IPSEC2009年度渠道技术培训.pptVIP

2009年3月IPSEC渠道培训 SINFORTECHNOLOGIESCO LTD 培训目的 通过对一些实际案例的分析 掌握设备在真实网络环境下的部署 实施 配置 进一步加深对SINFORIPSECVPN4 x版本功能的了解及配置的掌握 培训大纲 案例一 VPN替代专线1 客户需求 网络环境分析2 设备部署及配置步骤案例二 VPN做专线的备份1 客户需求 网络环境分析2 设备部署及配置步骤 案例三 VPN4 x隧道间路由应用1 客户需求 网络环境分析2 设备部署及配置步骤 案例一 客户原有拓扑 分公司和总公司之间通过专线进行互联 专线成本太贵 因此需要VPN解决支公司和分公司互连问题 并且支公司能通过分公司访问总公司内网服务器 案例一 设备部署后拓扑 分公司采用路由模式部署 直接接互联网出口 支公司采用路由模式部署 既连接VPN 同时禁止支公司员工访问互联网 VPN数据流 如何配置才能让支公司访问总公司的服务器 案例一 具体配置步骤如下 1 分公司和支公司设备配置好wan口ip或拨号信息 lan口ip 因均不允许上网 所以不需要添加防火墙代理上网规则 2 分公司设置好webagent地址3 分公司给支公司创建好VPN用户名和密码4 支公司添加连接管理 填上分公司的webagent地址和分配给自己的用户名 密码5 分公司将总公司内网网段 不包含lan所在网段 添加到分公司设备里的本地子网列表中6 分公司如果也有多网段 也需要将其他网段添加到分公司设备的本地子网列表中7 分公司在设备系统路由里添加一条路由 去往总公司网段的数据 下一跳交给分公司专线路由器8 分公司专线路由器添加去往支公司网段路由 下一跳指向SINFORVPN设备9 总公司专线路由器添加去往各个支公司网段的路由条目 下一跳指向各自分公司路由器 案例一 1 分公司和支公司设备配置好wan口ip或拨号信息 lan口ip 案例一 案例一 2 分公司设置好webagent地址 设置分公司自己设备的webagent地址 分公司设备 案例一 3 分公司给支公司创建好VPN用户名和密码 给支公司设置账号和密码 分公司设备 案例一 4 支公司添加连接管理 填上分公司的webagent地址和用户名 密码 分公司的webagent地址 分公司设置好的用户名和密码 支公司设备 案例一 5 分公司将总公司内网网段添加到分公司设备里的本地子网列表中 分公司设备 添加总公司的全部内网网段 案例一 6 分公司在设备系统路由里添加一条路由 去往总公司网段的数据 下一跳交给分公司专线路由器 添加去往总公司内网网段的路由 分公司设备 案例二 客户原有拓扑 客户需求是VPN作为专线的备份 当专线出故障时能切换到VPN线路 专线恢复时走专线链路 案例二 设备部署后拓扑 总部采用单臂模式部署 各地分公司采用路由模式部署 如何实现专线和VPN链路的自动切换 VPN数据流 案例二 具体配置步骤如下 1 总部设置成单臂模式 并配置好lan口ip及网关 分公司配置好wan口ip和lan口ip2 设备上设置好防火墙的代理上网规则3 总部设置好webagent地址4 总部给分公司创建好VPN用户名和密码5 分公司添加连接管理 填上总部的webagent地址和分配给自己的用户名 密码6 总部将总部内网网段 不包括lan接口所在网段 添加到总部设备里的本地子网列表中7 分公司如果也有多网段 也需要将其他网段添加到分公司设备的本地子网列表中8 总部交换机 路由器添加去往各个分公司网段静态路由 指向总部SINFOR设备 metric值设置为2559 分公司专线路由器添加浮动静态路由 去往总部网段的指向分公司SINFOR设备 案例二 1 总部设置成单臂模式 并配置好lan口ip及网关 分公司配置好wan口ip和lan口ip 4 13版本之前 单臂模式下 WAN口无需接线 选择以太网 IP随便填 但不得跟内网冲突 网关留空不填 DNS必须正确填写 案例二 在LAN口配上一个内网IP地址 案例二 单臂模式下 在 系统信息设置 基本设置 系统路由设置 里一定要写上一条0 0 0 0 0 0 0 0的缺省路由指向前面的路由器 这样才能保证我们设备本身能上公网 案例二 4 13版本之后 WAN口依旧不接线 但简化了配置步骤 页面如下 可以直接选择单臂模式 案例二 2 设备上设置好防火墙的代理上网规则 防火墙要开放LAN WAN规则 选择需要代理上网的接口 填上内网所有网段 案例二 3 总部设置好webagent地址4 总部给分公司创建好VPN用户名和密码5 分公司添加连接管理 填上总部的webagent地址和分配给自己的用户名 密码6 总部将总部内网网段 不包括lan接口所在网段 添加到总部设备里的本地子网列表中7 分公司如果也有多网段 也需要将其他网段添加到分公司设备的本地子网列表中可参见PPT9 12页 配置过程完全一样 8 总部交换机 路由器添加去往各个分公司网段静态路由 指向总部SINFOR设备 metric值设置为255主要是让OSPF的路由优先浮动静态路由 当线路断掉OSPF路由不存在 则走静态路由 避免OSPF路由消失导致的路由不可达问题 9 分公司专线路由器添加浮动静态路由 去往总部网段的指向分公司SINFOR设备添加了浮动静态路由才能实现线路切换 案例三 客户原有拓扑 需求 各个分公司和总部采用VPN互连 同时各个分公司之间要能互访 案例三 设备部署后拓扑 如何配置让各个分公司之间能互访 VPN数据流 案例三 解决方案一 各个分公司之间也建立直接的VPN连接 形成全网状的VPN拓扑 案例三 具体配置步骤如下 1 总公司设备配置好lan口ip 分公司设备配置好wan口ip或拨号信息 lan口ip2 设备上设置好防火墙的代理上网规则3 总公司设置好webagent地址4 总公司给分公司创建好VPN用户名和密码5 分公司添加连接管理 填上总公司的webagent地址和总公司分配给自己的用户名 密码6 总公司将总公司内网网段 不包含lan所在网段 添加到总公司设备里的本地子网列表中7 分公司如果也有多网段 也需要将其他网段添加到分公司设备的本地子网列表中8 分公司A也设置好自己的另外一个webagent地址9 分公司A给分公司B C分别创建好VPN用户名和密码10 分公司B C添加连接管理 填上分公司A的webagent地址和分公司A分配给自己的用户名 密码11 分公司B也设置好自己的另外一个webagent地址12 分公司B给分公司C创建好VPN用户名和密码13 分公司C添加连接管理 填上分公司B的webagent地址和分公司B分配给自己的用户名 密码 案例三 解决方案二 各个分公司之间不建立直接的VPN连接 通过4 x版本VPN隧道间路由功能实现互访 案例三 具体配置步骤如下 1 总公司设备配置好lan口ip 分公司设备配置好wan口ip或拨号信息 lan口ip2 设备上设置好防火墙的代理上网规则3 总公司设置好webagent地址4 总公司给分公司创建好VPN用户名和密码5 分公司添加连接管理 填上总公司的webagent地址和总公司分配给自己的用户名 密码6 总公司将总公司内网网段 不包含lan所在网段 添加到总公司设备里的本地子网列表中7 分公司如果也有多网段 也需要将其他网段添加到分公司设备的本地子网列表中8 分公司A添加隧道间路由 源地址为本端网段 目标地址为分公司B 目的路由用户为分公司A和总公司互连的用户9 分公司B添加隧道间路由 源地址为本端网段 目标地址为分公司A 目的路由用户为分公司B和总公司互连的用户 案例三 8 分公司A添加隧道间路由 源地址为本端网段 目标地址为分公司B 目的