SANGFOR_IPSEC_2016年渠道初级认证培训04_SANGFOR DLAN多线路应用场景及配置

1、SANGFOR DLAN 多线路应用场景及配置培训内容培训目标DLAN多线路应用场景了解多线路的应用场景DLAN多线路典型应用案例及配置掌握网关模式和单臂模式下多线路的配置DLAN多线路应用场景DLAN多线路典型应用案例及配置SANGFOR IPSECDLAN多线路应用场景DLAN多线路应用场景网关模式DLAN多线路应用场景场景一：总部多线路部署，分支单线路部署，总部和分支进行IPSEC VPN互连。总部与分支可以建立两条VPN隧道，且通信数据可以通过这两条VPN隧道同时传输，互为备份。场景二：总部和分支均为多线路部署，进行IPSEC VPN互连。总部和分支可以建立4条VPN隧道，同时可以设置

2、多线路策略，实现VPN隧道的备份和数据传输速度的优化。注：网关多线路模式下需要开通多线路授权场景一场景二DLAN多线路应用场景单臂模式多线路场景总部单臂部署,出口双线路,总部与分支或移动用户建立多条VPN隧道。注：VPN单臂多线路功能要求DLAN总部和分支都是4.3及以上版本。DLAN多线路典型应用案例及配置DLAN多线路典型应用案例及配置网关模式多线路应用案例网络环境如图：总部：VPN网关模式部署，出口双线路，线路1是电信，线路2是联通。电信IP地址：47/24 GW：电信DNS：8 和8联通IP地址：99/24 GW：54联通DNS：8和8分支：VPN网关模式部署，出口只有一条电信线路。电

3、信地址：99/24 GW：54 客户要求：分支与总部进行IPSEC VPN互连，电信和联通两条线路互为主备方式，当电信线路断了，VPN数据自动切换到联通线路。DLAN多线路典型应用案例及配置DLAN总部多线路配置思路总部VPN设备需要配置：1. 连接各个外网线路的接口IP地址2. 总部的webagent地址填写成域名或者IP1#IP2:4009的形式3. 多线路设置4. VPN多线路选路策略5. 建立分支账号并为分支用户关联相应的选路策略分支VPN设备需要配置：1. 设置连接管理DLAN多线路典型应用案例及配置1.接口地址配置启用线路1并配置线路1的地址和DNS同样启用线路2并配置线路2的地址

4、和DNSDLAN多线路典型应用案例及配置2.IPSEC VPN多线路设置开启IPSEC VPN多线路功能配置线路1的地址和DNS配置线路2的地址及DNS,设备通过DNS探测线路是否正常，所以该DNS一定要配置正确。勾选即启用线路故障检测DLAN多线路典型应用案例及配置3.VPN多线路选路策略设置策略名称可自定义按实际情况选择VPN本端线路数和对端线路数。本例要求做线路主备，将联通线路放到备线路组中。点击确定保存配置DLAN多线路典型应用案例及配置4.总部建立分支账号并为分支用户关联相应的选路策略选择对应的选路策略点击确定保存配置DLAN多线路典型应用案例及配置5.总部配置WEBAGENT地址填

5、写格式为：IP#IP2:4009点击确定，保存配置DLAN多线路典型应用案例及配置6.分支设置连接管理填写总部的WEBAGENT填写总部为该分支用户建的用户名和密码点击完成，保存配置以上步骤完成，即完成了本例所有配置，分支可通过线路主备的方式接入总部VPN单臂模式下实现VPN多线路IP1IP2电信联通电信实现前提：1、单臂设备有多线路授权；2、前置设备有多线路；3、前置设备支持根据源IP做策略路由；4、前置设备支持从两个网口做端口映射。概述：即VPN设备(以WOC设备为例)以单臂模式部署，当前置网关出口有多条外网线路时，设置VPN数据分别走相应的外网线路，实现多线路自动选路。单臂模式下DLAN

6、多线路典型应用案例及配置某客户总部购买了我司一台VPN设备，网络环境如图，出口有PIX525防火墙，防火墙有两条外网线路，线路1为电信，线路2为联通，VPN设备单臂部署在内网，内网只有/24网段.电信地址：99/24 GW：电信DNS：54 和8联通地址：99/24 GW：联通DNS：54/24和8客户要求分支连进来以后，能同时跑电信和联通两条线路，并且数据包平均分配到两条线路上。线路一线路二单臂模式下DLAN多线路典型应用案例及配置配置思路：总部VPN设备上的配置：设置单臂模式，配置LAN口IP和单臂多线路IP增加多线路配置，并启用线路监测功能设置VPN多线路选路策略建立分支用户并为分支用户

7、关联选路策略前置防火墙的配置：做两个端口映射，分别映射VPN端口到对应的单臂多线路IP设置策略路由，分别基于不同的单臂多线路IP从不同的线路转发出去分支VPN设备上的配置：1、配置设备接口地址2. 配置连接管理DLAN多线路典型应用案例及配置1、接口地址配置部署模式选择为单臂模式配置物理LAN口地址配置两条单臂线路的地址，两条单臂线路的地址跟LAN口地址属于同一网段，内网IP不冲突即可DLAN多线路典型应用案例及配置2. 多线路设置勾选启用单臂多线路新增两条单臂线路设备通过此处配置的DNS来探测线路是否正常填写公网真实的IP地址，若公网无固定IP，可不填写勾选启用DNS检测DLAN多线路典型应

8、用案例及配置3.VPN多线路选路策略设置选择本端线路数和对端线路数本例中，电信和 联通都为主线路本例要求两条主线路按包平均分配点击确定保存配置DLAN多线路典型应用案例及配置4.新建分支账号并给分支用户关联选路策略选择按包平均分配的多线路选路策略。点击确定保存配置以上步骤完成，即完成单臂多线路选路的基本配置，用户test接入总部VPN时，实现按包平均分配进行选路。练练手用户场景及需求：客户的网络环境如图：总部：VPN网关部署，出口只有一条电信单线路。电信地址：99/24 GW：54分支：VPN网关部署，出口双线路，线路1是电信，线路2是联通。电信线路1：99/24 GW：54电信线路2：99/24 GW：54电信DNS：8 和8客户要求：分支与总部进行IPSEC互连，要求分支的两条线路同时跑VPN数据，并且 按会话平均分配到两条线路上。练练手要求：请根据用户场景和需求，给客户做VPN网关多线路实施配置总部配置外网接口配置设置Webagent（寻址）配置VPN多线路选路策略建用户（认证）给分支用户关联选路策略配置思路：分支配置外网多