SANGFORDLAN互聯(lián)基礎(chǔ)配置演示文稿

SANGFORDLAN互聯(lián)基礎(chǔ)配置演示文稿現(xiàn)在是1頁\一共有23頁\編輯于星期一培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)DLAN基礎(chǔ)配置掌握總部和分支的配置DLAN基礎(chǔ)綜合實驗?zāi)芨鶕?jù)客戶的實際的情況進(jìn)行上架部署?，F(xiàn)在是2頁\一共有23頁\編輯于星期一DLAN基礎(chǔ)配置DLAN基礎(chǔ)綜合實驗SANGFORIPSEC現(xiàn)在是3頁\一共有23頁\編輯于星期一一、DLAN基礎(chǔ)配置

說明：DLAN分為總部、分支和移動三類角色?？偛颗c分支或移動正常建立VPN連接的基本配置如下：（1）DLAN總部：需要配置webagent、虛擬IP池（非必配）、用戶管理。（2）DLAN分支：只需配置連接管理。（3）DLAN移動：安裝DLAN移動端軟件，配置基本設(shè)置與主連接參數(shù)設(shè)置?，F(xiàn)在是4頁\一共有23頁\編輯于星期一DLAN總部的配置設(shè)置主備webagent信息當(dāng)外網(wǎng)是固定IP時，webagent填寫格式為：IP:4009，備份webagent保留為空；當(dāng)外網(wǎng)是ADSL撥號時，webagent可向深信服客服中心申請此處若填寫了共享密鑰，則分支/移動端也需要設(shè)置相同的密鑰才能建立VPN連接。該密鑰用于協(xié)商VPN隧道時進(jìn)行數(shù)據(jù)加密。VPN監(jiān)聽端口，與WEBAGENT上的端口對應(yīng)，可以修改

點擊可測試WEBAGENT是否正確WEBAGENT配置表示W(wǎng)EBAGENT可用現(xiàn)在是5頁\一共有23頁\編輯于星期一虛擬IP池配置：DLAN總部的配置選擇需要使用IP池地址的用戶類型定義IP池的地址范圍。注：該地址范圍不能包含內(nèi)網(wǎng)用戶或設(shè)備接口的IP。注：當(dāng)VPN使用了移動用戶接入，或VPN分支用戶啟用了隧道內(nèi)NAT時，才需要配置虛擬IP池，否則可不配置?，F(xiàn)在是6頁\一共有23頁\編輯于星期一VPN用戶配置DLAN總部的配置為VPN用戶建立認(rèn)證時的用戶名和密碼選擇該用戶的類型若類型為移動，必須勾選啟用虛擬IP勾選啟用用戶點擊確定保存配置現(xiàn)在是7頁\一共有23頁\編輯于星期一DLAN分支端的配置填寫總部提供的webagent及用戶名/密碼等信息，傳輸模式選擇UDP或者TCP，傳輸端口默認(rèn)4009勾選啟用點擊完成保存配置?，F(xiàn)在是8頁\一共有23頁\編輯于星期一安裝完成后，在桌面和開始-程序中自動生成SANGFOR移動控制臺圖標(biāo)，雙擊即可打開PDLAN移動控制臺。在深信服官方網(wǎng)站上下載與總部版本對應(yīng)的PDLAN移動客戶端，雙擊進(jìn)行安裝。DLAN移動端的設(shè)置移動用戶首先安裝DLAN移動客戶端填寫總部提供的webagent信息單擊“設(shè)置生效”保存配置注意：PDLAN只支持windows操作系統(tǒng)填入總部為移動用戶建的用戶名和密碼高網(wǎng)絡(luò)延時和丟包的環(huán)境，請選擇UDP模式配置完成，點擊設(shè)置生效，保存配置?，F(xiàn)在是9頁\一共有23頁\編輯于星期一二、DLAN基礎(chǔ)綜合實驗要求：根據(jù)用戶的網(wǎng)絡(luò)拓?fù)渑c實際需求，在對用戶內(nèi)網(wǎng)改動最小的情況下將設(shè)備部署到用戶網(wǎng)絡(luò)中并完成配置?，F(xiàn)在是10頁\一共有23頁\編輯于星期一1、實驗場景用戶原拓?fù)鋱D如下：某用戶總公司在北京，目前通過在出口部署了一臺防火墻，由防火墻代理上網(wǎng)。同時，內(nèi)網(wǎng)接了三層交換機(jī)，劃分了兩個網(wǎng)段，一個網(wǎng)段用于內(nèi)網(wǎng)PC上網(wǎng)，另一網(wǎng)段用來放服務(wù)器。在深圳剛成立了一個分公司，分公司內(nèi)網(wǎng)是二層環(huán)境，已有路由器代理內(nèi)網(wǎng)用戶上網(wǎng)?，F(xiàn)在是11頁\一共有23頁\編輯于星期一（1）希望在總公司部署一臺深信服VPN2050設(shè)備，代替原來的防火墻，代理內(nèi)網(wǎng)用戶上網(wǎng)（2）希望在分公司部署一臺深信服VPN1150設(shè)備，主要用來連VPN，不能改變分公司原有的網(wǎng)絡(luò)環(huán)境，實現(xiàn)內(nèi)網(wǎng)的PC可通過VPN訪問總部服務(wù)器。2、用戶需求現(xiàn)在是12頁\一共有23頁\編輯于星期一3、配置參考-部署拓?fù)鋱D現(xiàn)在是13頁\一共有23頁\編輯于星期一（1）總部配置-部署模式及網(wǎng)絡(luò)接口在【系統(tǒng)設(shè)置】-【網(wǎng)絡(luò)接口配置】中，選擇部署模式并配置內(nèi)、外網(wǎng)口的地址及DNS信息。如下圖部署模式選擇為“網(wǎng)關(guān)模式”，根據(jù)用戶的實際情況填寫內(nèi)/外網(wǎng)接口地址及DNS信息?，F(xiàn)在是14頁\一共有23頁\編輯于星期一（2）總部配置-代理上網(wǎng)在【防火墻設(shè)置】-【NAT設(shè)置】-【代理上網(wǎng)設(shè)置】中，配置需要代理上網(wǎng)的內(nèi)網(wǎng)網(wǎng)段。如下圖本案例要求，代理內(nèi)網(wǎng)的兩個網(wǎng)段上網(wǎng)。注意：新增代理上網(wǎng)網(wǎng)段時，同時勾選放通防火墻規(guī)則?，F(xiàn)在是15頁\一共有23頁\編輯于星期一（3）總部配置-路由配置在【系統(tǒng)設(shè)置】-【路由設(shè)置】-【系統(tǒng)路由設(shè)置】中，添加到內(nèi)網(wǎng)兩個網(wǎng)段的路由。如下圖子網(wǎng)網(wǎng)段可分別添加兩個24位掩碼的網(wǎng)段，也可加一條16位掩碼的網(wǎng)段。本例無特殊要求，加一條16位掩碼的網(wǎng)段即可。默認(rèn)網(wǎng)關(guān)為與設(shè)備內(nèi)網(wǎng)口相連的交換機(jī)接口地址現(xiàn)在是16頁\一共有23頁\編輯于星期一（4）總部配置-本地子網(wǎng)在【系統(tǒng)設(shè)置】-【本地子網(wǎng)列表】中，添加VPN分支需要訪問的網(wǎng)段。如下圖本例要求訪問服務(wù)器所在的網(wǎng)段現(xiàn)在是17頁\一共有23頁\編輯于星期一（5）總部配置-VPN信息配置1.在【VPN信息設(shè)置】-【基本設(shè)置】中，配置WEBAGENT等信息，2.在【VPN信息設(shè)置】-【用戶管理】中，添加一個分支用戶。如下圖：本例中，出口為固定IP，WEBAGENT格式為：IP:4009配置用戶名、密碼，選擇用戶類型。注：本例中類型選擇為分支現(xiàn)在是18頁\一共有23頁\編輯于星期一（6）分支配置-部署模式及網(wǎng)絡(luò)接口在【系統(tǒng)設(shè)置】-【網(wǎng)絡(luò)接口配置】中，選擇部署模式并配置內(nèi)網(wǎng)接口地址信息。如下圖接口地址為內(nèi)網(wǎng)沒有使用過的IP地址，網(wǎng)關(guān)為前置路由器的內(nèi)網(wǎng)地址。現(xiàn)在是19頁\一共有23頁\編輯于星期一（7）分支配置-VPN連接管理在【系統(tǒng)設(shè)置】-【網(wǎng)絡(luò)接口配置】中，選擇部署模式并配置內(nèi)網(wǎng)接口地址信息。如下圖填寫總部在基本配置里配置的WEBAGENT填寫總部在用戶管理中配置的用戶名和密碼分支配置好以上步驟后，再在前置路由器上添加到VPN總部的數(shù)據(jù)下一跳指向分支設(shè)備的路由。即完成了本例要求的所有配置。注：不同的設(shè)備，配置頁面稍有不同，但基本步驟一樣。現(xiàn)在是20頁\一共有23頁\編輯于星期一（8）效果檢測一、北京總公司內(nèi)網(wǎng)用戶通過VPN2050上網(wǎng)在內(nèi)網(wǎng)找臺PC，訪問外網(wǎng)，看是否能訪問成功。二、檢測DLAN兩端互訪1、通過查看北京和深圳兩臺設(shè)備的DLAN運行狀態(tài)，看是否有連接數(shù)。2、通過深信服IPSecVPN訪問對端的服務(wù)器（在分支訪問總部服務(wù)器的內(nèi)網(wǎng)地址看是否能通），確認(rèn)DLAN的連通性?，F(xiàn)在是21頁\一共有23頁\編輯于星期一（9）案例回顧根據(jù)用戶實際環(huán)境，我們將北京總公司的設(shè)備做為總部，深圳分公司的設(shè)備做為分支。總部：1.總部的設(shè)備需替換防火墻，代理內(nèi)網(wǎng)上網(wǎng)，故將設(shè)備以_____模式部署在_________________位置。2.根據(jù)上一步判斷，配置設(shè)備的網(wǎng)絡(luò)接口信息，需要配置________口和_______口的地址信息。同時，要保證設(shè)備能正常訪問交換機(jī)下的各個網(wǎng)段及代理內(nèi)網(wǎng)各網(wǎng)段上網(wǎng)還需要配置_____________和________。3.VPN接入后，需要訪問總部的服務(wù)器，而服務(wù)器屬于三層交換機(jī)下的另一個網(wǎng)段，所以還需要在總部的VPN設(shè)備加添加____________。4.總部設(shè)備上配置VPN相關(guān)信息，包括___________________分支：1.根據(jù)用戶的需求，分支的VPN設(shè)備應(yīng)當(dāng)以________模式部署在_________。

2.根據(jù)上一步判斷，分支設(shè)備的網(wǎng)絡(luò)接口信息中需要配置__________。3.為了保證訪問總公司的數(shù)據(jù)能到達(dá)分支的VPN設(shè)備，還需要__________4.分支設(shè)備上配置VPN連接的相關(guān)信息，包括________________網(wǎng)關(guān)公網(wǎng)出口WANLANNAT代理上網(wǎng)內(nèi)網(wǎng)回包路由VPN本地子網(wǎng)Weba