SANGFOR_IPSEC_V4.3_2012年度培训03_DLAN互联基础技术_20120602精编.ppt

1.WEBAGENT有哪几种填写方式？什么情况下必须使用域名形式的WEBAGENT地址？ 2.隧道内NAT功能的主要作用是什么？ 3.两个SANGFOR 硬件设备建立DLAN连接的必要条件有哪些？ 问题思考 * * SANGFOR DLAN 互联基础技术 培训内容 培训目标 SANGFOR DLAN 互连基础技术介绍 1. 理解SANGFOR VPN的几个专用术语。 2.掌握SANGFOR VPN主要专利技术的使用场景及配置方法。 3.掌握SANGFOR VPN建立连接的条件与过程。 SANGFOR DLAN术语解释 1.1.DLAN、总部、分支、移动 1.2.Webagent 1.3.直连、非直连 1.4.虚拟网卡、虚拟IP、虚拟IP池 DLAN： 即SANGFOR IPSEC VPN，培训PPT中，所说的DLAN均指SANGFOR IPSEC VPN。 总部： 提供VPN接入服务，为其他VPN用户提供接入账户校验的设备。DLAN总部设备需要配置WEBAGENT、VPN接入账号等。一般将服务器端所在的网络做为总部。 分支: 即接入总部端的设备。一般将客户端所在的网络做为分支。 移动： 即SANGFOR VPN的软件客户端，又称为PDLAN。一般将单个客户端通过软件接入总部时称为移动用户。 一个VPN设备既可以当总部，也可以当分支，也可以同时充当总部和分支的角色。 WEBAGENT: 用于SANGFOR DLAN互联时，分支与移动用户寻找 总部的地址，从而建立 VPN连接。 WEBAGENT有如下几种的填写方式： 1. IP:端口，如23:4009 适用于总部VPN设备有固定公网IP地址的环境 2. IP1#IP2:端口，如23#21:4009 适用于总部VPN设备有多条固定IP的线路，且需要做VPN的线路备份的环境 3. 网址的形式，如：/webagent/123.php 适用于总部VPN设备没有固定公网IP的环境，如ADSL线路。 我的IP地址是X.X.X.X 我的IP地址是X.X.X.X 请告诉我总部的IP地址 请告诉我总部的IP地址 总部的IP地址是X.X.X.X 总部的IP地址是X.X.X.X WEBAGENT寻址过程：（在寻址过程中，所有信息均使用DES加密。） 直连：即设备的VPN连接端口能被 公网直接访问。 有如下几种情况可以被称为直连： A:设备WAN口直接接光纤或者拨号，本身就有公网IP B:设备放在企业内网，但是在前面的网关设备上将VPN连接端口映射给了SANGFOR VPN设备。 非直连：即设备的VPN连接端口不能被 公网直接访问。 。 常见的情况是设备放在企业的内网，能够上网，但是前面的网关设备没有做端口映射给SANGFOR VPN设备。 SANGFOR设备之间要能正常互连VPN，则至少要保证一端为直连。 前置路由器未做端口映射，VPN设备为“非直连” VPN设备可以通过公网直接访问，为“直连” 虚拟网卡 a、承载虚拟IP地址 b、用于VPN隧道内的数据进行通信 虚拟IP、虚拟IP池 a、为虚拟网卡配置的地址 b、VPN设备的虚拟网卡地址为自由获取，移动端虚拟网卡的地址由总部设备统一指定。 SANGFOR DLAN专利技术 1.1.Webagent技术 1.2. 隧道间路由技术 1.3. 隧道内NAT技术 1.4. 跨运营商访问优化 某用户总部和分支均通过ADSL拔号上网，用户要求分支和总部建立SNAGFOR VPN连接以实现两端内网互访。 问题分析： 由于两端都是ADSL，IP地址随时会变，分支与总部连VPN时，无法找到对端正确的IP地址。 解决办法： 通过WEBAGENT动态寻址实现 配置说明： 一、联系深信服申请WEBAGENT地址 二、在设备配置界面，选择【VPN信息设置】下的【基本配置】，打开WEBAGENT配置页面，将WEBAGENT地址填入到设备中 点击可测试WEBAGENT地址是否正确 测试成功表示地址可用 如图，总部分别与两个分支建立VPN连接，分支1与分支2均能访问总部内网，现用户要求分支1与分支2之间能相互访问。 问题分析： 两个分支分别与总部建立 VPN隧道，但分支1与分支2之间并没有任何线路相连，也没有VPN隧道。 解决办法： 通过在分支设备中配置隧道间路由实现。 VPN VPN 配置说明： 1.配置总部与分支建立 VPN互联，请参考《 DLAN互联基础配置》，此处不再赘述 2.配置分支设备的隧道间路由 分别在分支1和分支2配置两条路由 如图，总部分别与两个分支建立VPN连接，分支1与分支2内网均为/24网段，用户要求不能改变任何一端的IP地址，实现分支与总部互访。 问题分析： 两个分支内网网段相同，当总部收