SANGFOR_IPSEC_2016年渠道初級認證培訓04_SANGFOR DLAN多線路應用場景及配置

1、SANGFOR DLAN 多線路應用場景及配置培訓內容培訓目標DLAN多線路應用場景了解多線路的應用場景DLAN多線路典型應用案例及配置掌握網(wǎng)關模式和單臂模式下多線路的配置DLAN多線路應用場景DLAN多線路典型應用案例及配置SANGFOR IPSECDLAN多線路應用場景DLAN多線路應用場景網(wǎng)關模式DLAN多線路應用場景場景一：總部多線路部署，分支單線路部署，總部和分支進行IPSEC VPN互連?？偛颗c分支可以建立兩條VPN隧道，且通信數(shù)據(jù)可以通過這兩條VPN隧道同時傳輸，互為備份。場景二：總部和分支均為多線路部署，進行IPSEC VPN互連?？偛亢头种Э梢越?條VPN隧道，同時可以設置

2、多線路策略，實現(xiàn)VPN隧道的備份和數(shù)據(jù)傳輸速度的優(yōu)化。注：網(wǎng)關多線路模式下需要開通多線路授權場景一場景二DLAN多線路應用場景單臂模式多線路場景總部單臂部署,出口雙線路,總部與分支或移動用戶建立多條VPN隧道。注：VPN單臂多線路功能要求DLAN總部和分支都是4.3及以上版本。DLAN多線路典型應用案例及配置DLAN多線路典型應用案例及配置網(wǎng)關模式多線路應用案例網(wǎng)絡環(huán)境如圖：總部：VPN網(wǎng)關模式部署，出口雙線路，線路1是電信，線路2是聯(lián)通。電信IP地址：47/24 GW：電信DNS：8 和8聯(lián)通IP地址：99/24 GW：54聯(lián)通DNS：8和8分支：VPN網(wǎng)關模式部署，出口只有一條電信線路。電

3、信地址：99/24 GW：54 客戶要求：分支與總部進行IPSEC VPN互連，電信和聯(lián)通兩條線路互為主備方式，當電信線路斷了，VPN數(shù)據(jù)自動切換到聯(lián)通線路。DLAN多線路典型應用案例及配置DLAN總部多線路配置思路總部VPN設備需要配置：1. 連接各個外網(wǎng)線路的接口IP地址2. 總部的webagent地址填寫成域名或者IP1#IP2:4009的形式3. 多線路設置4. VPN多線路選路策略5. 建立分支賬號并為分支用戶關聯(lián)相應的選路策略分支VPN設備需要配置：1. 設置連接管理DLAN多線路典型應用案例及配置1.接口地址配置啟用線路1并配置線路1的地址和DNS同樣啟用線路2并配置線路2的地址

4、和DNSDLAN多線路典型應用案例及配置2.IPSEC VPN多線路設置開啟IPSEC VPN多線路功能配置線路1的地址和DNS配置線路2的地址及DNS,設備通過DNS探測線路是否正常，所以該DNS一定要配置正確。勾選即啟用線路故障檢測DLAN多線路典型應用案例及配置3.VPN多線路選路策略設置策略名稱可自定義按實際情況選擇VPN本端線路數(shù)和對端線路數(shù)。本例要求做線路主備，將聯(lián)通線路放到備線路組中。點擊確定保存配置DLAN多線路典型應用案例及配置4.總部建立分支賬號并為分支用戶關聯(lián)相應的選路策略選擇對應的選路策略點擊確定保存配置DLAN多線路典型應用案例及配置5.總部配置WEBAGENT地址填

5、寫格式為：IP#IP2:4009點擊確定，保存配置DLAN多線路典型應用案例及配置6.分支設置連接管理填寫總部的WEBAGENT填寫總部為該分支用戶建的用戶名和密碼點擊完成，保存配置以上步驟完成，即完成了本例所有配置，分支可通過線路主備的方式接入總部VPN單臂模式下實現(xiàn)VPN多線路IP1IP2電信聯(lián)通電信實現(xiàn)前提：1、單臂設備有多線路授權；2、前置設備有多線路；3、前置設備支持根據(jù)源IP做策略路由；4、前置設備支持從兩個網(wǎng)口做端口映射。概述：即VPN設備(以WOC設備為例)以單臂模式部署，當前置網(wǎng)關出口有多條外網(wǎng)線路時，設置VPN數(shù)據(jù)分別走相應的外網(wǎng)線路，實現(xiàn)多線路自動選路。單臂模式下DLAN

6、多線路典型應用案例及配置某客戶總部購買了我司一臺VPN設備，網(wǎng)絡環(huán)境如圖，出口有PIX525防火墻，防火墻有兩條外網(wǎng)線路，線路1為電信，線路2為聯(lián)通，VPN設備單臂部署在內網(wǎng)，內網(wǎng)只有/24網(wǎng)段.電信地址：99/24 GW：電信DNS：54 和8聯(lián)通地址：99/24 GW：聯(lián)通DNS：54/24和8客戶要求分支連進來以后，能同時跑電信和聯(lián)通兩條線路，并且數(shù)據(jù)包平均分配到兩條線路上。線路一線路二單臂模式下DLAN多線路典型應用案例及配置配置思路：總部VPN設備上的配置：設置單臂模式，配置LAN口IP和單臂多線路IP增加多線路配置，并啟用線路監(jiān)測功能設置VPN多線路選路策略建立分支用戶并為分支用戶

7、關聯(lián)選路策略前置防火墻的配置：做兩個端口映射，分別映射VPN端口到對應的單臂多線路IP設置策略路由，分別基于不同的單臂多線路IP從不同的線路轉發(fā)出去分支VPN設備上的配置：1、配置設備接口地址2. 配置連接管理DLAN多線路典型應用案例及配置1、接口地址配置部署模式選擇為單臂模式配置物理LAN口地址配置兩條單臂線路的地址，兩條單臂線路的地址跟LAN口地址屬于同一網(wǎng)段，內網(wǎng)IP不沖突即可DLAN多線路典型應用案例及配置2. 多線路設置勾選啟用單臂多線路新增兩條單臂線路設備通過此處配置的DNS來探測線路是否正常填寫公網(wǎng)真實的IP地址，若公網(wǎng)無固定IP，可不填寫勾選啟用DNS檢測DLAN多線路典型應

8、用案例及配置3.VPN多線路選路策略設置選擇本端線路數(shù)和對端線路數(shù)本例中，電信和 聯(lián)通都為主線路本例要求兩條主線路按包平均分配點擊確定保存配置DLAN多線路典型應用案例及配置4.新建分支賬號并給分支用戶關聯(lián)選路策略選擇按包平均分配的多線路選路策略。點擊確定保存配置以上步驟完成，即完成單臂多線路選路的基本配置，用戶test接入總部VPN時，實現(xiàn)按包平均分配進行選路。練練手用戶場景及需求：客戶的網(wǎng)絡環(huán)境如圖：總部：VPN網(wǎng)關部署，出口只有一條電信單線路。電信地址：99/24 GW：54分支：VPN網(wǎng)關部署，出口雙線路，線路1是電信，線路2是聯(lián)通。電信線路1：99/24 GW：54電信線路2：99/24 GW：54電信DNS：8 和8客戶要求：分支與總部進行IPSEC互連，要求分支的兩條線路同時跑VPN數(shù)據(jù)，并且 按會話平均分配到兩條線路上。練練手要求：請根據(jù)用戶場景和需求，給客戶做VPN網(wǎng)關多線路實施配置總部配置外網(wǎng)接口配置設置Webagent（尋址）配置VPN多線路選路策略建用戶（認證）給分支用戶關聯(lián)選路策略配置思路：分支配置外網(wǎng)多