SANGFOR_SSLVPN_单臂上架设置和注意事项.pdfVIP

SSL SSL SSSSLL 单臂上架设置和注意事项 一、内网只有一个网段 案例描述：内网一个网段192.200.200.0/24，设备作单臂模式部署，前置防火墙，防火 墙通过一条外网接入到internet。 内网拓扑示例： 内网拓扑示例： 内内网网拓拓扑扑示示例例：： 配置步骤： 配置步骤： 配配置置步步骤骤：： 1：登录控制台，“在系统配置》网络配置》部署模式” 下，配置单臂部署以及接口地 址和默认网关等，默认网关指向前置防火墙内网接口IP。 80 443 SSL 80 443 SSL 2：需要在前置防火墙上映射相应的端口（默认是 8800和444433）给SSSSLL设备 注意事项： 注意事项： 注注意意事事项项：： 1：要保证SSL设备能正常上网，因此SSL设备的默认网关一定要配置好，前置防火墙也要 做好代理上网的NAT设置。 2：前置防火墙做端口映射时请注意做到端口一一对应，即前置防火墙外网地址的80 端口和 443端口要分别映射到SSL的80 端口和443 端口，否则可能导致VPN 使用不正常。 3：如果关联了IP资源并且做的是路由模式，前置防火墙需要做一个静态路由，把虚拟IP 池的路由指向SSL设备的LAN 口IP。 4：SSL虚拟IP池的IP不能和内网已经存在的IP冲突，也不能和SSL的LAN 口同网段。 二、内网有多网段： 案例描叙： 内网有三层交换机，前置防火墙和交换机相连的网段是192.168.1.0/24，SSL单臂部署，设 备LAN 口和三层交换机相连的网段为192.168.2.0/24，PC或者服务器和三层交换机相连的 网段为192.168.3.0/24. 内网拓扑示例： 内网拓扑示例： 内内网网拓拓扑扑示示例例：： 配置步骤： 配置步骤： 配配置置步步骤骤：： 1：登录控制台，在“系统配置》网络配置》部署模式” 下，配置单臂部署以及接口地 址，默认网关指向三层交换机的接口IP。 2：在前置防火墙上映射相应的端口（默认是80 和443）给VPN 设备， 并且做一条到 SSL设备LAN 口IP的静态路由，指向和防火墙直连的三层交换机接口。 注意事项： 注意事项： 注注意意事事项项：： 1：要保证SSL设备能正常上网，因此SSL设备的默认网关一定要配置好，前置防火墙也要 做好代理上网的NAT设置。 2：前置防火墙做端口映射时请注意做到端口一一对应，即前置防火墙外网地址的80 端口和 443端口要分别映射到SSL的80 端口和443 端口，否则可能导致VPN 使用不正常。 3：如果关联了IP资源并且做的是路由模式，三层交换机需要做一个静态路由，把虚拟IP 池的路由指向SSL设备的LAN 口IP。 4：如果关联了IP或者web全网资源，则需要在：“系统配置》网络配置》本地子网”中， 把不是和SSL设备直连的网段填入多子网列表。 5：SSL虚拟IP池的IP不能和内网已经存在的IP冲突，也不能和SSL的LAN 口同网段。