SANGFOR_IPSEC_2016年渠道初级认证培训03_SANGFOR DLAN互联基础配置

SANGFORDLAN互连基本配置，DLAN基本配置，DLAN基本综合实验，SANGFORIPSEC，一，DLAN基本配置，说明：DLAN是总部，分公司和总部正常建立地点或行程的VPN连接的基本配置如下：(1)DLAN总部：必须配置web代理、虚拟IP池(非必需)和用户管理。(2)DLAN分支：只需配置连接管理。(3)DLAN重定向：安装DLAN移动终端软件，配置首选项和默认连接参数设置。DLAN总部的配置，如果外部网是固定IP，则web代理创建格式：IP:4009，将备份web代理留空；如果外部网络是ADSL拨号，web代理可以致电客户服务中心。如果在此处填写了共享密钥，则点/移动端也必须设置相同的密钥以建立VPN连接。协商VPN隧道时，将使用此密钥进行数据加密。VPN监听端口，对应于web代理的端口，可以修改，单击以测试web代理的格式是否正确，配置web代理，web代理的格式是否正确，配置虚拟IP池：配置DLAN总部，选择需要使用IP池地址的用户类型，定义IP池的地址范围。注：此地址范围不能包含intranet用户或设备接口的IP。注：仅当VPN使用移动用户访问或VPN分支机构用户启用隧道内NAT时，才需要配置虚拟IP池。否则，可能不配置。VPN用户配置、DLAN总部配置、验证VPN用户时的用户名和密码、选择该用户的类型、选择“使用虚拟IP”(如果类型为“移动”)、选择“使用用户”、单击“确定”保存配置、保存DLAN分公司的配置、填写总部提供的web代理和用户名/密码等信息、在传输模式下选择UDP或TCP，以及下载与总部版本相对应的PDLAN移动客户端，然后双击进行安装。DLAN移动终端设置，移动用户首先安装DLAN移动客户端。注：PDLAN仅支持windows操作系统，要输入总部为移动用户创建的用户名和密码、高网络延迟和数据包丢失环境，请单击UDP模式、完成配置、应用设置，然后保存配置。第二，DLAN基本综合实验，要求：根据用户的网络拓扑和实际要求，将设备部署到用户网络并完成配置，同时最大限度地减少用户内部网更改。1，实验方案，用户原始拓扑图表如下：用户的总部在北京，现在在出口部署防火墙，由防火墙代理代理网络连接。与此同时，intranet还连接了三层交换机，将两个网段分区，一个用于intranet PC网络，另一个用于部署服务器。深圳刚成立了分公司，分公司内部网已经是路由器代理内部网用户连接到互联网的双层环境。(1)我们希望总部代表内部网用户部署非常有说服力的VPN2050设备，而不是原始防火墙。(2)如果要在分支机构部署主要用于连接VPN的功能强大的VPN1150设备，则不能更改分支机构的原始网络环境，实现内部网的PC可以通过VPN访问总部服务器。2，用户要求，3，配置参考-部署拓扑，(1)总部配置-部署模式和网络接口，“系统设置”-“网络接口配置”下，选择部署模式，然后配置内部和外部端口的地址和DNS信息。选择部署模式作为网关模式，并根据用户的实际情况输入内部/外部接口地址和DNS信息，如下图所示。(2)在总部配置-代理internet、防火墙设置NAT设置-代理internet设置中，配置需要代理的intranet段。下图显示了代理intranet的两个网段必须连接到internet。注意：添加新代理internet段时，请选择防火墙规则。(3)在总部配置-路由配置、系统设置-路由设置-系统路由设置中添加到intranet两个网段的路由。您可以在子网段中分别添加两个24位掩码的网段或一个16位掩码的网段，如下图所示。在此示例中，没有特殊要求，只需添加16位掩码的网段即可。默认网关是连接到设备intranet的交换机接口地址。(4)在总部配置-本地子网-系统设置-本地子网列表中，添加VPN分支需要访问的网段。下图显示了、(5)总部配置-VPN信息配置，1 .设置VPN信息-在“首选项”中配置信息(如web代理)，然后2 .“设置VPN信息”-您必须在“用户管理”中添加分支用户。下图：在此示例中，出口为静态IP，web代理格式为IP:4009，用户名、密码配置，选择用户类型。注：此示例的类型包括：“选择分支”，(6)“分支配置”-“部署模式”和“网络接口”，在“系统设置”-“网络接口配置”下，选择部署模式，然后配置intranet接口地址信息。在下图中，接口地址是intranet未使用的IP地址，网关是前端路由器的intranet地址。(7)分支配置-管理VPN连接，在“系统设置”-“网络接口配置”中，选择部署模式，然后配置intranet接口地址信息。如下图所示，创建总部配置在默认配置下的web代理，创建总部配置在用户管理下的用户名和密码，完成上述步骤后，从前端路由器向VPN总部添加的数据下一跳指定分支设备的路径。此示例所需的所有配置都已完成。注：每个设备的配置页面略有不同，但基本步骤相同。(8)效果测试，第一，北京总部内部网用户通过VPN 2050 internet在intranet上查找PC，并确保能够访问外部网以成功访问。第二，检测DLAN两端互访1，查看北京和深圳两个设备的DLAN运行状态，确认是否连接。2、通过IPSecVPN访问端对端服务器(可在从分支办公室访问总部服务器的intranet地址中看到)，以验证DLAN的连接性。(9)案例回顾根据用户的实际环境，以北京总公司的设备为总部，以深圳分公司的设备为分公司。总部：1。总部的设备必须更换防火墙，并代理intranet以将设备放置在_ _ _ _ _ _ _ _ _ _ _ _ _位置。2.要按照前面的步骤配置设备的网络接口信息，您必须配置_ _ _ _ _ _ _ _ _ _ _ _ IP和_ _ _ _ _ _ _ IP的地址信息。此外，要允许设备正常访问交换机下的各个网段和代理intranet上的各个网段，请执行以下操作：_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _3.VPN访问后需要访问总部的服务器，并且服务器属于三层交换机下的另一个网段，因此需要在总部的VPN设备上_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _4.在总部设备上_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _根据用户要求，分支中的VPN设备有_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _必须按照前面的步骤在分支机构设备的网络接口信息中配置_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _。3.为了确保访问总部的数据能够到达分支机构的VPN设备，还需要_ _ _ _