SANGFOR_IPSEC_2016年渠道初级认证培训04_SANGFOR DLAN多线路应用场景及配置

SANGFORDLAN多线路应用场景及配置,DLAN多线路应用场景,DLAN多线路典型应用案例及配置,SANGFORIPSEC,DLAN多线路应用场景,DLAN多线路应用场景,网关模式DLAN多线路应用场景,场景一：总部多线路部署，分支单线路部署，总部和分支进行IPSECVPN互连。总部与分支可以建立两条VPN隧道，且通信数据可以通过这两条VPN隧道同时传输，互为备份。场景二：总部和分支均为多线路部署，进行IPSECVPN互连。总部和分支可以建立4条VPN隧道，同时可以设置多线路策略，实现VPN隧道的备份和数据传输速度的优化。注：网关多线路模式下需要开通多线路授权,场景一,场景二,DLAN多线路应用场景,单臂模式多线路场景,总部单臂部署,出口双线路,总部与分支或移动用户建立多条VPN隧道。注：VPN单臂多线路功能要求DLAN总部和分支都是4.3及以上版本。,DLAN多线路典型应用案例及配置,DLAN多线路典型应用案例及配置,网关模式多线路应用案例,网络环境如图：总部：VPN网关模式部署，出口双线路，线路1是电信，线路2是联通。电信IP地址：183.16.154.147/24GW：183.16.154.1电信DNS：202.103.224.68和202.103.225.68联通IP地址：221.7.1.199/24GW：221.7.1.254联通DNS：221.7.128.68和221.7.136.68分支：VPN网关模式部署，出口只有一条电信线路。电信地址：219.159.1.199/24GW：219.159.1.254客户要求：分支与总部进行IPSECVPN互连，电信和联通两条线路互为主备方式，当电信线路断了，VPN数据自动切换到联通线路。,DLAN多线路典型应用案例及配置,DLAN总部多线路配置思路总部VPN设备需要配置：1.连接各个外网线路的接口IP地址2.总部的webagent地址填写成域名或者IP1#IP2:4009的形式3.多线路设置4.VPN多线路选路策略5.建立分支账号并为分支用户关联相应的选路策略分支VPN设备需要配置：1.设置连接管理,DLAN多线路典型应用案例及配置,1.接口地址配置,启用线路1并配置线路1的地址和DNS,同样启用线路2并配置线路2的地址和DNS,DLAN多线路典型应用案例及配置,2.IPSECVPN多线路设置,开启IPSECVPN多线路功能,配置线路1的地址和DNS,配置线路2的地址及DNS,设备通过DNS探测线路是否正常，所以该DNS一定要配置正确。,勾选即启用线路故障检测,DLAN多线路典型应用案例及配置,3.VPN多线路选路策略设置,策略名称可自定义,按实际情况选择VPN本端线路数和对端线路数。,本例要求做线路主备，将联通线路放到备线路组中。,点击确定保存配置,DLAN多线路典型应用案例及配置,4.总部建立分支账号并为分支用户关联相应的选路策略,选择对应的选路策略,点击确定保存配置,DLAN多线路典型应用案例及配置,5.总部配置WEBAGENT地址,填写格式为：IP#IP2:4009,点击确定，保存配置,DLAN多线路典型应用案例及配置,6.分支设置连接管理,填写总部的WEBAGENT,填写总部为该分支用户建的用户名和密码,点击完成，保存配置,以上步骤完成，即完成了本例所有配置，分支可通过线路主备的方式接入总部VPN,单臂模式下实现VPN多线路,IP1,IP2,电信,联通,电信,实现前提：1、单臂设备有多线路授权；2、前置设备有多线路；3、前置设备支持根据源IP做策略路由；4、前置设备支持从两个网口做端口映射。,概述：即VPN设备(以WOC设备为例)以单臂模式部署，当前置网关出口有多条外网线路时，设置VPN数据分别走相应的外网线路，实现多线路自动选路。,单臂模式下DLAN多线路典型应用案例及配置,某客户总部购买了我司一台VPN设备，网络环境如图，出口有PIX525防火墙，防火墙有两条外网线路，线路1为电信，线路2为联通，VPN设备单臂部署在内网，内网只有192.200.150.0/24网段.电信地址：222.216.2.199/24GW：222.216.2.1电信DNS：222.216.2.254和202.103.225.68联通地址：221.7.2.199/24GW：221.7.2.1联通DNS：221.7.2.254/24和221.7.136.68客户要求分支连进来以后，能同时跑电信和联通两条线路，并且数据包平均分配到两条线路上。,线路一,线路二,单臂模式下DLAN多线路典型应用案例及配置,配置思路：总部VPN设备上的配置：设置单臂模式，配置LAN口IP和单臂多线路IP增加多线路配置，并启用线路监测功能设置VPN多线路选路策略建立分支用户并为分支用户关联选路策略前置防火墙的配置：做两个端口映射，分别映射VPN端口到对应的单臂多线路IP设置策略路由，分别基于不同的单臂多线路IP从不同的线路转发出去分支VPN设备上的配置：1、配置设备接口地址2.配置连接管理,DLAN多线路典型应用案例及配置,1、接口地址配置,部署模式选择为单臂模式,配置物理LAN口地址,配置两条单臂线路的地址，两条单臂线路的地址跟LAN口地址属于同一网段，内网IP不冲突即可,DLAN多线路典型应用案例及配置,2.多线路设置,勾选启用单臂多线路,新增两条单臂线路,设备通过此处配置的DNS来探测线路是否正常,填写公网真实的IP地址，若公网无固定IP，可不填写,勾选启用DNS检测,DLAN多线路典型应用案例及配置,3.VPN多线路选路策略设置,选择本端线路数和对端线路数,本例中，电信和联通都为主线路,本例要求两条主线路按包平均分配,点击确定保存配置,DLAN多线路典型应用案例及配置,4.新建分支账号并给分支用户关联选路策略,选择按包平均分配的多线路选路策略。,点击确定保存配置,以上步骤完成，即完成单臂多线路选路的基本配置，用户test接入总部VPN时，实现按包平均分配进行选路。,练练手,用户场景及需求：,客户的网络环境如图：总部：VPN网关部署，出口只有一条电信单线路。电信地址：219.159.3.199/24GW：219.159.3.254分支：VPN网关部署，出口双线路，线路1是电信，线路2是联通。电信线路1：222.216.3.199/24GW：222.216.3.254电信线路2：222.216.4.199/24GW：222.216.4.254电信DNS：202.103.224.68和202.103.225.68客户要求：分支与总部进行IPSEC互连，要求分支的两条线路同时跑VPN数据，并且按会话平均分配到两条线路上。,练练手,要求：请根据用户