SANGFORDLAN互联基础配置演示文稿

SANGFORDLAN互联基础配置演示文稿现在是1页\一共有23页\编辑于星期一培训内容培训目标DLAN基础配置掌握总部和分支的配置DLAN基础综合实验能根据客户的实际的情况进行上架部署。现在是2页\一共有23页\编辑于星期一DLAN基础配置DLAN基础综合实验SANGFORIPSEC现在是3页\一共有23页\编辑于星期一一、DLAN基础配置

说明：DLAN分为总部、分支和移动三类角色。总部与分支或移动正常建立VPN连接的基本配置如下：（1）DLAN总部：需要配置webagent、虚拟IP池（非必配）、用户管理。（2）DLAN分支：只需配置连接管理。（3）DLAN移动：安装DLAN移动端软件，配置基本设置与主连接参数设置。现在是4页\一共有23页\编辑于星期一DLAN总部的配置设置主备webagent信息当外网是固定IP时，webagent填写格式为：IP:4009，备份webagent保留为空；当外网是ADSL拨号时，webagent可向深信服客服中心申请此处若填写了共享密钥，则分支/移动端也需要设置相同的密钥才能建立VPN连接。该密钥用于协商VPN隧道时进行数据加密。VPN监听端口，与WEBAGENT上的端口对应，可以修改

点击可测试WEBAGENT是否正确WEBAGENT配置表示WEBAGENT可用现在是5页\一共有23页\编辑于星期一虚拟IP池配置：DLAN总部的配置选择需要使用IP池地址的用户类型定义IP池的地址范围。注：该地址范围不能包含内网用户或设备接口的IP。注：当VPN使用了移动用户接入，或VPN分支用户启用了隧道内NAT时，才需要配置虚拟IP池，否则可不配置。现在是6页\一共有23页\编辑于星期一VPN用户配置DLAN总部的配置为VPN用户建立认证时的用户名和密码选择该用户的类型若类型为移动，必须勾选启用虚拟IP勾选启用用户点击确定保存配置现在是7页\一共有23页\编辑于星期一DLAN分支端的配置填写总部提供的webagent及用户名/密码等信息，传输模式选择UDP或者TCP，传输端口默认4009勾选启用点击完成保存配置。现在是8页\一共有23页\编辑于星期一安装完成后，在桌面和开始-程序中自动生成SANGFOR移动控制台图标，双击即可打开PDLAN移动控制台。在深信服官方网站上下载与总部版本对应的PDLAN移动客户端，双击进行安装。DLAN移动端的设置移动用户首先安装DLAN移动客户端填写总部提供的webagent信息单击“设置生效”保存配置注意：PDLAN只支持windows操作系统填入总部为移动用户建的用户名和密码高网络延时和丢包的环境，请选择UDP模式配置完成，点击设置生效，保存配置。现在是9页\一共有23页\编辑于星期一二、DLAN基础综合实验要求：根据用户的网络拓扑与实际需求，在对用户内网改动最小的情况下将设备部署到用户网络中并完成配置。现在是10页\一共有23页\编辑于星期一1、实验场景用户原拓扑图如下：某用户总公司在北京，目前通过在出口部署了一台防火墙，由防火墙代理上网。同时，内网接了三层交换机，划分了两个网段，一个网段用于内网PC上网，另一网段用来放服务器。在深圳刚成立了一个分公司，分公司内网是二层环境，已有路由器代理内网用户上网。现在是11页\一共有23页\编辑于星期一（1）希望在总公司部署一台深信服VPN2050设备，代替原来的防火墙，代理内网用户上网（2）希望在分公司部署一台深信服VPN1150设备，主要用来连VPN，不能改变分公司原有的网络环境，实现内网的PC可通过VPN访问总部服务器。2、用户需求现在是12页\一共有23页\编辑于星期一3、配置参考-部署拓扑图现在是13页\一共有23页\编辑于星期一（1）总部配置-部署模式及网络接口在【系统设置】-【网络接口配置】中，选择部署模式并配置内、外网口的地址及DNS信息。如下图部署模式选择为“网关模式”，根据用户的实际情况填写内/外网接口地址及DNS信息。现在是14页\一共有23页\编辑于星期一（2）总部配置-代理上网在【防火墙设置】-【NAT设置】-【代理上网设置】中，配置需要代理上网的内网网段。如下图本案例要求，代理内网的两个网段上网。注意：新增代理上网网段时，同时勾选放通防火墙规则。现在是15页\一共有23页\编辑于星期一（3）总部配置-路由配置在【系统设置】-【路由设置】-【系统路由设置】中，添加到内网两个网段的路由。如下图子网网段可分别添加两个24位掩码的网段，也可加一条16位掩码的网段。本例无特殊要求，加一条16位掩码的网段即可。默认网关为与设备内网口相连的交换机接口地址现在是16页\一共有23页\编辑于星期一（4）总部配置-本地子网在【系统设置】-【本地子网列表】中，添加VPN分支需要访问的网段。如下图本例要求访问服务器所在的网段现在是17页\一共有23页\编辑于星期一（5）总部配置-VPN信息配置1.在【VPN信息设置】-【基本设置】中，配置WEBAGENT等信息，2.在【VPN信息设置】-【用户管理】中，添加一个分支用户。如下图：本例中，出口为固定IP，WEBAGENT格式为：IP:4009配置用户名、密码，选择用户类型。注：本例中类型选择为分支现在是18页\一共有23页\编辑于星期一（6）分支配置-部署模式及网络接口在【系统设置】-【网络接口配置】中，选择部署模式并配置内网接口地址信息。如下图接口地址为内网没有使用过的IP地址，网关为前置路由器的内网地址。现在是19页\一共有23页\编辑于星期一（7）分支配置-VPN连接管理在【系统设置】-【网络接口配置】中，选择部署模式并配置内网接口地址信息。如下图填写总部在基本配置里配置的WEBAGENT填写总部在用户管理中配置的用户名和密码分支配置好以上步骤后，再在前置路由器上添加到VPN总部的数据下一跳指向分支设备的路由。即完成了本例要求的所有配置。注：不同的设备，配置页面稍有不同，但基本步骤一样。现在是20页\一共有23页\编辑于星期一（8）效果检测一、北京总公司内网用户通过VPN2050上网在内网找台PC，访问外网，看是否能访问成功。二、检测DLAN两端互访1、通过查看北京和深圳两台设备的DLAN运行状态，看是否有连接数。2、通过深信服IPSecVPN访问对端的服务器（在分支访问总部服务器的内网地址看是否能通），确认DLAN的连通性。现在是21页\一共有23页\编辑于星期一（9）案例回顾根据用户实际环境，我们将北京总公司的设备做为总部，深圳分公司的设备做为分支。总部：1.总部的设备需替换防火墙，代理内网上网，故将设备以_____模式部署在_________________位置。2.根据上一步判断，配置设备的网络接口信息，需要配置________口和_______口的地址信息。同时，要保证设备能正常访问交换机下的各个网段及代理内网各网段上网还需要配置_____________和________。3.VPN接入后，需要访问总部的服务器，而服务器属于三层交换机下的另一个网段，所以还需要在总部的VPN设备加添加____________。4.总部设备上配置VPN相关信息，包括___________________分支：1.根据用户的需求，分支的VPN设备应当以________模式部署在_________。

2.根据上一步判断，分支设备的网络接口信息中需要配置__________。3.为了保证访问总公司的数据能到达分支的VPN设备，还需要__________4.分支设备上配置VPN连接的相关信息，包括________________网关公网出口WANLANNAT代理上网内网回包路由VPN本地子网Weba