《SANGFOR_SSL_v7.0_2016年度渠道高级认证培训01_多线路部署和配置》由会员分享,可在线阅读,更多相关《SANGFOR_SSL_v7.0_2016年度渠道高级认证培训01_多线路部署和配置(29页珍藏版)》请在金锄头文库上搜索。
1、SANGFOR SSL VPN多线路部署培训培训内容培训目标SSL VPN 部署模式介绍1. 掌握SSL VPN多线路部署模式的特点网关模式1. 掌握网关多线路模式适用环境2. 掌握网关多线路的配置步骤单臂模式1. 掌握单臂多线路模式适用环境2. 掌握单臂多线路的配置步骤SANGFOR SSL 部署模式回顾深信服公司简介SANGFOR SSL 部署模式配置SANGFOR SSL 动动手SANGFOR SSLSANGFOR SSL 部署案例SANGFOR SSL部署模式回顾单线路多线路单臂模式网关模式单线路多线路SANGFOR SSL部署配置(网关多线路模式)部署配置(网关多线路模式)SANGF
2、OR SSL部署配置(网关多线路模式)部署配置(网关多线路模式)1、线路确定:跟客户确认有几条公网线路接入,并申请多线路授权2、网关模式配置:确定设备外网口是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码,给每条外网线路做配置;确定内网口(LAN口)的IP地址信息;3、上网配置:代理上网(NAT),确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。4、多线路配置:可根据客户需求设置IPSEC VPN多线路,SSL VPN多线路传输,上网数据的多线路选路策略。网关多线路配置思路:SSL部署配置(网关多线路模式)部署配置(
3、网关多线路模式) 网关多线路模式配置截图使用网关多线路,必须先开通多线路授权点击线路,分别配置线路一和线路二的IP地址和网关SSL部署配置(网关多线路模式)部署配置(网关多线路模式) 代理上网配置截图SSL部署配置(网关多线路模式)部署配置(网关多线路模式) 多线路配置截图(后续案例讲述配置)SANGFOR SSL部署配置(单臂多线路模式)部署配置(单臂多线路模式)1、单臂模式配置:给设备LAN口分配一个可以上网的IP地址、填写正确的网关IP、DNS;2、前置网关分别做两条线路的TCP 443和80端口映射(如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口)3、配置SSL
4、 VPN多线路注意事项:80端口也是必须映射的,因为多线路选路功能是依赖80端口来选路的,如果80端口不映射,将无法实现多线路选路功能单臂多线路部署配置思路:SSL部署配置(单臂多线路模式)部署配置(单臂多线路模式) 单臂多线路模式配置截图(与单臂单线路设置相同)SSL部署配置(单臂多线路模式)部署配置(单臂多线路模式) 单臂多线路模式多线路配置截图填入公网出口线路的真实公网IP地址。案例一:网关多线路部署案例案例一:网关多线路部署案例 某客户拓扑如图,客户需要实现外网用户通过SSL VPN接入访问内部的OA服务器群。客户有电信与网通两条链路,并且已经申请了多个IP地址。SSL VPN设备网关
5、部署,分配一个电信与一个网通IP地址给SSL VPN设备使用。内网用户通过防火墙上网,外网用户需要实现输入域名实现自动选择电信或者网通最快链路接入SSL VPN。 部署需求:网关多线路部署配置思路网关多线路部署配置思路1. 基础网络配置:基础网络配置:网关模式,配置WAN1、WAN2口、LAN口IP地址信息,配置系统路由。(由于LAN口与服务器不在一个网段,而设备的默认路由指向WAN方向出口,所以需要添加到达内网的静态路由,下一跳指向核心交换机) 。2. 域名设置:域名设置:将客户申请的二级域名XXX在ISP处用A记录指向1.1.2.2和2.1.2.2 。 3. 多线路设置:多线路设置:系统配
6、置-网络配置-多线路,勾选启用IPSEC多线路传输,并且新建好两条线路。勾选启用SSL VPN多线路,选择SSL VPN用户直接接入本设备,并且新增两条线路。 网关多线路部署配置步骤网关多线路部署配置步骤1. 设置网关模式,设置网关模式,LAN口和口和WAN1,WAN2口口IP地址。地址。网关多线路部署配置步骤网关多线路部署配置步骤2. 设置系统路由设置系统路由网关多线路部署配置步骤网关多线路部署配置步骤3. 设置设置SSL VPN多线路选路:多线路选路: a) 启用启用IPSEC VPN多线路,添加两条公网线路的多线路,添加两条公网线路的IP地址地址(仅当(仅当SSL设备网关多线路直连公网的
7、环境下需要设置)设备网关多线路直连公网的环境下需要设置) 必须配置正确的DNS才能够进行链路检测线路故障检测用于实时检测链路的好坏,实现线路故障时自动切换。网关多线路部署配置步骤网关多线路部署配置步骤3. 设置设置SSL VPN多线路选路:多线路选路: b) 启用启用SSL VPN多线路,选择多线路,选择“SSL VPN用户直接接入本设备用户直接接入本设备”点击线路名称,修改优先级网关多线路部署案例网关多线路部署案例a) 一般情况下设置同等优先级即可。两条线路选择相同的优先级会直接对比两条线路下载图片的耗时,选择耗时小的线路接入SSL VPN。 b) 如果线路1设置为高,线路2设置为中。那么多
8、线路选路的时候会自动从两条线路下载图片。优先级高的线路3秒内完成下载,不管优先级中的线路下载比优先级高的线路快还是慢,都选择优先级高的线路。3秒内未完成下载,则对比两条线路,哪条更快则选择哪条线路。 c) 高优先级和中优先级之间是3秒,中和低之间是2秒,高和低之间是5秒SSL VPN多线路优先级的含义:案例二:单臂多线路部署案例案例二:单臂多线路部署案例 客户拓扑如图所示,出口有电信与网通两条链路。客户需要不改动原有的网络环境部署SSL 设备,同时实现外网用户输入1.1.2.2或者2.1.2.2任意一个IP地址均能自动选择最快链路接入SSL VPN。部署需求:单臂多线路部署配置思路单臂多线路部
9、署配置思路1. 基础网络配置:基础网络配置:单臂模式,配置LAN口IP地址,掩码,网关等信息。2. 前置防火墙做端口映射:前置防火墙做端口映射:前置防火墙需要做两条线路的80端口和443端口到172.16.1.10 。需要注意:80端口也是必须映射的,因为多线路选路功能是依赖80端口来选路的,如果80端口不映射,将无法实现多线路选路功能。 3. 多线路配置:多线路配置:系统配置-网络配置-多线路,勾选启用SSL VPN多线路,并且新增两条外网线路真实的公网IP地址。 单臂多线路部署配置步骤单臂多线路部署配置步骤1. 设置单臂模式,设置单臂模式,LAN口口IP地址,网关,以及地址,网关,以及DM
10、Z口口IP地址。地址。单臂多线路和非直连公网的网关多线路模式下无需开启单臂多线路部署配置步骤单臂多线路部署配置步骤2. 设置设置SSL VPN多线路选路,新增公网出口线路真实的公网多线路选路,新增公网出口线路真实的公网IP地址。地址。SSL VPN自动选路功能注意事项自动选路功能注意事项1.要使用SSL VPN自动选路功能,必须开启HTTP端口。2. SSL单臂模式下必须在前置设备上同时做HTTPS端口和HTTP端口的映射,默认是TCP 443和80端口。3.用户必须通过HTTP的方式访问SSL 设备才能自动选路。通过webagent地址,域名,以及SSL设备的任意公网IP均可。练练手练练手练
11、练手练练手 客户网络现状和需求:客户网络现状和需求: 随着公司发展,在外出差的人员越来越多,需要实现远程接入内网安全快速的访问内部系统。 客户网络出口是一个路由器,有电信和网通两条公网线路,希望实现优先通过电信的线路连接SSL VPN,如果电信线路的延时比网通线路大很多时,才通过网通线路连VPN。练练手练练手解决方案:SSL VPN设备网关模式部署替换原来网络中的路由器,设置多线路自动选路,通过电信线路和网通线路的选路优先级来实现客户的需求。1.请简述单臂多线路部署配置步骤?2.SSL VPN自动选路功能在直连公网的网关多线路和非直连公网的网关多线路模式下的配置是否有区别?如果有,请说出有哪些区别?3. 请说出线路故障检测功能的作用。4. 如果SSL VPN只启用HTTPS端口,是否可以使用SSL多线路自动选路功能?为什么?问题思考
