SANGFORSSLv7.02016年度渠道高级认证培训01多线路部署和配置

SANGFORSSLVPN多线路部署培训培训内容培训目标SSLVPN部署模式介绍1.掌握SSLVPN多线路部署模式的特点网关模式1.掌握网关多线路模式适用环境2.掌握网关多线路的配置步骤单臂模式1.掌握单臂多线路模式适用环境2.掌握单臂多线路的配置步骤SANGFORSSL

部署模式回顾深信服公司简介SANGFORSSL部署模式配置SANGFORSSL动动手SANGFORSSLSANGFORSSL部署案例SANGFORSSL部署模式回顾单线路多线路单臂模式网关模式单线路多线路SANGFORSSL部署配置（网关多线路模式）SANGFORSSL部署配置（网关多线路模式）1、线路确定：跟客户确认有几条公网线路接入，并申请多线路授权2、网关模式配置：确定设备外网口是固定IP或者是ADSL拨号方式，取得相应运营商给的IP地址信息或者是拨号的帐号密码，给每条外网线路做配置；确定内网口（LAN口）的IP地址信息；3、上网配置：代理上网（NAT），确定内网是否为多网段网络环境，如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。4、多线路配置：可根据客户需求设置IPSECVPN多线路，SSLVPN多线路传输，上网数据的多线路选路策略。网关多线路配置思路：SSL部署配置（网关多线路模式）网关多线路模式配置截图使用网关多线路，必须先开通多线路授权点击线路，分别配置线路一和线路二的IP地址和网关SSL部署配置（网关多线路模式）代理上网配置截图SSL部署配置（网关多线路模式）多线路配置截图（后续案例讲述配置）SANGFORSSL部署配置（单臂多线路模式）1、单臂模式配置：给设备LAN口分配一个可以上网的IP地址、填写正确的网关IP、DNS；2、前置网关分别做两条线路的TCP443和80端口映射（如果用到IPSECVPN还需要映射TCP/UDP4009端口）3、配置SSLVPN多线路注意事项：80端口也是必须映射的，因为多线路选路功能是依赖80端口来选路的，如果80端口不映射，将无法实现多线路选路功能单臂多线路部署配置思路：SSL部署配置（单臂多线路模式）单臂多线路模式配置截图（与单臂单线路设置相同）SSL部署配置（单臂多线路模式）单臂多线路模式多线路配置截图填入公网出口线路的真实公网IP地址。案例一：网关多线路部署案例某客户拓扑如图，客户需要实现外网用户通过SSLVPN接入访问内部的OA服务器群。客户有电信与网通两条链路，并且已经申请了多个IP地址。SSLVPN设备网关部署，分配一个电信与一个网通IP地址给SSLVPN设备使用。内网用户通过防火墙上网，外网用户需要实现输入域名实现自动选择电信或者网通最快链路接入SSLVPN。部署需求：网关多线路部署配置思路1.基础网络配置：网关模式，配置WAN1、WAN2口、LAN口IP地址信息，配置系统路由。（由于LAN口与服务器不在一个网段，而设备的默认路由指向WAN方向出口，所以需要添加到达内网的静态路由，下一跳指向核心交换机）。2.域名设置：将客户申请的二级域名XXX.在ISP处用A记录指向和

。3.多线路设置：[系统配置]-[网络配置]-[多线路]，勾选[启用IPSEC多线路传输]，并且新建好两条线路。勾选[启用SSLVPN多线路]，选择[SSLVPN用户直接接入本设备]，并且新增两条线路。网关多线路部署配置步骤1.设置网关模式，LAN口和WAN1，WAN2口IP地址。网关多线路部署配置步骤2.设置系统路由网关多线路部署配置步骤3.设置SSLVPN多线路选路：a）启用IPSECVPN多线路，添加两条公网线路的IP地址（仅当SSL设备网关多线路直连公网的环境下需要设置）

必须配置正确的DNS才能够进行链路检测线路故障检测用于实时检测链路的好坏，实现线路故障时自动切换。网关多线路部署配置步骤3.设置SSLVPN多线路选路：b）启用SSLVPN多线路，选择“SSLVPN用户直接接入本设备”点击线路名称，修改优先级网关多线路部署案例a)一般情况下设置同等优先级即可。两条线路选择相同的优先级会直接对比两条线路下载图片的耗时，选择耗时小的线路接入SSLVPN。b)如果线路1设置为高，线路2设置为中。那么多线路选路的时候会自动从两条线路下载图片。优先级高的线路3秒内完成下载，不管优先级中的线路下载比优先级高的线路快还是慢，都选择优先级高的线路。3秒内未完成下载，则对比两条线路，哪条更快则选择哪条线路。c)高优先级和中优先级之间是3秒，中和低之间是2秒，高和低之间是5秒SSLVPN多线路优先级的含义：案例二：单臂多线路部署案例客户拓扑如图所示，出口有电信与网通两条链路。客户需要不改动原有的网络环境部署SSL设备，同时实现外网用户输入或者任意一个IP地址均能自动选择最快链路接入SSLVPN。部署需求：单臂多线路部署配置思路1.基础网络配置：单臂模式，配置LAN口IP地址，掩码，网关等信息。2.前置防火墙做端口映射：前置防火墙需要做两条线路的80端口和443端口到0。需要注意：80端口也是必须映射的，因为多线路选路功能是依赖80端口来选路的，如果80端口不映射，将无法实现多线路选路功能。3.多线路配置：[系统配置]-[网络配置]-[多线路]，勾选[启用SSLVPN多线路]，并且新增两条外网线路真实的公网IP地址。单臂多线路部署配置步骤1.设置单臂模式，LAN口IP地址，网关，以及DMZ口IP地址。单臂多线路和非直连公网的网关多线路模式下无需开启单臂多线路部署配置步骤2.设置SSLVPN多线路选路，新增公网出口线路真实的公网IP地址。SSLVPN自动选路功能注意事项要使用SSLVPN自动选路功能，必须开启HTTP端口。2.SSL单臂模式下必须在前置设备上同时做HTTPS端口和HTTP端口的映射，默认是TCP443和80端口。用户必须通过HTTP的方式访问SSL设备才能自动选路。通过webagent地址，域名，以及SSL设备的任意公网IP均可。练练手练练手客户网络现状和需求：随着公司发展，在外出差的人员越来越多，需要实现远程接入内网安全快速的访问内部系统。

客户网络出口是一个路由器，有电信和网通两条公网线路，希望实现优先通过电信的线路连接SSLVPN，如果电信线路的延时比网通线路大很多时，才通过网通线路连VPN。练练手解决方案：SSLVPN设备网关模式部署替换原来网络中的路由器，设置多线路自动选路，通过电信线路和网通线路的选路优先级来实现客户的