INTERWING VPN产品培训.ppt

INTERWINGVPN产品培训,INTERWINGVPN系统构架INTERWINGVPN产品特点INTERWINGVPN的配置INTERWINGVPN典型配置疑难解答,提纲,INTERWINGVPN解决方案,企业内部网络,企业总部,驻外机构,出差人员,合作伙伴,INTERWINGiGate,数据库系统(ERP/Notes等),办公文件系统,INTERWINGiGate,INTERWINGiGate,INTERWINGiWalker,VPN网关,INTERNET,INTERWINGiKeeper,INTERWINGiGate,INTERWINGiWalker,INTERWINGVPN系统构架,网关VPN通道,移动VPN通道,INTERWINGiGate,公司总部局域网,公司分支局域网,公司分支局域网,移动出差人员,WEB服务器,INTERWINGiGate,INTERWINGiGateVPNServer遵循协议:IKE(InternetkeyExchange),IPSEC(IPSecurity)功能支持:主要是完成用户认证、隧道管理、密钥管理等功能，一般安装在企业总部的PC或服务器上，INTERWINGiGate与其他INTERWINGiGate之间以及INTERWINGiWalker之间都可以建立安全隧道。,INTERWINGiWalkerVPNClient遵循协议:IKE(InternetkeyExchange),IPSEC(IPSecurity)功能支持:安装在移动用户的计算机上（如出差人员的便携机、在家办公的计算机等），完成隧道接入、信息加解密功能。INTERWINGiWalker可以同时与多个INTERWINGiGate建立安全隧道。,INTERWINGiKeeper寻址网守运行于WindowsNT/Linux/Unix系统的WEB服务器上，实现动态IP地址更新和寻找，VPN隧道和数据交换不经过iKeeper，在有固定公网IP地址的情况下,可以不使用iKeeper,系统构成,INTERWINGVPN系统构架INTERWINGVPN产品特点INTERWINGVPN的配置INTERWINGVPN典型配置疑难解答,提纲,产品特点,容量稳定性安全性速度适用性灵活性方便性,您的需求是我们发展的动力,技术特点容量、稳定、安全,每个VPN网络可容纳1024个VPN节点每个网关可支持1024台主机每个节点最高支持80MInternet带宽,电信级的设计容量,稳定的系统构架,处于操作系统内核，高效，安全软硬件分离技术多种冗余备份技术,完善的安全策略,协议安全性（IPSEC、IKE）接入安全性（多种认证方式）传输安全性（动态密钥、多种加密算法）,技术特点速度、适应性、灵活性,LZS/Deflate流压缩算法独创的小包穿透技术线路复合技术,高效的数据压缩,复杂的环境应用,各种接入方式动态寻址NAT穿透多子网支持,灵活的组网性能,灵活组网（星型、网状、混合）虚拟IP技术网上邻居路由转发功能,INTERWINGVPN系统构架INTERWINGVPN产品特点INTERWINGVPN的配置INTERWINGVPN典型配置疑难解答,提纲,操作系统要求：支持Windows2000（ServicePack2以上）、WindowsXP及Windows2003操作系统，并将对MicrosoftWindows后续版本进行同步的支持。INTERWING支持各种语言版本的操作系统。,硬件平台要求：IntelPentiumIII以上CPU、128M以上内存、100M网卡或同级别配置计算机。,网络环境要求：各种上网方式。至少有一个网络需要具备Internet有效IP。需要互联的不同网络站点（如总部与分公司），IP地址必须在不同网段。不支持NAT方式，不支持Proxy方式。,系统环境要求,操作系统：Windows2000/XP/2003（Windows2000要求SP2以上）。网络应用：关闭所有的网络应用软件，包括Sygate、Wingate、Winroute等代理上网软件及防火墙软件。网络连接：断开ADSL或Modem拨号，其他网络连接不用断开。,系统安装要点,INTERWINGVPN作为操作系统网络层软件，在安装过程中可能会于其他网络应用软件冲突，建议在安装过程关闭所有的网络应用软件（包括代理上网和防火墙软件），并断开ADSL或Modem拨号连接。,INTERWINGVPN如果与其他网络应用软件发生冲突，请重新安装网络应用软件，通常可以解决冲突问题。,iGate配置向导本机配置,运行INTERWINGiGate，会提示输入用户名和密码。默认管理员是admin，密码admin。第一次运行INTERWINGiGate，会进入【本机配置】向导协助您进行系统配置。配置【本机名称】：在本安全网络中对于本机的唯一标识，在一个安全网络中不允许有重复的名称标识，默认是当前主机名。配置【寻址网守iKeeper和虚拟安全域】。,【虚拟安全域】是在使用寻址网守iKeeper时，同一个安全网络使用相同的虚拟安全域，默认应填写东显科技提供的虚拟安全域名称。【主用网守iKeeper名称】是指主用网守所在的网站域名，如果不使用iKeeper寻址，本栏可以为空，默认是东显科技提供的网守（）。【备用网守iKeeper名称】是指备用网守所在的网站域名，本栏可以为空。,iGate配置向导功能区介绍,本机配置显示区,网络配置显示区,系统日志显示区,工具栏,菜单操作区,安全连接控制区,系统运行状态区,安全连接状态显示区,iGate配置向导添加iGate或iWalker,对方名称配置：所要添加的iGate或iWalker的标识名称，即对端主机在本机配置中的主机名。选择【寻址方式】：可以根据目前的网络情况来选择合适的寻址方式。为该隧道配置【预共享密钥】。,iGate高级配置本机配置（1）,界面设置：【是否使用简单模式添加主机】：是向导模式还是简单模式来添加主机。默认是通过向导模式进行添加主机。本地设置：【本机iGate名称】【虚拟安全域】【主用网守iKeeper名称】【备用网守iKeeper名称】【测试】注册信息：【序列号】：本机的安装序列号。【测试序列号】:验证是否合法，并生成注册信息。【注册信息】：由计算机硬件或软件狗生成的唯一标识码。【网关用户数】：本网关当前可以支持同时接入网关用户的数量。【移动用户数】：本网关当前可以支持同时接入移动用户的数量。,本机配置主要是进行本机的一些基本信息的配置，包括本地配置，网络配置，虚拟IP配置等。,iGate高级配置本机配置（2）,【本地子网访问控制】：选择该安全网关保护的子网，默认是启用该网关的所有子网。如果想禁用某子网的访问控制，选中子网，单击【禁用】按钮。同样，如果要启用某子网的访问控制，单击【启用】按钮。【启用Internet路由】功能：如果该安全网关同时作为受保护子网的Internet网关，请选中该复选框。【启用网络邻居功能】：如果希望使用互联的网络使用网络邻居功能，请选中该复选框，这样整个安全网络域中可以使用按名访问及网络邻居访问。建议如果Internet出口带宽较小请禁用该功能，该功能将增大较多的网络流量。【使用缺省设置】：单击该按钮，将使用缺省配置，便于恢复默认值。,配置该安全网关iGate的网络，包括本地子网访问控制，网络应用控制。,iGate高级配置本机配置（3）,虚拟IP设置是为了在移动用户iWalker接入时分配给移动用户的子网虚拟IP，其目的是方便实现移动用户无缝接入，而不用对安全网关所在网络进行网络改动，同时也可以更好的支持应用。,iGate高级配置对端配置,简单模式下，进行远端安全网关iGate或是移动iWalker的配置，可以进行添加、删除、编辑操作。,【主机名】：所要添加的iGate网关或者iWalker移动用户的标识名称，即对端主机在本机配置中的主机名。【类型】：所要添加的主机的类型是iGate网关还是iWalker移动用户。【设置密码】：和该主机之间建立隧道的预共享密钥。【选择寻址方式】：可以根据目前的网络情况来选择合适的寻址方式。,iGate高级配置安全配置,双方安全隧道建立之前，要对IPSEC和IKE都要分别进行安全建议协商。协商过程中，会自上而下，逐一进行协商，直到找到双方一致的算法配置，否则建立不了安全隧道。,iGate高级配置日志,【时间】：该时间发生的时间。【名称】：该时间所对应的主机。【地址】：该主机的ip地址。【消息】：对该事件所作的描述。【删除】：删除所有的日志信息。【保存】：以文本形式保存日志信息。,INTERWINGVPN系统构架INTERWINGVPN产品特点INTERWINGVPN的配置INTERWINGVPN典型配置疑难解答,提纲,典型配置：iGateiGate,网络环境：公司总部局域网子网为192.168.0.X，通过ADSL接入Internet，没有固定公网IP，INTERWINGiGate安装在代理服务器上。代理服务器为双网卡计算机，接内网的IP为192.168.0.1，接ADSLModem的网卡IP为动态分配。分公司局域网子网为192.168.1.X，通过宽带接入Internet，没有公网IP，路由器的IP为192.168.1.1。INTERWINGiGate安装在局域网上的任何一台计算机上，IP为192.168.1.2。,iGateiGate：公司总部iGate配置,1、本机配置：本机iGate名：上海总公司网守（iKeeper）域名：虚拟安全域：test-vpn2、远端网关iGate配置：主机名：北京分公司类型：iGate共享密钥：12345678寻址方式：使用虚拟安全域方式3、其他主机配置：INTERWINGiGate服务器本身作为代理服务器，已经承担了网关功能，局域网内其他主机的网关已经指向INTERWINGiGate服务器，不需做任何改动。,iGateiGate：分公司iGate配置,1、本机配置：本机iGate名：北京分公司；网守（iKeeper）域名：；虚拟安全域：test-vpn2、远端网关iGate配置：主机名：上海总公司；类型：iGate；共享密钥：12345678；寻址方式：使用虚拟安全域方式3、其他主机配置：,INTERNET,192.168.1.x,Router,Switch/Hub,iGate,Internet路由,VPN路由,方式三：INTERWINGiGate仅作为安全路由网关，在路由器上增加一条静态路由，目标子网192.168.0.0/掩码255.255.255.0，目标网关192.168.1.2。其他主机不用修改配置。,INTERNET,192.168.1.x,Router,Switch/Hub,iGate,Internet路由,VPN路由,方式一：INTERWINGiGate服务器作为转发网关使用，将局域网内其他主机的网关指向INTERWINGiGate服务器，由iGate进行Internet路由转发。在iGate中增加一条路由配置，子网0.0.0.0/掩码0.0.0.0，目的网关192.168.1.1。,方式二：INTERWINGiGate仅作为安全路由网关，在局域网内其他主机上增加一条静态路由，子网192.168.0.0/掩码255.255.255.0，目标网关192.168.1.2。routeadd192.168.0.0mask255.255.255.0192.168.1.2p，-p参数只对Win2000/XP有效，对于Win98可使用批处理文件使用。,典型配置：iGateiWalker,网络环境：公司总部局域网子网为192.168.0.X，通过ADSL接入Internet，没有固定公网IP，INTERWINGiGate安装在代理服务器上。代理服务器为双网卡计算机，接内网的IP为192.168.0.1，接ADSLModem的网卡IP为动态分配。移动客户端为出差人员笔记本电脑，可以通过ADSL/Modem等多种接入方式联入Internet，IP地址为动态IP。,iGateiWalker：公司总部iGate配置,1、本机配置：本机iGate名：上海总公司网守（iKeeper）域名：虚拟安全域：test-vpn虚拟IP池：192.168.0.200192.168.0.219（共20个虚拟IP地址）2、远端移动客户端iWalker配置：主机名：张三类型：iWalker共享密钥：12345678寻址方式：使用虚拟安全域方式虚拟IP：自动分配3、其他主机配置：由于启用了虚拟IP功能，无论总部网络环境如何，均不需对网络配置进行修改。,iGateiWalker：移动用户iWalker配置,1、本机配置：本机iGate名：张三网守（iKeeper）域名：虚拟安全域：test-vpn2、远端网关iGate配置：主机名：上海总公司类型：iGate共享密钥：12345678寻址方式：使用虚拟安全域方式,测试移动用户可以访问总部局域网中的任何一台主机；总部局域网中的任何一台主机也可以通过虚拟IP访问移动用户。,INTERWINGVPN系统构架INTERWINGVPN产品特点INTERWINGVPN的配置INTERWINGVPN典型配置疑难解答,提纲,疑难解答,INTERWNG对网络环境有什么要求？INTERWING能够满足各种复杂网络结构，环境要求连接双方需要有一段有公网IP。如果不能用有公网IP，只要能把公网IP的UDP5798端口映射到安装INTERWING的计算机上也可以。INTERWING是否要求连接双方处于不同网段？网关和网关进行连接时，必须要求双方处于不同网段中。因为如果双方的网段一致，当发起连接时，一方面有可能内网的IP有冲突的，另一方面当发现目的IP和自己是一个网段的时候，IP包并不会送到默认网关去。当网关和移动进行连接时，对网段没有要求。因为网关会给移动分配一个虚拟的IP。如果INTERWING网关不能安装在真正网关机器上怎么办？通常情况下，要求INTERWING网关安装在网关机器上，这样他可以处理所有的数据包。如果不能的话，其他机器可以添加这样一条静态路由：routeadd192.168.1.0(对方网段)255.255.255.0（对方子网掩码）192.168.0.1（本地安装INTERWING网关的机器）-P（重启后生效的参数）。,Internet,192.168.1.1,192.168.0.1,NAT,NAT,Internet,192.168.1.X,192.168.1.x,NAT,iGate,？,iGate,192.168.1.x,Router,Switch/Hub,iGate,Internet,UDP5798,疑难解答,当总部前置了路由器、防火墙或者共享上网器时为什么需要做端口映射，如何配置？由于前置了路由器、防火墙或者共享上网器，来自Internet的访问全部会被这些前置设备截留，安装INTERWING网关的机器实际上没有公网IP，而配置IP转发功能可以将端口（默认是UDP5798）的数据映射到网络内部安装INTERWING网关的计算机上，相当于INTERWING网关工作在Internet上，则其他的INTERWING网关和移动用户就能与该INTERWING网关建立安全连接了。双方需要配置那些参数可以连接？双方首先要配置本地的属性，包括：机器名，所属的网守和虚拟安全域。然后配置与对方连接的这条隧道的属性，包括对方的名称，预共享密钥。其他的程序可以自动生成，但也可以手动配置。如果有了固定公网IP，是否可以不用iKeeper来寻址？是的。双方可以在寻址方式中选择固定IP方式来寻址。如何察看隧道的信息？在隧道没有建立的时候，可以对隧道的参数进行配置。隧道建立以后，单击对方的网络，可以看到这条隧道的即时信息，包括，速度，建立时间，密钥有效时间等。INTERWING网关是否可以针