)分局DLAN配置,(6)检测DLAN两端互访,通过查看市局和分局两台设备的运行情况DLAN运行状态,以及直接通过深信服IPSec VPN访问对端的服务器,确认DLAN的连通性。,,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号