《sangforipsec2011年度渠道初级认证培训02dlan互联基础技术fg》由会员分享,可在线阅读,更多相关《sangforipsec2011年度渠道初级认证培训02dlan互联基础技术fg(22页珍藏版)》请在金锄头文库上搜索。
1、SANGFOR DLAN 互联基础技术,一、 SANGFOR VPN术语解释,1.1、总部、分支、移动 1.2、Webagent寻址 1.3、直连、非直连 1.4、虚拟网卡、虚拟IP、虚拟IP池,1.1 DLAN 总部、DLAN分支、DLAN移动,1.2 webagent寻址,我的IP地址是X.X.X.X,我的IP地址是X.X.X.X,请告诉我总部的IP地址,请告诉我总部的IP地址,总部的IP地址是X.X.X.X,总部的IP地址是X.X.X.X,在寻址过程中,所有信息均使用DES加密。,1.3 直连与非直连,直连:也即我们设备本身有公网IP或者能够被从公网访问的到。有如下几种情况可以被称为直连
2、:设备wan口直接接光纤或者拨号,本身就有公网IP或者设备放在企业内网,但是从前面的防火墙或者路由器做了TCP 4009的端口映射给我们设备。 非直连:也即我们设备本身没有公网IP或者无法从公网去访问。常见的情况是设备放在企业的内网,能够上网,但是前面防火墙或者路由器没有做端口映射给我们设备,这样的设备称为非直连设备。 我们的设备之间要能正常互相连接VPN,则至少要保证一端为直连。,1.4 虚拟网卡、虚拟IP、虚拟IP池,虚拟网卡 a、只在移动PDLAN上生成 b、承载虚拟IP地址 c、操作系统添加本地路由 虚拟IP、虚拟IP池 a、由总部端设定虚拟IP池范围 b、虚拟IP分配到移动PDLAN
3、上,二、SANGFOR VPN互连基础,2.1、 SANGFOR VPN建立连接的条件 2.2、 SANGFOR VPN建立连接的过程,2.1、 Sangfor vpn 建立连接的条件,2.1.1、至少有一端是总部,且有足够的授权。 硬件与硬件之间互连不需要授权。 2.1.2、至少有一端在公网上可访问“寻址”。 2.1.3、建立VPN两端的内网地址不能冲突。 2.1.4、建立VPN两端的版本要匹配。,2.2、 sangfor VPN建立连接的过程,最基本的三步曲 2.2.1、寻址:与谁建立连接(找到对方) 寻址(WebAgent原理、WebAgent设置) 2.2.2、认证:身份验证(提交正确
4、、充分的信息)账号密码、Dkey、硬件鉴权、第三方认证。 2.2.3、策略:(下发)选路策略、权限策略、VPN路由策略、安全策略(移动用户)、VPN专线(移动用户)、分配虚拟IP(移动用户),三、DLAN 部署模式,3.1 网关模式部署 3.2 单臂模式部署,部署方法: 1、选择“网关模式”,配置内、外网IP信息(根据具体情况设置) 2、设置“代理上网”(内网用户需要上外网时才) 3、填写webagent(外网为动态IP:例如ADSL) 4、设备虚拟IP地址池(移动用户) 5、建立用户接入帐号,网关部署,设备部署,部署方法: 1、选择“单臂模式”,LAN口接线,配内网IP、网关和正确的DNS,
5、WAN口不接线 2、填写webagent(外网为拨号)或填写外网IP(外网为固定IP,格式如:219.159.60.137:4009) 3、设置虚拟IP地址池(移动用户) 4、建立接入用户帐号 5、前置网关做4009端口映射(IPSEC用到TCP/UDP4009端口)和VPN分支、虚拟IP池的路由,下一跳指给VPN LAN口地址。,我做端口映射,单臂部署,四、练练手,网络环境: 某企业客户有总部在深圳,分支在北京 深圳总部环境:出口有CISCO PIX 515防火墙,10M光纤接入,内网有web服务器,内网地址网段为:172.16.0.0/24 ,防火墙LAN口地址为:172.16.0.254
6、,WAN口地址为:219.159.123.123 北京分支环境 :接入方式2M电信,ADSL拔号上网,内网网段:192.168.0.1/24,内网网关地址:192.168.0.254,客户需求: 1.要求实现总部与分支实现互访 2.领导带电脑在外出差,能进入内网访问WEB服务器,解决方案,1.要求实施总部与分支实现互访? 解决方法:深圳总部与北京分支各部署一台DLAN网关,建立IPSEC隧道,保证总部与分支数据进行互访及访问安全. 2.领导带电脑在外出差,能进入内网访问WEB服务器? 解决方法:移动用户采用PDLAN客户端接入总部,访问WEB服务器,解决领导在外办公需求.,配置思路,1.什么叫直连和非直连? 2.VPN建立连接的条件有哪些? 3.SANGFOR VPN支持哪几种部署模式?,问题思考,,
