SANGFORNGAFv4.72014年度渠道初级认证培训05VPN互联配置.ppt

培训内容 培训目标 NGAF DLAN互联配置 掌握NGAF设备建立DLAN互联的条件。 掌握通过NGAF设备与其他SANGFOR设备建立DLAN互联的配置。 NGAF DLAN多线路 了解NGAF设备实现DLAN多线路功能的前提条件。 掌握NGAF设备DLAN多线路功能的配置。 NGAF 标准IPSEC互联配置 掌握NGAF设备与第三方设备建立标准IPSEC VPN互联的配置。 DLAN 互联配置 DLAN 多线路配置 深信服公司简介 标准 IPSEC VPN 互联配置 练练手 SANGFOR NGAF NGAF DLAN 互联基本条件 1. 至少有一端作为总部，且有足够的授权（硬件与硬件之间互连不需要授权）。 2. 建立DLAN互联的两个设备路由可达，且至少有一个设备的VPN监听端口能被对端设备访问到。 3. 建立DLAN互联两端的内网地址不能冲突。 4. 建立DLAN互联两端的版本需匹配。 首先，我们回顾一下SANGFOR DLAN互联的基本条件： 学习本PPT内容之前，请提前学习《 SANGFOR IPSEC渠道初级培训教材》。 NGAF仅支持作为网关（路由）模式或者单臂模式的SANGFOR VPN对接。标准的第三方IPSEC互联，仅在网关模式部署下支持。网桥透明模式，虚拟线路模式，旁路模式都不支持VPN功能； NGAF DLAN 互联基本条件 必须有一个物理接口为路由口，才支持建立DLAN连接。 步骤请参考IPSEC PPT （标准IPSEC互联配置参照SANGFOR IPSEC 2013年度渠道初级认证培训的标准IPSEC VPN 互联配置ppt）。 NGAF 如何建立DLAN互联？ NGAF DLAN 互联注意事项 NGAF设备VPN模块下的【内网接口设置】有何作用？ 答：【内网接口设置】中只能添加非WAN属性的路由口，用于将这个接口上主IP（第一个IP）的网段通告对端的SANGFOR 设备，对端访问这个网段的数据就能被加密封装，通过VPN传输。 【内网接口设置】的作用与本地子网相同，但是，【内网接口设置】中添加接口只通告设备直连网段；通过本地子网，可以通告本端所有的内网网段。 NGAF DLAN 互联注意事项 NGAF设备VPN模块下的【外网接口设置】有何作用？ 答：如果需要开启VPN多线路功能和标准IPSEC对接的情况下，则必须设置【外网接口设置】。 通过【外网接口设置】添加外网接口，可探测外网接口的线路状态。 NGAF DLAN 多线路配置 NGAF DLAN 多线路配置案例 用户环境： 某用户公司在公网出口部署了一台NGAF设备，用于保护内网服务器和用户上网的安全。内网用户和服务器网段为-/24。 分公司公网出口部署了一台SSL设备，用于远程办公。 用户需求： 通过NGAF设备和SSL设备建立VPN互联，且能够实现VPN的流量平均通过总部两条线路传输。 NGAF DLAN 多线路配置案例 SSL设备上的配置思路： SSL设备设置连接管理。（配置省略） NGAF设备上的配置思路： 物理接口设置：将eth1、eth2、eth3设置成路由接口，且eth1和eth2设置WAN属性。 静态路由设置：目标地址为-/24，下一跳为54。 区域设置：设置内网和外网区域，内网区域添加eth3口，外网区域添加eth1和eth2（此处设置与VPN互联无关，可选配置）。 VPN设置： 设置【基本设置】、【用户管理】、【外网接口设置】、【多线路选路策略】和【本地子网列表】。 NGAF DLAN 多线路配置 1. 由于需要配置两个WAN接口，必须确保设备有两条或两条以上线路的授权。 NGAF DLAN 多线路配置 2. 物理接口设置： 设置正确的IP和网关 开启链路故障检测，配置省略。 开启链路故障检测，配置省略。 非WAN属性的接口，无需开启链路故障检测 NGAF DLAN 多线路配置 3. 静态路由设置： NGAF DLAN 多线路配置 4. VPN设置：设置【基本设置】和【用户管理】 NGAF DLAN 多线路配置 4. VPN设置：【外网接口设置】 外网接口只能选择WAN属性的接口 NGAF DLAN 多线路配置 4. VPN设置：【多线路选路策略】 NGAF DLAN 多线路配置 4. VPN设置：【本地子网列表】 如果NGAF设备eth3口直连网段也需要通过VPN访问，则需要把网段加入到本地子网列表。 NGAF 标准IPSEC VPN 互联 NGAF 标准IPSEC VPN互联条件 1. NGAF设备必须具有分支机构的授权 NGAF与第三方设备建立标准IPSEC VPN互联条件： 2. NGAF设备必须至少具有一个WAN属性的路由接口（非管理口Et