SANGFOR_SSL_v7.0_2016年度渠道高级认证培训01_多线路部署和配置.ppt

* SANGFOR SSL VPN多线路部署培训 培训内容 培训目标 SSL VPN 部署模式介绍 1. 掌握SSL VPN多线路部署模式的特点 网关模式 1. 掌握网关多线路模式适用环境 2. 掌握网关多线路的配置步骤 单臂模式 1. 掌握单臂多线路模式适用环境 2. 掌握单臂多线路的配置步骤 SANGFOR SSL 部署模式回顾 深信服公司简介 SANGFOR SSL 部署模式配置 SANGFOR SSL 动动手 SANGFOR SSL SANGFOR SSL 部署案例 SANGFOR SSL部署模式回顾 单线路 多线路 单臂 模式 网关模式 单线路 多线路 SANGFOR SSL部署配置（网关多线路模式） SANGFOR SSL部署配置（网关多线路模式） 1、线路确定：跟客户确认有几条公网线路接入，并申请多线路授权 2、网关模式配置：确定设备外网口是固定IP或者是ADSL拨号方式，取得相应运营商给的IP地址信息或者是拨号的帐号密码，给每条外网线路做配置；确定内网口（LAN口）的IP地址信息； 3、上网配置：代理上网（NAT），确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。 4、多线路配置：可根据客户需求设置IPSEC VPN多线路，SSL VPN多线路传输，上网数据的多线路选路策略。 网关多线路配置思路： SSL部署配置（网关多线路模式） 网关多线路模式配置截图 使用网关多线路，必须先开通多线路授权 点击线路，分别配置线路一和线路二的IP地址和网关 SSL部署配置（网关多线路模式） 代理上网配置截图 SSL部署配置（网关多线路模式） 多线路配置截图（后续案例讲述配置） SANGFOR SSL部署配置（单臂多线路模式） 1、单臂模式配置：给设备LAN口分配一个可以上网的IP地址、填写正确的网关IP、DNS； 2、前置网关分别做两条线路的TCP 443和80端口映射（如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口） 3、配置SSL VPN多线路 注意事项：80端口也是必须映射的，因为多线路选路功能是依赖80端口来选路的，如果80端口不映射，将无法实现多线路选路功能 单臂多线路部署配置思路： SSL部署配置（单臂多线路模式） 单臂多线路模式配置截图（与单臂单线路设置相同） SSL部署配置（单臂多线路模式） 单臂多线路模式多线路配置截图 填入公网出口线路的真实公网IP地址。 案例一：网关多线路部署案例 某客户拓扑如图，客户需要实现外网用户通过SSL VPN接入访问内部的OA服务器群。客户有电信与网通两条链路，并且已经申请了多个IP地址。SSL VPN设备网关部署，分配一个电信与一个网通IP地址给SSL VPN设备使用。内网用户通过防火墙上网，外网用户需要实现输入域名实现自动选择电信或者网通最快链路接入SSL VPN。 部署需求： 网关多线路部署配置思路 1. 基础网络配置：网关模式，配置WAN1、WAN2口、LAN口IP地址信息，配置系统路由。（由于LAN口与服务器不在一个网段，而设备的默认路由指向WAN方向出口，所以需要添加到达内网的静态路由，下一跳指向核心交换机） 。 2. 域名设置：将客户申请的二级域名XXX.在ISP处用A记录指向和 。 3. 多线路设置：[系统配置]-[网络配置]-[多线路]，勾选[启用IPSEC多线路传输]，并且新建好两条线路。勾选[启用SSL VPN多线路]，选择[SSL VPN用户直接接入本设备]，并且新增两条线路。 网关多线路部署配置步骤 1. 设置网关模式，LAN口和WAN1，WAN2口IP地址。 网关多线路部署配置步骤 2. 设置系统路由 网关多线路部署配置步骤 3. 设置SSL VPN多线路选路： a） 启用IPSEC VPN多线路，添加两条公网线路的IP地址（仅当SSL设备网关多线路直连公网的环境下需要设置） 必须配置正确的DNS才能够进行链路检测 线路故障检测用于实时检测链路的好坏，实现线路故障时自动切换。 网关多线路部署配置步骤 3. 设置SSL VPN多线路选路： b） 启用SSL VPN多线路，选择“SSL VPN用户直接接入本设备” 点击线路名称，修改优先级 网关多线路部署案例 a) 一般情况下设置同等优先级即可。两条线路选择相同的优先级会直接对比两条线路下载图片的耗时，选择耗时小的线路接入SSL VPN。 b) 如果线路1设置为高，线路2设置为中。那么多线路选路的时候会自动从两条线路下载图片。优先级高的线路3秒内完成下载，不管优先级中的线路下载比优先级高的线路快还是慢，都选择优先级高的线路。3秒内未完成下载，则对比两条线路，哪条更快则选择哪条