15-SANGFOR VPN解决方案（一）电子课件

SANGFORVPN解决方案（一）SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN功能优势SANGFORVPN功能优势深信服设备自身能互联两种VPN类型，一是标准IPSecVPN，另一个就是自主开发的SANGFORVPN。与标准IPSecVPN相比，SANGFORVPN的专利技术的优势：1、支持两端都为非固定IP的公网环境---通过webagent实现2、更细致的权限粒度与标准IPSecVPN相比，SANGFORVPN的特殊场景：1、更细致的权限粒度2、隧道间路由技术，分支用户通过总部上网，实现总部的统一管控3、隧道内NAT技术，解决多个分支网段IP冲突的问题SANGFORVPN功能优势WebAgent工作原理WebAgent寻址过程：用于SANGFORVPN互联时，分支与移动用户寻找总部的地址，从而建立VPN连接。（寻址过程中，所有信息均使用DES加密。）SANGFORVPN功能优势更细致的权限粒度高级权限普通权限病毒财务服务器OA服务器SANGFORVPN功能优势线路探测技术移动用户移动用户CableModemADSL宽带独有的“线路探测”技术总部DLANSANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN术语解释术语解释总部提供VPN接入服务，为其他VPN用户提供接入账户校验的设备。SANGFORVPN总部设备需要配置WEBAGENT、VPN接入账号等。一般将服务器端所在的网络做为总部。分支即接入总部端的设备。一般将客户端所在的网络做为分支。移动即SANGFORVPN的软件客户端，又称为PDLAN。一般将通过软件接入总部的单个客户端称为移动用户。一个VPN设备既可以当总部，也可以当分支，也可以同时充当总部和分支的角色。SANGFORVPN术语解释术语解释SANGFORVPN术语解释WebAgent格式WebAgent:用于SANGFORDLAN互联时，分支与移动用户寻找总部的地址，从而建立VPN连接。WEBAGENT有如下几种的填写方式：1.IP:端口，如23:4009适用于总部VPN设备有固定公网IP地址的环境2.IP1#IP2:端口，如23#21:4009适用于总部VPN设备有多条固定IP的线路，且需要做VPN的线路备份的环境3.网址的形式，如/webagent/123.php适用于总部VPN设备没有固定公网IP的环境，如ADSL线路4.域名：端口形式，如:4009适用于总部已存在动态域名指向他们出口的公网IP的环境SANGFORVPN术语解释本地子网IPSecVPN一般通过ACL抓取感兴趣流，而SANGFORVPN是通过本地子网宣告自身内网网段给对端的形式，来让对端具备访问本端网段的路由，从而实现数据的互访。（设备默认只宣告设备直连网段）SANGFORVPN术语解释VPNTUN接口Vpntun接口：VPN数据的虚拟路由口，用来引导数据发往VPN隧道，从而封装报文。SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN建立过程建立条件1、至少有一端是总部，且有足够的授权。SANGFOR硬件与SANGFOR硬件之间互连不需要授权，与第三方对接需要分支授权，移动客户端需要移动用户授权。2、至少有一端在公网上可访问，即“可寻址”或固定公网IP。3、建立VPN两端的内网地址不能冲突。4、建立VPN两端的软件版本要匹配。(如VPN4.x版本既能跟VPN4.x版本互联也能跟VPN5.x版本互联，但VPN2.x版本只能跟VPN2.x版本互联）SANGFORVPN建立过程建立过程最基本的三步曲1、寻址：与谁建立连接(找到目标)——寻址（WebAgent原理、WebAgent设置）2、认证：身份验证（提交正确、充分的信息）—账号密码、Dkey、硬件鉴权、第三方认证。3、策略：（下发）选路策略、权限策略、VPN路由策略、安全策略（移动用户）、VPN专线（移动用户）、