《SANGFOR_IPSEC_2016年渠道初级认证培训01_SANGFOR DLAN基本功能介绍》由会员分享,可在线阅读,更多相关《SANGFOR_IPSEC_2016年渠道初级认证培训01_SANGFOR DLAN基本功能介绍(25页珍藏版)》请在金锄头文库上搜索。
1、SANGFOR DLAN 基本功能介绍培训内容培训目标SANGFOR DLAN介绍了解DLAN的应用背景SANGFOR DLAN术语解释了解DLAN的一些专业术语SANGFOR DLAN互联条件掌握DLAN的互联条件SANGFOR DLAN介绍SANGFOR DLAN术语解释深信服公司简介SANGFOR DLAN互联条件SANGFOR IPSECSANGFOR DLAN介绍SANGFOR DLAN介绍SANGFOR DLAN 即深信服自主研发的IPSec VPN产品。早在2001年,SANGFOR便涉足IPSec VPN领域,旨在为用户提供安全、高速、稳定、高性价比的虚拟专用网解决方案。经过多
2、年的发展,SANGFOR DLAN已经成为中国VPN领域的第一品牌。SANGFOR DLAN的应用场景l统一的信息平台建立,实现总部与分支之间资源共享的需求l多线路环境下,实现线路智能选路的需求l大专网内构建“小专网”,保障敏感数据的安全的需求l专线备份,全方位的稳定性保证的需求SANGFOR DLAN 的技术特点u基于国际标准的IPSec VPNu细化到端口的权限控制u VPN专线技术使访问更安全uVPN多线路复用技术实现带宽叠加和负载均衡,最大化的提高带宽利用率!(专利)u通过畅联技术优化传输线路,即使面对高丢包的环境也能畅通无阻!(专利)SANGFOR DLAN的优势深信服设备自身能互联
3、两种VPN类型,一是标准IPSEC VPN,另外就是我司自主开发的SANGFOR VPN,与标准IPSEC VPN相比,SANGFOR DLAN的优势有:1、支持两端都为非固定IP的公网环境2、VPN多线路复用技术,实现VPN链路的负载均衡和备份3、VPN专线技术,实现VPN网络与公网的隔离4、隧道间路由技术,分支用户通过总部上网,实现总部的统一管控5、隧道间NAT技术,解决多个分支网段IP冲突的问题6、隧道内流控技术,实现带宽合理分配SANGFOR DLAN解决方案公网“专有化”!组网便利,易于扩展透明访问,使用方便SANGFOR DLAN产品系列目前含有SANGFOR DLAN模块的产品系
4、列有:1.SANGFOR DLAN 设备(如S5100/P5100、VPN1050/1150) 2.SANGFOR SSL 设备3.SANGFOR AC 设备4.SANGFOR SG 设备5.SANGFOR MIG 设备6.SANGFOR WOC 设备7.SANGFOR NGAF 设备注:设备在不同的部署模式下支持的功能各不一样,上述设备在某些特殊环境下不支持VPN功能SANGFOR DLAN术语解释1.DLAN1.DLAN、总部、分支、移动、总部、分支、移动2.Webagent2.Webagent3.3.直连、非直连直连、非直连4.4.虚拟网卡、虚拟虚拟网卡、虚拟IPIP、虚拟、虚拟IPIP
5、池池DLAN:即SANGFOR IPSEC VPN,培训PPT中,所说的DLAN均指SANGFOR IPSEC VPN。总部:提供VPN接入服务,为其他VPN用户提供接入账户校验的设备。DLAN总部设备需要配置WEBAGENT、VPN接入账号等。一般将服务器端所在的网络做为总部。分支:即接入总部端的设备。一般将客户端所在的网络做为分支。移动: 即SANGFOR VPN的软件客户端,又称为PDLAN。一般将单个客户端通过软件接入总部时称为移动用户。一个VPN设备既可以当总部,也可以当分支,也可以同时充当总部和分支的角色。 1 DLAN ,总部,分支,移动 1 DLAN ,总部,分支,移动WEBA
6、GENT:用于SANGFOR DLAN互联时,分支与移动用户寻找 总部的地址,从而建立 VPN连接。WEBAGENT有如下几种的填写方式:1. IP:端口,如123.123.123.123:4009适用于总部VPN设备有固定公网IP地址的环境。2. IP1#IP2:端口,如123.123.123.123#221.221.221.221:4009适用于总部VPN设备有多条固定IP的线路,且需要做VPN的线路备份的环境。3. 网址的形式,如: webagent2 webagent我的IP地址是X.X.X.X我的IP地址是X.X.X.X请告诉我总部的IP地址请告诉我总部的IP地址总部的IP地址是X.
7、X.X.X总部的IP地址是X.X.X.XWEBAGENT寻址过程:(在寻址过程中,所有信息均使用DES加密。)3 直连与非直连直连:即设备的VPN连接端口能被 公网直接访问。有如下几种情况可以被称为直连:A:设备WAN口直接接光纤或者拨号,本身就有公网IP。B:设备放在企业内网,但是在前面的网关设备上将VPN连接端口映射给了SANGFOR VPN设备。非直连:即设备的VPN连接端口不能被 公网直接访问。 常见的情况是设备放在企业的内网,能够上网,但是前面的网关设备没有做端口映射给SANGFOR VPN设备。SANGFOR设备之间要能正常互连VPN,则至少要保证一端为直连。前置路由器未做端口映射
8、,VPN设备为“非直连”VPN设备可以通过公网直接访问,为“直连”3 直连与非直连虚拟网卡虚拟网卡a a、承载虚拟、承载虚拟IPIP地址地址b b、用于、用于VPNVPN隧道内的数据进行通信隧道内的数据进行通信4 虚拟网卡、虚拟IP、虚拟IP池虚拟虚拟IPIP、虚拟、虚拟IPIP池池 a a、为虚拟网卡配置的地址。、为虚拟网卡配置的地址。 b b、VPNVPN设备的虚拟网卡地址为自由获取,移动端虚设备的虚拟网卡地址为自由获取,移动端虚拟网卡的地址由总部设备统一指定。拟网卡的地址由总部设备统一指定。4 虚拟网卡、虚拟IP、虚拟IP池VpntunVpntun接口:接口:VPNVPN数据的虚拟路由口
9、,用来引导数据数据的虚拟路由口,用来引导数据发发往往VPNVPN隧道,从而封装报文。隧道,从而封装报文。 5 VPNTUN接口SANGFOR DLAN互联条件1.1.SASANGNGFOR DFOR DLANLAN建立连接的条件建立连接的条件2.SANGFOR DLAN2.SANGFOR DLAN建立连接的过程建立连接的过程1.至少有一端是总部,且有足够的授权。(注意:深信服硬件与深信 服硬件之间互联不需要授权,深信服PDLAN与深信服硬件互联需要授权,深信服硬件与第三方厂商互联需要授权。)2.至少有一端的VPN端口在公网上可访问(直连)。3.建立VPN连接的两个设备内网网段不能冲突。4.建立
10、VPN连接的两端设备VPN版本要匹配。(如dlan4.x版本既能跟dlan4.x版本互联也能跟dlan5.x版本互联,但dlan2.x版本只能跟dlan2.x版本互联)SANGFOR DLAN 建立连接的条件最基本的三步曲1、寻址:与谁建立连接(找到对方) 寻址。(WebAgent原理、WebAgent设置)2、认证:身份验证(提交正确、充分的信息)账号密码、Dkey、硬件鉴权、第三方认证。3、策略:(下发)选路策略、权限策略、VPN路由策略、安全策略(移动用户)、VPN专线(移动用户)、分配虚拟IPSANGFOR DLAN 建立连接的过程1.用户一般在什么情况下会用到SANGFOR IPSEC VPN?2.相对标准IPSEC VPN,SANGFOR DLAN有哪些技术优势?3.两个SANGFOR 硬件设备建立DLAN连接的必要条件有哪些? 问题思考
