16-SANGFOR VPN解决方案（二）电子课件

SANGFORVPN解决方案（二）SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN数据传输过程分析SANGFORVPN建立隧道SANGFORVPN数据传输过程分析数据传输问题1SIPDIPSportDportProtocolDATA0005000080TCPHTTP数据①SANGFORVPN数据传输过程分析数据传输问题1AC没有去往网段的路由！SANGFORVPN数据传输过程分析问题1解决方法在长沙AC上配置静态路由！SANGFORVPN数据传输过程分析数据传输问题2SIPDIPSportDportProtocolDATA0005000080TCPHTTP数据①②③SANGFORVPN数据传输过程分析数据传输问题2因为WOC没有去往网段的路由！SANGFORVPN数据传输过程分析问题2解决方法在总部的SSL设备上配置本地子网，将总部的资源网段宣告给长沙WOC设备SANGFORVPN数据传输过程分析问题2解决方法在分支WOC设备上可以查看到去往总部本地子网的路由条目SANGFORVPN数据传输过程分析数据发送成功①②③④⑤⑥⑦⑧⑨SANGFORVPN数据传输过程分析数据发送成功1SIPDIPSportDportProtocolDATA0005000080TCPHTTP数据①②SANGFORVPN数据传输过程分析数据发送成功2③SIPDIPSportDportProtocolDATA8400004009TCP加密的原始数据包SANGFORVPN数据传输过程分析数据发送成功3④SIPDIPSportDportProtocolDATA98400004009TCP加密的原始数据包SANGFORVPN数据传输过程分析数据发送成功4⑤⑥SIPDIPSportDportProtocolDATA900400004009TCP加密的原始数据包⑦SANGFORVPN数据传输过程分析数据发送成功5⑧⑨SIPDIPSportDportProtocolDATA0005000080TCPHTTP数据SANGFORVPN数据传输过程分析数据回包问题①SIPDIPSportDportProtocolDATA0008050000TCPHTTP数据SIPDIPSportDportProtocolDATA0008050000TCPHTTP数据②SANGFORVPN数据传输过程分析数据回包问题正常情况下AF不会把回包发送给SSL！SANGFORVPN数据传输过程分析解决方法SANGFORVPN数据传输过程分析数据回包成功⑤④⑥③⑦②①⑧SANGFORVPN数据传输过程分析数据回包成功1②①SIPDIPSportDportProtocolDATA0008050000TCPHTTP数据SANGFORVPN数据传输过程分析数据回包成功2⑤④③SIPDIPSportDportProtocolDATA009400940000TCP加密的原始数据包SANGFORVPN数据传输过程分析数据回包成功3⑥SIPDIPSportDportProtocolDATA89400940000TCP加密的原始数据包SANGFORVPN数据传输过程分析数据回包成功4⑦SIPDIPSportDportProtocolDATA8400940000TCP加密的原始数据包SANGFORVPN数据传输过程分析数据回包成功5SIPDIPSportDportProtocolDATA0008050000TCPHTTP数据⑧SANGFORVPN功能优势SANGFORVPN术语解释SANGFORVPN建立过程SANGFORVPN数据传输过程分析SANGFORVPN特殊场景目录SANGFORVPN特殊场景权限控制场景需求：总部和分支部署了两台VPN设备，现总部的VPN设备做为VPN总部与分支建立了VPN连接，用户要求对分支访问总部的服务器进行权限控制，只允许分支网络的PC访问总部的WEB服务器（80端口），禁止访问其他的任何服务器（包括PC客户端）。如下图：基本思路：该客户需求一共有两种方法可以实现，通过VPN内网权限（两端都会受到限制）或者通过防火墙过滤规则（更细化的控制）。SANGFORVPN特殊场景分支通过总部互联场景需求：总部分别与两个分支建立VPN连接，分支1与分支2均能访问总部内网，现用户要求分支1与分支2之间能相互访问。问题分析：两个分支分别与总部建立VPN隧道，但分支1与分支2之间并没有任何线路相连，也没有VPN隧道。解决办法：通过分别在分支1和分支2的设备中配置隧道间路由实现。SANGFORVPN特殊场景分支通过总部上网场景需求：总部与分支建立VPN连接，总部希望审计分支的上网行为，因此总部要求分支通过总部实现上网。解决办法：通过在分支1中配置隧道间路由实现通过总部上网。SANGFORVPN特殊场景分支地址冲突场景需求：总部分别与两个分支建立VPN连接，分支1与分支2内网均为/24网段，用户要求不能改变任何一端的IP地址，实现分支与总部互访。问题分析：两个分支内网网段相同，当