《sslvpn年度渠道技术基础培训》由会员分享,可在线阅读,更多相关《sslvpn年度渠道技术基础培训(35页珍藏版)》请在金锄头文库上搜索。
1、,SSLVPN渠道技术培训-2009Q2,SINFOR TECHNOLOGIES CO.,LTD.,各讲师可以根据实际情况对PPT进行适当修改!,培训目的,提高对深信服SSL VPN产品的认识、应用技能 熟悉设备配置界面,掌握路由模式和单臂模式部署,掌握这些环境环境下典型功能测试,设备配置:用户、用户组、资源、资源组、角色,培训内容,设备部署,控制台登录,集群功能,SSL VPN应用环境,客户端登录,Internet,移动接入,第三方接入,远程接入(偏远地区),外网,内网,设备配置:用户、用户组、资源、资源组、角色,设备部署,控制台登录,集群功能,SSL VPN应用环境,客户端登录,1、电脑用
2、交叉线直接连SSL VPN设备的LAN口或者中间通过交换机连接 2、打开IE用1000端口登录,默认用户名、密码均为“Admin” 3、电脑首次登录控制台需要安装控制台控件(有提示),若IE安全级别太高安装不上,可以点击“手动下载ActiveX控件”进行安装。,登录控制台,设备配置:用户、用户组、资源、资源组、角色,设备部署,控制台登录,集群功能,SSL VPN应用环境,客户端登录,部署方法: 1、配置内、外网IP信息(根据具体情况设置) 2、设置SSL用到端口信息:HTTP和HTTPS端口 3、填写webagent(外网为动态IP:例如ADSL),网关部署,设备部署,部署方法: 1、LAN口
3、接线,配内网IP(与内网pc同网段) 2、WAN口不接线,任意配置一固定IP(不能与 内网网段冲突)、默认网关填:0.0.0.0、填 写正确的DNS 3、添加一条目标网段为:0.0.0.0,掩码为: 0.0.0.0的系统路由,下一跳指向前置网关 4、设置SSL用到端口信息:HTTP和HTTPS端口 5、前置网关做相应的端口映射(SSL用到的 HTTP和HTTPS端口) 6、填写webagent(外网为拨号),我做端口映射,单臂部署,多线路网关部署,WAN1,WAN1,部署方法: 1、根据实际情况配置外网信息 2、在DLAN 多线路配置配置多线路信息 3、在SSLVPN参数配置的高级配置中勾选上
4、启用多线路自动选路 4、其他配置与独立设备网关部署一样,多线路单臂部署,部署方法: 1、根据实际情况把前置网关的外网IP (用于HTTP和HTTPS端口)映射到SSL设备上 2、在SSLVPN参数配置的高级配置中勾选上启用多线路自动选路并做好相应的配置 3、其他配置与独立设备单臂部署一样,201.100.0.25,58.1.20.35,仅支持外网固定IP或固定域名方式,设备配置:用户、用户组、资源、资源组、角色,设备部署,控制台登录,集群功能,SSL VPN应用环境,客户端登录,用户组建立,用户建立(用户名/密码认证),可选认证组合,可针对单个用户设置属性,点击下拉框选择所属用户组,用户建立(
5、证书认证),1.安装证书控件 2.生成数字证书 3.安装数字证书,并登录,用户建立(DKey认证),1.【高级配置】中启用DKey功能 2.安装证书控件和相应的DKey驱动 3.生成数字证书,烧录到DKey中 4.插入DKey,并登录,选择相应的DKey类型,用户建立(LDAP认证),各参数具体含义参考备注,1.设置LDAP服务器,自动生成一个对应该LDAP服务器的外部认证用户组 2.成功配置后,客户端使用LDAP账号登录后,拥有对应 LDAP服务器用户组的权限,本地用户帐号和RADIUS帐号冲突时,本地帐号优先,用户建立(RADIUS认证),1.设置RADIUS服务器,自动生成一个对应该RA
6、DIUS服务器的外部认证用户组 2.成功配置后,客户端使用RADIUS账号登录后,拥有对应RADUIS服务器用户组的权限,本地用户帐号和RADIUS帐号冲突时,本地帐号优先,各参数具体含义参考备注,用户建立(辅助认证),辅组认证,可结合主要认证使用,资源组配置,填写名字,WEB资源配置,填写服务器IP,点击下拉框选择所属资源组,APP资源配置,点下拉框选择类型: smtp、pop3:一般邮件客户端 Terminal Service:远程桌面(终端) MSSQL Server:微软的数据库 HTTP:页面服务(如OA、web邮箱、网站、 页面方式的erp等页面方式的应用) FTP:ftp服务(主
7、动模式或被动模式都支持) 以上是常用的应用,碰到客户端的应用选择“其他”在“端口范围”填上该客户端所连接的具体端口,指定服务器的服务端口,IP资源配置,FlieShare:Windows共享文件夹服务(不必指定端口),ICMP:选择ICMP协议,可以支持ping,角色建立,勾选需要配置资源的用户,勾选需要配置资源的用户组,勾选需要使用的资源,勾选需要使用的资源组,设备配置:用户、用户组、资源、资源组、角色,设备部署,控制台登录,集群功能,SSL VPN应用环境,客户端登录,部署方法: 1、各个SSL设备在内网接口配置中设置好LAN口 IP(与内网pc同网段) 2、各个SSL设备在外网接口配置中
8、设置WAN口 IP (各个SSL设备的wan口IP需在同一网段) 3、各个SSL设备的集群里的基本配置的 集群IP设置中,设置相同的LAN口集群 IP(配上和每台设备的LAN口IP在同一网 段,且未使用的IP ) 4、各个SSL设备的集群里的基本配置的 集群IP设置中,设置相同的WAN口集群 IP(和外界通信的真实IP,且和每台设备的WAN口 IP在不同网段。 ) 5、其他配置与独立设备网关部署一样,集群部署,网关部署,集群,wan口集群IP,lan口集群IP,注:网关模式配置wan口时,网关不能填0.0.0.0,可任意配一个地址,单臂部署,集群,lan口集群IP,部署方法: 1、各个SSL设
9、备在内网接口配置中设置好 LAN口 IP(与内网pc同网段) 2、各个SSL设备的集群里的基本配置的集群 IP设置中,设置相同的LAN口集群IP(配上 和每台设备的LAN口IP在同一网段,且未使用 的IP ) 3、前端防火墙做好端口映射,映射给内网的LAN口集 群IP。 4、其他配置与独立设备单臂部署一样,多线路部署(网关),集群,lan口集群IP,wan1口集群IP,wan2口集群IP,部署方法: 1、各个SSL设备在内网接口配置中设置好LAN 口IP(与内网pc同网段) 2、各个SSL设备在外网接口配置中设置WAN口 IP 3、各个SSL设备的集群里的基本配置的 集群IP设置中,设置相同的
10、LAN口集群 IP(配上和每台设备的LAN口IP在同一 网段,且未使用的IP ) 4、各个SSL设备的集群里的基本配置的 集群IP设置中的WAN口集群IP设置各个 wan口的集群IP,各个设备设置的集群IP需完全一 样(和每台设备的WAN口IP在不同网段。 ) 5、在SSLVPN参数配置的高级配置中勾选上启用多线路自动选路 6、其他配置与独立设备多线路网关部署一样,注:网关模式配置wan口时,网关不能填0.0.0.0,可任意配一个地址;同一台设备的wan1口IP和wan2口IP不能同一网段,不同设备之间对应的各条线路必须同一网段,多线路部署(单臂),集群,lan口集群IP,wan1,wan2,
11、部署方法: 1、各个SSL设备在内网接口配置中设置好 LAN口 IP(与内网pc同网段) 2、各个SSL设备的集群里的基本配置的集群 IP设置中,设置相同的LAN口集群IP(配上 和每台设备的LAN口IP在同一个网段,且未使用的IP ) 3、在SSLVPN参数配置的高级配置中勾选上启用多线路自动选路并做好相应的配置。 4、前端防火墙做好端口映射,映射给内网的LAN口集 群IP。 5、其他配置与独立设备多线路单臂部署一样,地址栏只能填写固定IP或域名HTTP/HTTPS端口指前端路由器向对应的映射端口,基本配置,开启集群功能,同个集群中,各台设备的集群消息密码需保持一致,一个集群中最多能有一台S
12、SL配置始终作为分发器,集群中所有设备的集群IP设置都必须配置相同,告警配置,邮件告警设置为客户提供集群内设备状态的实时邮件告警。包括节点退出,节点加入,WAN口故障,优先级配置错误,WAN口恢复。,设备配置:用户、用户组、资源、资源组、角色,设备部署,控制台登录,集群功能,SSL VPN应用环境,客户端登录,SSL VPN登录,网关部署方式,直接在IE上输入SSL VPN设备的WAN口IP或者Webagent地址,访问我的公网IP:202.123.201.7(或webagent),访问IP的情况,单臂部署方式,直接在IE上输入前置网关的IP或者Webagent地址,访问我的公网IP:202.123.201.7(或webagent),访问webagent的情况,客户端登录界面,用户名/密码认证、LDAP认证、RADIUS认证在登录页面输入用户账号、密码,点击 “提交”,即完成认证过程,可以看到资源列表 或者 点击“证书登录”按钮或者点击“DKey登录”,完成认证过程,进入资源列表 访问资源时,打开IE或客户端软件直接访问内网服务器IP(和在内网访问一样),证书认证,DKey认证,
