SANGFOR_DLAN互联基础配置.ppt

SANGFORDLAN互联基础配置,一、系统部署配置,说明：通过配置系统部署相关设置项，保证VPN设备加入客户网络中，网络的通畅性。VPN设备默认登录方式：P5100LAN口：53:1000S5100LAN口：53:1000DMZ口：53:1000其它型号LAN口：54:1000DMZ口：54:1000默认用户名/密码：Admin/Admin,1、网关模式,*此时将设备当一台路由器/防火墙对待（1）网络接口配置（2）系统路由配置（3）防火墙配置（根据实际情况可选配置）代理上网NAT设置端口映射过滤规则设置（4）本地子网配置,网络接口配置,设置内网口LAN、DMZ的IP/掩码,设置外网口信息：线路类型、IP/掩码、网关、DNS,线路类型选择为ADSL时，设置用户名、密码，并勾选“自动拨号”,*设备重启后，请使用新配置的IP登录网关控制台,系统路由配置,如果内网三层环境或需要路由跳转的情况需添加系统静态路由。,防火墙配置,如果需要设备代理内网用户上网（包括设置用户上网权限）、向外网发布内网服务器，以及用到防火墙过滤规则时，需设置防火墙相关选项。,代理上网设置,填写代理上网规则名称、内网接口以及需要代理的网段信息,*如需代理多个网段上网，则添加多条代理上网规则（需配合添加到非设备直连内网口所在网段的系统路由设置）。,端口映射设置,设置端口映射相关选项。,防火墙过滤规则设置,本地子网设置,当通过VPN需要访问与设备内网口非同网段时需添加本地子网。,2、单臂模式,*此时将VPN设备当内网一台服务器看待（1）网络接口配置（2）本地子网设置（同网关模式下配置）（3）前置网关设备为VPN设备的VPN监听端口设置端口映射（当设备作为总部时需设置）（4）前置网关设备或内网三层交换机/路由器添加到对端VPN网络/虚拟IP池（与VPN设备内网口非同网段时）的回包路由指向VPN设备LAN口IP,网络接口配置,单臂模式VPN数据交互只用到LAN口，所以只需配置LAN口信息即可,*设备重启后，如需从设备LAN口登录网关控制台请使用新配置的LAN口IP,二、DLAN基础配置,说明：DLAN分为总部、分支和移动三类角色。（1）DLAN总部配置：需要配置webagent、用户管理、虚拟IP池（移动用户）。（2）DLAN分支配置：只需配置连接管理。（3）DLAN移动配置：基本设置与主连接参数设置。,DLAN总部的配置,当外网是固定IP时，webagent填写格式为：IP:4009，备份webagent保留为空；当外网是ADSL拨号时，webagent可向深信服客服中心申请,设置用户名/密码,类型可选择移动、分支,当用户类型为移动时，需设置虚拟IP可从虚拟IP池中指定一个IP，若设置为，则自动从虚拟IP池中分配,DLAN分支端的配置,添加总部名称（自定义）、总部提供的webagent及用户民/密码信息,DLAN移动端的设置,移动用户首先安装DLAN移动客户端,三、DLAN基础综合实验,1、实验场景及需求,1、实验场景及需求,（1）客户为一市局级政府行业客户，市局网络办公网与政务专网是物理隔离的，即上互联网均通过办公网，访问市局服务器则需要接入到政务专网。分局无法通过现有网络访问到市局服务器。（2）客户现在希望通过深信服IPSecVPN（总部M5100，分支S5100）实现分局用户能够访问市局的服务器，且市局不可私自拉外网线路。（3）网段信息均表现在图中。要求总部部署M5100且不能替换原有防火墙，市局行政专网只有这个IP可用，且该IP可正常访问市局服务器；分局采用S5100替换原有简单的路由器并代理内网用户正常上网。,2、配置思路分析,（1）分局较好部署，直接调换原有路由器代理分局用户上网并与市局建立IPSecVPN隧道。（2）市局部署较复杂，我们根据需求将其逐个分解。保证VPN设备本身既能提供分局设备接入，又能与市局服务器通信，故将设备以_模式部署在_的位置。根据上一步判断，配置设备的网络接口信息，要保证分支设备能接入总部设备，需在总部的_设备上做_；其次，要保证设备以及分支能访问到总部服务器，需要在总部VPN设备上添加_和_。经过上面两步配置，分支的数据可以到达总部的服务器，但是总部的服务器能正常相应分支的数据请求，还需在总部的_设备上添加_。以上系统配置完成后，按照DLAN基础配置方法分别设置总部、分支相关选项。,3、操作演练,根据配置思路的分析以及前面提到的DLAN互联所需配置项，完成本实验实际所需的操作。,4、配置参考-部署拓扑图,（1）市局VPN网关设备系统配置,（2）市局网络调整改动,以下两个改动需要客户协助：原有办公网防火墙将52的TCP/UDP4009映射至互联网：8；原有政务网上三层交换机添加静态路由:,（3）市