03_SANGFORDLAN技术fix.pptVIP

SANGFOR DLAN技术;深信服科技·客服部 二零一零年二月;培训目的;大 纲;一、DLAN技术介绍;1、SINFOR DLAN术语;DLAN 总部、DLAN分支、DLAN移动;Webagent寻址;直连与非直连;虚拟网卡、虚拟ip、虚拟ip池;SINFOR DLAN 互联;1、SINFOR DLAN 互联的条件;2、DLAN互联的过程;二、SINFOR DLAN基本配置;1、硬件间互联;DLAN总部配置;DLAN分支配置;查看DLAN连接状态;移动和硬件总部互联;DLAN总部配置;移动端配置;三、DLAN高级配置;1、用户第三方认证;2、用户管理;3、加密算法;4、硬件鉴权;5、DKEY;6、内网权限;分支访问过来的时候确实只能访问192.168.10.250这台服务器了，但是同时总部也只有192.168.10.250这台电脑能访问分支，总部其他电脑访问不到分支。;权限设置更加细化，可实现双向的权限控制--可针对访问数据的源IP、端口，目的IP、端口进行控制（类似标准IPSec的出入站策略）;案例: “针对访问数据的源IP、端口，目的IP、端口进行权限控制”，老版本的内网权限，只能细致到一条隧道（账号），但对使用同一隧道（账号）接入的不同IP就无法做限制了，现在有了“源”的选项则可实现权限细致到某一IP。 注意这里的“源”是指VPN连接的对端--即，在那里设置的内网权限，则“源”一定是VPN连接对端的内网。 ;7、FW对DLAN的控制;8、多线路; 带宽叠加 线路主备 动态适应 平均分配;带宽叠加：把连接平均分配到2条线路上去，同一个连接始终只走同一条线路。;8、多线路—带宽叠加;平均分配：就是按ip包来平均分配。假设建立了两条隧道的情况，则第一个ip包走隧道1，第二个ip包走隧道2，第三个又走隧道1，第四个又走隧道2，以此类推。;返回;线路主备：同时和对端的多条线路建立VPN连接，但是数据只从指定的主线路上传输，当主线路断掉后，则会切换为备份线路来传输；当主线路又恢复后，则又切回主线路传输。;X;动态适应：vpn建立之前做一个tcp探测，选延时小的线路建立vpn隧道。建立好后，如果该线路VPN一直不断，则一直使用这个vpn隧道。;？;IP2;配置：;配置：;配置：;应用1：;应用2：;9、VPN支持组播;10、VPN隧道内NAT;10、VPN隧道内NAT;10、VPN隧道内NAT;11、VPN隧道内流控;11、VPN隧道内流控;12、跨运营商;在【序列号设置】里的高级里，可以打开跨运营商授权，在那里决定是否支持跨运营商。 一旦开启了跨运营商授权，则连到该设备来的所有用户都可以启用跨运营商功能。;13、隧道间路由;目的用户路由用户的下拉菜单=用户管理+连接管理的用户;13、隧道间路由--分支通过总部上网;分支端配置： 分支端在隧道间路由里勾上通过总部上网即可。分支设备必须是路由模式。;注意事项： 总部和分支VPN的建立步骤不再阐述。 总部前面的路由器（防火墙）上要代理分支这个网段上网，同时加到分支网段的路由指向设备LAN口。 如果分支有多网段，则总部同样需要添加各个网段的代理上网规则及回包路由。 ;隧道间路由，A访问C的内网，同时C也访问A的内网。;A访问C的内网，同时还能访问C的多子网。;通过隧道间路由，移动端与移动端之间实现互访。;移动端通过隧道间路由访问总部内网和多子网;14、标准ipsec对接—案例;;Cisco配置： crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key sinfor address 201.1.1.1 ! crypto ipsec transform-set sinfor.ts esp-3des esp-md5-hmac mode tunnel ! crypto map sinfor.m 100 ipsec-isakmp set peer 201.1.1.1 set transform-set sinfor.ts set pfs group2 match address 110 ! interface FastEthernet0/0 ip address 201.1.1.3 255.255.255.0 crypto map sinfor.m ! interface FastEthernet1/0 ip address 192.168.30.1 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 201.1.1.1 access-list 110 permit i