SANGFORIPSEC2011年度渠道初级认证培训02DLAN互联基础技术FG.ppt

SANGFOR DLAN 互联基础技术 培训内容培训目标 互连基础技术介绍 1.能够理解及解释SANGFOR DLAN的几 个专用术语。 2.掌握SANGFOR DLAN支持的部署模式 的，并且能够根据客户的具体拓扑环境 选择最优的部署模式。 3.掌握SANGFOR DLAN的连接建立过程 。 一、DLAN 常用术语 二、DLAN 互连基础 深信服公司简介 三、DLAN 部署模式 四、DLAN 练练手 SANGFOR DLAN 1 1.1.1、总部、分支、移动、总部、分支、移动 1.21.2、WebagentWebagent寻址寻址 1.31.3、直连、非直连、直连、非直连 1.41.4、虚拟网卡、虚拟、虚拟网卡、虚拟IPIP、虚拟、虚拟IPIP池池 我的IP地址是X.X.X.X 我的IP地址是X.X.X.X 请告诉我总部的IP地址 请告诉我总部的IP地址 总部的IP地址是X.X.X.X 总部的IP地址是X.X.X.X 在寻址过程中，所有信息均使用DES加密。 直连：也即我们设备本身有公网IP或者能够被从公网访问的到。有如下几种 情况可以被称为直连：设备wan口直接接光纤或者拨号，本身就有公网IP或者 设备放在企业内网，但是从前面的防火墙或者路由器做了TCP 4009的端口映 射给我们设备。 非直连：也即我们设备本身没有公网IP或者无法从公网去访问。常见的情况 是设备放在企业的内网，能够上网，但是前面防火墙或者路由器没有做端口 映射给我们设备，这样的设备称为非直连设备。 我们的设备之间要能正常互相连接VPN，则至少要保证一端为直连。 虚拟网卡虚拟网卡 a a、只在移动、只在移动PDLANPDLAN上生成上生成 b b、承载虚拟、承载虚拟IPIP地址地址 c c、操作系统添加本地路由、操作系统添加本地路由 虚拟虚拟IPIP、虚拟、虚拟IPIP池池 a a、由总部端设定虚拟、由总部端设定虚拟IPIP池范围池范围 b b、虚拟、虚拟IPIP分配到移动分配到移动PDLANPDLAN上上 一、DLAN 常用术语 二、DLAN 互连基础 深信服公司简介 三、DLAN 部署模式 四、DLAN 练练手 SANGFOR DLAN 2.12.1、 S SA ANGNGFOR VPNFOR VPN建立连接的条件建立连接的条件 2.22.2、 SANGFOR VPNSANGFOR VPN建立连接的过程建立连接的过程 2.1.1、至少有一端是总部，且有足够的授权。 硬件与硬件之间互连不需要授权。 2.1.2、至少有一端在公网上可访问“寻址”。 2.1.3、建立VPN两端的内网地址不能冲突。 2.1.4、建立VPN两端的版本要匹配。 最基本的三步曲 2.2.1、寻址：与谁建立连接(找到对方) 寻址（WebAgent原 理、WebAgent设置） 2.2.2、认证：身份验证（提交正确、充分的信息）账号密码 、Dkey、硬件鉴权、第三方认证。 2.2.3、策略：（下发）选路策略、权限策略、VPN路由策略、 安全策略（移动用户）、VPN专线（移动用户）、分配虚拟IP （移动用户） 一、DLAN 常用术语 二、DLAN 互连基础 深信服公司简介 三、DLAN 部署模式 四、DLAN 练练手 SANGFOR DLAN 3.1 网关模式部署 3.2 单臂模式部署 接内网 接外网 放大图 部署方法： 1、选择“网关模式”，配置内、外网IP信息（根据 具体情况设置） 2、设置“代理上网”（内网用户需要上外网时才） 3、填写webagent（外网为动态IP：例如ADSL） 4、设备虚拟IP地址池（移动用户） 5、建立用户接入帐号 设备部署 接内网 不接线！ 放大图 部署方法： 1、选择“单臂模式”，LAN口接线，配内网IP、网 关和正确的DNS，WAN口不接线 2、填写webagent（外网为拨号）或填写外网IP（外 网为固定IP，格式如：219.159.60.137:4009） 3、设置虚拟IP地址池（移动用户） 4、建立接入用户帐号 5、前置网关做4009端口映射（IPSEC用到 TCP/UDP4009端口）和VPN分支、虚拟IP池的路由 ，下一跳指给VPN LAN口地址。 我做端口映射 一、DLAN 常用术语 二、DLAN 互连基础 深信服公司简介 三、DLAN 部署模式 四、DLAN 练练手 SANGFOR DLAN 网络环境： 某企业客户有总部在深圳，分支在北京 深圳总部环境：出口有CISCO PIX 515防火 墙，10M光纤接入，内网有web服务器，内 网地址网段为：172.16.0.0/24 ,防火墙LAN 口地址为:172.16.0.254,WAN口地址为 :219.159.123.123 北京分支环境 ：接入方式2M电信，ADSL拔 号上网，内网网段:192.168.0.1/24，内网网 关地址：192.168.0.254 客户需求： 1.要求实现总部与分支实现互访 2.领导带电脑在外出差,能进入内网访问WEB 服务器 1.要求实施总部与分支实现互访? 解决方法：深圳总部与北京分支各 部署一台DLAN网关,建立IPSEC隧 道,保证总部与分支数据进行互访及 访问安全. 2.领导带电脑在外出差,能进入内网 访问WEB服务器? 解决方法：移动用户采用PDLAN客 户端接入总部,访问WEB服务器,解 决领导在外办公需求. 深圳DLAN总部 设置 单臂模式部署，设置上网 前置FW做端口映射，设 置分支、虚拟IP地址路由 设置Webagent（寻址） 建虚拟IP地址池 建用户（认证） 设策略（策略） 北京DLAN分支 设置 路由模式部署，设置上网 填一个连接管理 DLAN