深信服_DLAN技术.ppt

* * * * * * * * * * * * 解说： A、设置方法有所改变，将三种协议整合在一起，即一条规则可包含三种协议 B、原来的VPN内网权限，只能实现总部控制接入的分支或移动访问总部内网的何种资源，分支无法控制总部访问自己内网的那些资源，现在通过 『连接管理』中的权限设置，可以实现分支对总部访问本端的权限进行控制（双向）； 设置方法：『连接管理』- 『内网权限』，设置方法同『用户管理』相同。 * 解说： A、设置方法有所改变，将三种协议整合在一起，即一条规则可包含三种协议 B、原来的VPN内网权限，只能实现总部控制接入的分支或移动访问总部内网的何种资源，分支无法控制总部访问自己内网的那些资源，现在通过 『连接管理』中的权限设置，可以实现分支对总部访问本端的权限进行控制（双向）； 设置方法：『连接管理』- 『内网权限』，设置方法同『用户管理』相同。 * 解说： A、设置方法有所改变，将三种协议整合在一起，即一条规则可包含三种协议 B、原来的VPN内网权限，只能实现总部控制接入的分支或移动访问总部内网的何种资源，分支无法控制总部访问自己内网的那些资源，现在通过 『连接管理』中的权限设置，可以实现分支对总部访问本端的权限进行控制（双向）； 设置方法：『连接管理』- 『内网权限』，设置方法同『用户管理』相同。 * 解说： A、设置方法有所改变，将三种协议整合在一起，即一条规则可包含三种协议 B、原来的VPN内网权限，只能实现总部控制接入的分支或移动访问总部内网的何种资源，分支无法控制总部访问自己内网的那些资源，现在通过 『连接管理』中的权限设置，可以实现分支对总部访问本端的权限进行控制（双向）； 设置方法：『连接管理』- 『内网权限』，设置方法同『用户管理』相同。 * 注意： A、对于拒绝“入”--对端访问本端某服务的策略设置， 使用VPN内网权限实现时，权限策略会在隧道建立阶段通告给对方，数据会在对端被丢弃（DROP）； 使用防火墙实现时，数据会经由VPN隧道传到本地，再被本地的filter策略丢弃（DROP）。 B、启用通过目的路由用户(VPN对端)上网时，代理上网的一端，一定不能启用IP/MAC绑定并设置了不在本表中拒绝（要启用IP/MAC绑定就必须设置为不在本表中允许，因为这种情况类似代理经过了一个路由器的网段上网）。 * 原来的多线路选路策略可细致到用户（即不同用户使用不同的选路策略--msu2.52的功能），但无法针对具体的应用进行选 路，对于连接双发都有多条线路时也无法实现很好的控制， * VPN里的多线路： 平均分配：就是按ip包来分配，假设2条线情况，第一个ip包走线路1，第二个ip包走线路2，第三个又走线路1，第四个又走线路2这样子分配。（这样可能有个问题，比如说有个数据很大，需要分片，分成4个包。假设线路1比较差，线路2很好。这样的话，第一个包走线路1，第二个包走线路2，第三个包走线路1，第四个包走线路2.如果24包已经到了，而13包还没到，这样的话可能导致重传，用户反而感觉更慢。） VPN里的多线路： 带宽叠加：把连接平均分配到2条线路上去，同一个连接始终只走同一条线路。第一个连接走线路1，第二个连接走线路2. 举例：假设一个应用只有一个连接，现在有一个用户连进来后，访问web是走线路1，然后他又访问ftp，那么就走线路2.但是web的流量会一直走线路1，ftp的流量会一直走线路2.而从用户的角度来看，这个用户即利用了线路1，又利用了线路2.所以看起来就是带宽叠加。 这里带宽叠加可以存在的隧道有A1,A2，共2条隧道。 平均分配：就是按ip包来分配，假设2条线情况，第一个ip包走线路1，第二个ip包走线路2，第三个又走线路1，第四个又走线路2这样子分配。（这样可能有个问题，比如说有个数据很大，需要分片，分成4个包。假设线路1比较差，线路2很好。这样的话，第一个包走线路1，第二个包走线路2，第三个包走线路1，第四个包走线路2.如果24包已经到了，而13包还没到，这样的话可能导致重传，用户反而感觉更慢。） 平均分配：就是按ip包来分配，假设2条线情况，第一个ip包走线路1，第二个ip包走线路2，第三个又走线路1，第四个又走线路2这样子分配。（这样可能有个问题，比如说有个数据很大，需要分片，分成4个包。假设线路1比较差，线路2很好。这样的话，第一个包走线路1，第二个包走线路2，第三个包走线路1，第四个包走线路2.如果24包已经到了，而13包还没到，这样的话可能导致重传，用户反而感觉更慢。） 线路主备：不管是2.5x还是4.x，都是同时和对端的多条线建立VPN连接，但是数据只从指定的主线路上传，当主线路断掉，则会走备份线路传，当主线路恢复，又切回主线路传。虽然备用的隧道没有数