sangfor ssl v度渠道初级认证培训基本网络环境部署配置

SANGFORSSLVPN设备部署培训培训内容培训目标SSLVPN部署模式介绍1.掌握SSLVPN支持的各种部署模式的特点。网关模式1.掌握网关模式适用环境及支持的功能。2.掌握网关单线路的配置步骤。单臂模式1.掌握单臂模式适用环境及支持的功能。2.掌握单臂单线路的配置步骤。SANGFORSSL

部署模式介绍深信服公司简介SANGFORSSL部署模式配置SANGFORSSL动动手SANGFORSSLSANGFORSSL部署案例SANGFORSSL部署模式介绍部署模式_简介

1、部署模式是指设备以什么样的工作模式部署到客户网络中去，不同的部署方式对客户的网络影响各有不同，具体以何种部署方式需要综合客户具体的网络环境和客户的功能需求而定。

2、SSLVPN支持网关（单线路和多线路）模式、单臂(单线路和多线路)模式部署。网关模式特点

1、网关模式部署时SSL设备工作层次基本与路由器或包过滤防火墙相当，具备基本的路由转发及NAT功能。一般在客户原有网络环境中添加部署SSL设备时不采用这种模式，因为这种部署模式需要对客户的网络环境作较大的改动。2、一般此种部署模式的客户网络环境规模比较小，用SSL设备替换原有部署在出口的路由器，或者是客户在规划新网络建设时将SSL部署为路由模式。如客户出口有前置防火墙或网络规模比较大建议用单臂模式。SANGFORSSL部署模式介绍SANGFORSSL部署模式介绍单臂模式特点

1、单臂模式时SSL设备工作模式基本与一台内网服务器相当，由前置设备将SSL服务对外发布，该模式下仅处理VPN数据。一般在客户原有网络环境中添加部署SSL设备时将采用这种模式，因为这种部署模式对客户的网络环境无变动，哪怕设备宕机也不会影响网络。2、单臂模式部署只需要连接LAN口到内网，如果需要通过DMZ口管理设备，可将DMZ口也连接到局域网交换机。SANGFORSSL部署配置单线路多线路单臂模式网关模式单线路多线路注：本PPT只介绍单线路环境部署，多线路环境请参考高级认证PPT。SANGFORSSL部署配置（网关模式）SANGFORSSL部署配置（网关模式）非直连公网方式的网关模式部署（应用场景非常少，对网络改动较大，需要在前置设备上做端口映射）SANGFORSSL部署配置（网关模式）1、网关模式配置：确定设备外网口（WAN1口）是固定IP或者是ADSL拨号方式，取得相应运营商给的IP地址信息或者是拨号的帐号密码；确定内网口（LAN口）的IP地址信息；2、上网配置：代理上网（NAT），确定内网是否多网段网络环境，如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。网关单线路配置思路：SSL部署配置（网关单线路模式）网关单线路模式配置截图设置内网接口IP地址SSL部署配置（网关单线路模式）代理上网配置截图选择代理LAN或DMZ口下的网段上网SANGFORSSL部署配置（单臂单线路模式）1、单臂模式配置：给设备LAN口分配一个可以上网的IP地址，填写正确的网关IP、DNS；2、前置网关做TCP443和80端口映射（如果用到IPSECVPN还需要映射TCP/UDP4009端口）单臂单线路部署配置思路：SSL部署配置（单臂单线路模式）单臂单线路模式配置截图给设备LAN口分配一个可以上网的IP，正确填写网关和DNS地址。配置DMZ口IP，可通过DMZ口管理设备案例一：网关单线路部署案例某客户拓扑如图，客户需要实现外网用户通过SSLVPN接入访问内部的web服务器群。客户只有一条外网线路，对应的公网ip是。SSLVPN设备网关部署，内网用户通过SSLVPN设备上网，外网用户需要实现输入域名实现接入SSLVPN。部署需求：网关单线路部署配置思路1.基础网络配置：网关模式，配置WAN1、LAN口IP地址信息，配置系统路由。2.静态路由：由于LAN口与服务器不在一个网段，而设备的默认路由指向WAN方向出口，所以需要添加到达内网的静态路由，下一条指向核心交换机。3.域名设置：将客户申请的二级域名在ISP处用A记录指向

。4.代理上网：将内网PC私网ip转换成，代理内网用户上公网。网关单线路部署配置步骤1.设置网关模式，LAN口和WAN1口IP地址。网关单线路部署配置步骤2.设置系统路由网关单线路部署配置步骤3.设置代理上网案例二：单臂单线路部署案例客户拓扑如图所示，出口有一条电信链路。客户需要不改动原有的网络环境部署SSL设备，实现外网用户输入这个IP地址即可接入SSLVPN。部署需求：单臂单线路部署配置思路1.基础网络配置：单臂模式，配置LAN口IP地址，掩码，网关等信息。2.前置防火墙做端口映射：前置防火墙需要做两条线路的80端口和443端口到0。需要注意：如果80端口不映射，将无法实现从http到https的跳转。如客户不要求实现自动跳转到https，可不必映射80端口。单臂单线路部署配置步骤1.设置单臂模式，LAN口IP地址，网关，以及DMZ口IP地址。2.前置网关设备（防火墙）配置80和443端口映射深信服webagent介绍如果SSLVPN设备是通过ADSL拨号上网（无固定公网IP），移动用户该如何登录SSLVPN设备？通过深信服webagent功能，可实现动态IP寻址，实现该需求注：SSL设备网关部署和单臂部署时，都支持webagent功能练练手1、SSLVPN支持哪些部署模式？2、单臂模式部署的时候可以使用设备的哪些接口接到网络里面？3、SSLVPN单臂模式部署时，前置网关设备需要映射哪些端口？问题思考练练