SANGFOR IPSEC 2011年度渠道初级认证培训03_DLAN互联基础配置_xuzeng.pptVIP

培训内容 培训目标 SANGFOR DLAN 互联基础配置 1. 掌握各部署模式的特性，有哪些模块生效，哪些模块失效。 2. 掌握各模式下的SANGFOR DLAN的连接建立，能够实现内网通过VPN进行互访。 一、DLAN 部署配置 二、DLAN 基础配置 三、DLAN 基础综合实验 SANGFOR DLAN 一、系统部署配置 说明：通过配置系统部署相关设置项，保证VPN设备加入客户网络中， 网络的通畅性。 VPN设备默认登录方式： P5100 LAN口：53:1000 S5100 LAN口：53:1000 DMZ口：53:1000 其它型号 LAN口：54:1000 DMZ口：54:1000 默认用户名/密码：Admin/Admin 1、网关模式 *此时将设备当一台路由器/防火墙对待 （1）网络接口配置 （2）系统路由配置 （3）防火墙配置（根据实际情况可选配置） 代理上网 NAT设置 端口映射 过滤规则设置 （4）本地子网配置 网络接口配置 选择“网关模式” 设置内网口LAN、DMZ的IP/掩码 设置外网口信息：线路类型、IP/掩码、网关、DNS 线路类型选择为ADSL时，设置用户名、密码，并勾选“自动拨号” 单击“确定”保存配置信息，设备会自动重启 **设备重启后，请使用新配置的IP登录网关控制台 系统路由配置 如果内网三层环境或需要路由跳转的情况需添加系统静态路由。 单击“确定”添加系统静态路由 单击“确定”保存配置信息 防火墙配置 如果需要设备代理内网用户上网（包括设置用户上网权限）、向外网发布内网服务器，以及用到防火墙过滤规则时，需设置防火墙相关选项。 代理上网设置 填写代理上网规则名称、内网接口以及需要代理的网段信息 单击“确定”添加 单击“确定”，保存配置信息 **如需代理多个网段上网，则添加多条代理上网规则（需配合添加到非设备直连内网口所在网段的系统路由设置）。 端口映射设置 设置端口映射相关选项。 新版本设置端口映射后会自动放通防火墙过滤规则 单击“确定”添加端口映射规则 单击“确定”保存配置信息 防火墙过滤规则设置 防火墙自动放通的过滤规则 填写过滤规则并单击“确定”添加。 其中服务对象、IP组、时间组可到【防火墙设置】及【系统设置】中先定义好 本地子网设置 当通过VPN需要访问与设备内网口非同网段时需添加本地子网。 填写非设备内网口所在的其它网段信息，单击“确定”添加至列表 单击“确定”保存配置信息 2、单臂模式 *此时将VPN设备当内网一台服务器看待 （1）网络接口配置 （2）本地子网设置（同网关模式下配置） （3）前置网关设备为VPN设备的VPN监听端口设置端口映射（当设备作为总部时需设置） （4）前置网关设备或内网三层交换机/路由器添加到对端VPN网络/虚拟IP池（与VPN设备内网口非同网段时）的回包路由指向VPN设备LAN口IP 网络接口配置 选择“单臂模式” 单臂模式VPN数据交互只用到LAN口，所以只需配置LAN口信息即可 单击“确定”保存配置信息，设备会自动重启 **设备重启后，如需从设备LAN口登录网关控制台请使用新配置的LAN口IP 二、DLAN基础配置 说明：DLAN分为总部、分支和移动三类角色。 （1）DLAN总部配置：需要配置webagent、用户管理、虚拟IP池（移动用户）。 （2）DLAN分支配置：只需配置连接管理。 （3）DLAN移动配置：基本设置与主连接参数设置。 DLAN总部的配置 设置主备webagent信息 当外网是固定IP时，webagent填写格式为：IP:4009，备份webagent保留为空； 当外网是ADSL拨号时，webagent可向深信服客服中心申请 设置用户名/密码 类型可选择移动、分支 当用户类型为移动时，需设置虚拟IP 可从虚拟IP池中指定一个IP，若设置为，则自动从虚拟IP池中分配 单击“确定”保存用户配置信息 DLAN分支端的配置 添加总部名称（自定义）、总部提供的webagent及用户民/密码信息 单击“完成”保存连接管理配置信息 DLAN移动端的设置 移动用户首先安装DLAN移动客户端 填写总部提供的webagent信息 单击“设置生效”保存配置 三、DLAN基础综合实验 1、实验场景及需求 1、实验场景及需求 （1）客户为一市局级政府行业客户，市局网络办公网与政务专网是物理隔离的，即上互联网均通过办公网，访问市局服务器则需要接入到政务专