《SANGFOR_IPSEC_V4.3_2012年度培训05_DLAN多线路应用场景及配置_20120602》由会员分享,可在线阅读,更多相关《SANGFOR_IPSEC_V4.3_2012年度培训05_DLAN多线路应用场景及配置_20120602(26页珍藏版)》请在金锄头文库上搜索。
1、SANGFOR DLAN 多线路应用场景及配置,DLAN多线路应用场景,DLAN多线路典型应用案例及配置,深信服公司简介,练练手,SANGFOR DLAN,DLAN多线路应用场景,网关模式DLAN多线路应用场景,场景一:总部多线路部署,分支单线路部署,总部和分支进行IPSEC VPN互连。总部与分支可以建立两条VPN隧道,且通信数据可以通过这两条VPN隧道同时传输,互为备份。场景二:总部和分支均为多线路部署,进行IPSEC VPN互连。总部和分支可以建立4条VPN隧道,同时可以设置多线路策略,实现VPN隧道的备份和数据传输速度的优化,场景一,场景二,DLAN多线路应用场景,单臂模式多线路场景,
2、总部单臂部署,出口双线路,总部与分支或移动用户建立多条VPN隧道。注:VPN单臂多线路功能要求DLAN总部和分支都是4.3及以上版本。,DLAN多线路应用场景,DLAN多线路典型应用案例及配置,深信服公司简介,练练手,SANGFOR DLAN,DLAN多线路典型应用案例及配置,网关模式多线路应用案例,网络环境如图:总部:VPN网关模式部署,出口双线路,线路1是电信,线路2是联通。电信IP地址:183.16.154.147/24 GW:183.16.154.1电信DNS:202.103.224.68 和202.103.225.68联通IP地址:221.7.1.199/24 GW:221.7.1.
3、254联通DNS:221.7.128.68/24和221.7.136.68分支:VPN网关模式部署,出口只有一条电信线路。电信地址:219.159.1.199/24 GW:219.159.1.254 客户要求:分支与总部进行IPSEC VPN互连,电信和联通两条线路互为主备方式,当电信线路断了,VPN数据自动切换到联通线路。,DLAN多线路典型应用案例及配置,DLAN总部多线路配置思路总部VPN设备需要配置:1. 连接各个外网线路的接口IP地址2. 多线路设置VPN多线路选路策略建立分支账号并为分支用户关联相应的选路策略总部的webagent地址填写成域名或者IP1#IP2:4009的形式分支
4、VPN设备需要配置:1. 设置连接管理,DLAN多线路典型应用案例及配置,1.接口地址配置,启用线路1并配置线路1的地址和DNS,同样启用线路2并配置线路2的地址和DNS,DLAN多线路典型应用案例及配置,2.IPSEC VPN多线路设置,开启IPSEC VPN多线路功能,配置线路1的地址和DNS,配置线路2的地址及DNS,设备通过DNS探测线路是否正常,所以该DNS一定要配置正确。,勾选即启用线路故障检测,DLAN多线路典型应用案例及配置,3.VPN多线路选路策略设置,策略名称可自定义,按实际情况选择VPN本端线路数和对端线路数。,本例要求做线路主备,将联通线路放到备线路组中。,点击确定保存
5、配置,DLAN多线路典型应用案例及配置,4.总部建立分支账号并为分支用户关联相应的选路策略,选择对应的选路策略,点击确定保存配置,DLAN多线路典型应用案例及配置,5.总部配置WEBAGENT地址,填写格式为:IP#IP2:4009,点击确定,保存配置,DLAN多线路典型应用案例及配置,6.分支设置连接管理,填写总部的WEBAGENT,填写总部为该分支用户建的用户名和密码,点击完成,保存配置,以上步骤完成,即完成了本例所有配置,分支可通过线路主备的方式接入总部VPN,IP2,IP1,单臂模式下实现VPN多线路,概述:即VPN设备以单臂模式部署,当前置网关出口有多条外网线路时,设置VPN数据分别
6、走相应的外网线路,实现多线路自动选路。,实现前提:1、单臂设备有多线路授权;2、前置设备有多线路;3、前置设备支持根据源IP做策略路由;4、前置设备支持从两个网口做端口映射。,主线路组平均分配,单臂模式下DLAN多线路典型应用案例及配置,某客户总部购买了我司一台VPN设备,网络环境如图,出口有PIX525防火墙,防火墙有两条外网线路,线路1为电信,线路2为联通,VPN设备单臂部署在内网,内网只有192.200.150.0/24网段.电信地址:222.216.2.199/24 GW:222.216.2.254电信DNS:202.103.224.68 和202.103.225.68联通地址:221
7、.7.2.199/24 GW:221.7.2.254联通DNS:221.7.128.68/24和221.7.136.68客户要求分支连进来以后,能同时跑电信和联通两条线路,并且数据包平均分配到两条线路上。,线路1,线路2,单臂模式下DLAN多线路典型应用案例及配置,配置思路:总部VPN设备上的配置:设置单臂模式,配置LAN口IP和单臂线路设置多线路检测设置VPN多线路选路策略建立分支用户并为分支用户关联选路策略前置防火墙的配置:做两个端口映射,分别映射VPN端口到对应的多线路IP设置策略路由,分别基于不同的多线路IP从不同的线路转发出去分支VPN设备上的配置:1. 配置连接管理,DLAN多线路
8、典型应用案例及配置,1.接口地址配置,部署模式选择为单臂模式,配置LAN口地址,该地址可随意配置,但不能跟单臂多线路的IP在同一网段。,配置两条单臂线路的地址,两条单臂线路的地址必须在同一网段,DLAN多线路典型应用案例及配置,2. 多线路设置,勾选启用单臂多线路,新增两条单臂线路,设备通过此处配置的DNS来探测线路是否正常,填写公网真实的IP地址,若公网无固定IP,可不填写,勾选启用DNS检测,DLAN多线路典型应用案例及配置,3.VPN多线路选路策略设置,选择本端线路数和对端线路数,本例中,电信和 联通都为主线路,本例要求两条主线路按包平均分配,点击确定保存配置,DLAN多线路典型应用案例
9、及配置,4.新建分支账号并给分支用户关联选路策略,选择按包平均分配的多线路选路策略。,点击确定保存配置,以上步骤完成,即完成单臂多线路选路的基本配置,用户test接入总部VPN时,实现按包平均分配进行选路。,DLAN多线路应用场景,DLAN多线路典型应用案例及配置,深信服公司简介,练练手,SANGFOR DLAN,练练手,用户场景及需求:,客户的网络环境如图:总部:VPN网关部署,出口只有一条电信单线路。电信地址:219.159.3.199/24 GW:219.159.3.254分支:VPN网关部署,出口双线路,线路1是电信,线路2是联通。电信线路1:222.216.3.199/24 GW:2
10、22.216.3.254电信线路2:222.216.4.199/24 GW:222.216.4.254电信DNS:202.103.224.68 和202.103.225.68客户要求:分支与总部进行IPSEC互连,要求分支的两条线路同时跑VPN数据,并且 按会话平均分配到两条线路上。,练练手,要求:请根据用户场景和需求,给客户做VPN网关多线路实施配置,配置思路:,问题思考,1.DLAN总部多线路配置的时候,WEBAGENT应该怎么填写?2.某用户想购买DLAN设备实现单臂多线路,用户咨询需要什么条件才能实现,请问如何回答?3. IPSEC设备网关多线路模式下,设备是怎么判断线路是否工作正常的?,,
