IPSEC2009年度渠道技术培训.ppt

案例三 9、分公司B添加隧道间路由，源地址为本端网段，目标地址为分公司A，目的路由用户为分公司B和总公司互连的用户 分公司B内网网段 分公司A内网网段 分公司B和总公司建立的用户 Thank You！ 二零零九年三月 深信服电子科技有限公司 * * * * * SINFOR TECHNOLOGIES CO.,LTD. Page* SINFOR TECHNOLOGIES CO.,LTD. Page* 2009年3月IPSEC渠道培训 SINFOR TECHNOLOGIES CO.,LTD. 培训目的 通过对一些实际案例的分析，掌握设备在真实网络环境下的部署、实施、配置，进一步加深对SINFOR IPSEC VPN 4.x版本功能的了解及配置的掌握。 培训大纲 案例一：VPN替代专线 1、客户需求网络环境分析 2、设备部署及配置步骤 案例二：VPN做专线的备份 1、客户需求网络环境分析 2、设备部署及配置步骤 案例三：VPN4.x隧道间路由应用 1、客户需求网络环境分析 2、设备部署及配置步骤 案例一 客户原有拓扑 分公司和总公司之间通过专线进行互联。 专线成本太贵，因此需要VPN解决支公司和分公司互连问题，并且支公司能通过分公司访问总公司内网服务器。 案例一 设备部署后拓扑 分公司采用路由模式部署，直接接互联网出口。 支公司采用路由模式部署，既连接VPN，同时禁止支公司员工访问互联网。 VPN数据流 如何配置才能让支公司访问总公司的服务器？ 案例一 具体配置步骤如下： 1、分公司和支公司设备配置好wan口ip或拨号信息、lan口ip （因均不允许上网，所以不需要添加防火墙代理上网规则） 2、分公司设置好webagent地址 3、分公司给支公司创建好VPN用户名和密码 4、支公司添加连接管理，填上分公司的webagent地址和分配给自己的用户名、密码 5、分公司将总公司内网网段（不包含lan所在网段）添加到分公司设备里的本地子网列表中 6、分公司如果也有多网段，也需要将其他网段添加到分公司设备的本地子网列表中 7、分公司在设备系统路由里添加一条路由，去往总公司网段的数据，下一跳交给分公司专线路由器 8、分公司专线路由器添加去往支公司网段路由，下一跳指向SINFOR VPN设备 9、总公司专线路由器添加去往各个支公司网段的路由条目，下一跳指向各自分公司路由器 案例一 1、分公司和支公司设备配置好wan口ip或拨号信息、lan口ip 案例一 案例一 2、分公司设置好webagent地址 设置分公司自己设备的webagent地址 分公司设备 案例一 3、分公司给支公司创建好VPN用户名和密码 给支公司设置账号和密码 分公司设备 案例一 4、支公司添加连接管理，填上分公司的webagent地址和用户名、密码 分公司的webagent地址 分公司设置好的用户名和密码 支公司设备 案例一 5、分公司将总公司内网网段添加到分公司设备里的本地子网列表中 分公司设备 添加总公司的全部内网网段 案例一 6、分公司在设备系统路由里添加一条路由，去往总公司网段的数据，下一跳交给分公司专线路由器 添加去往总公司内网网段的路由 分公司设备 案例二 客户原有拓扑 客户需求是VPN作为专线的备份，当专线出故障时能切换到VPN线路，专线恢复时走专线链路。 案例二 设备部署后拓扑 总部采用单臂模式部署。 各地分公司采用路由模式部署。 如何实现专线和VPN链路的自动切换？ VPN数据流 案例二 具体配置步骤如下： 1、总部设置成单臂模式，并配置好lan口ip及网关，分公司配置好wan口ip和lan口ip 2、设备上设置好防火墙的代理上网规则 3、总部设置好webagent地址 4、总部给分公司创建好VPN用户名和密码 5、分公司添加连接管理，填上总部的webagent地址和分配给自己的用户名、密码 6、总部将总部内网网段（不包括lan接口所在网段）添加到总部设备里的本地子网列表中 7、分公司如果也有多网段，也需要将其他网段添加到分公司设备的本地子网列表中 8、总部交换机、路由器添加去往各个分公司网段静态路由，指向总部SINFOR 设备，metric值设置为255 9、分公司专线路由器添加浮动静态路由，去往总部网段的指向分公司SINFOR 设备 案例二 1、总部设置成单臂模式，并配置好lan口ip及网关，分公司配置好wan口ip和lan口ip 4.13版本之前，单臂模式下，WAN口无需接线。 选择以太网 IP随便填，但不得跟内网冲突 网关留空不填 DNS必须正确填写 案例二 在LAN口配上一个内网IP地址。 案例二 单臂模式下，在【系统信息设置】--【基本设置】--【系统路由设置】里一定要写上一条0.0.0.0/0.0.0.0的缺省路由指