SANGFORDLAN技术.ppt

《SANGFORDLAN技术.ppt》由会员分享，可在线阅读，更多相关《SANGFORDLAN技术.ppt（73页珍藏版）》请在三一办公上搜索。

1、SANGFOR DLAN技术,2010-02,深信服科技客服部 二零一零年二月,培训目的,1、掌握DLAN技术的原理2、掌握DLAN常用功能的原理和配置,大 纲,一、DLAN技术介绍二、DLAN基本配置三、DLAN高级配置四、DLAN综合实验五、DLAN常见问题,一、DLAN技术介绍,1、SINFOR DLAN术语2、SINFOR DLAN互联基础3、SINFOR DLAN新老版本区别,1、SINFOR DLAN术语,DLAN总部、DLAN分支、DLAN移动Webagent寻址直连、非直连虚拟网卡、虚拟IP、虚拟IP池,DLAN 总部、DLAN分支、DLAN移动,Webagent寻址,在寻址过

2、程中，所有信息均使用DES加密。,电信：（）,网通：,直连与非直连,直连：即我们设备本身有公网IP 或者能够被从公网访问的到。非直连：即我们设备本身没有公网IP或者无法从公网去访问到。我们的设备之间要能正常互相连接VPN，则至少要保证一端为直连。,虚拟网卡、虚拟ip、虚拟ip池,虚拟网卡 a、只在移动PDLAN上生成 b、承载虚拟IP地址 c、操作系统添加本地路由虚拟IP、虚拟IP池 a、由总部端设定虚拟IP池范围 b、虚拟IP分配到移动PDLAN上,SINFOR DLAN 互联,1、互联条件2、互联过程,1、SINFOR DLAN 互联的条件,a、至少有一端是总部，且有足够的授权。硬件与硬件

3、之间互连不需要授权。b、至少有一端在公网上可访问“可寻址”或固定公网IP。c、建立VPN两端的内网地址不能冲突。d、建立VPN两端的版本要匹配。,2、DLAN互联的过程,最基本的三步曲a、寻址与谁建立连接(找到对方)b、认证提交正确、充分的信息c、策略选路策略、权限策略、VPN路由策略、安全策略（移动用户，4.x版本无此功能）、VPN专线（移动用户）、分配虚拟IP（移动用户）,二、SINFOR DLAN基本配置,一、硬件间互联二、软件移动和硬件互联,1、硬件间互联,DLAN总部设置,设置上网设置Webagent（寻址）建用户（认证）设策略（策略）,DLAN分支设置,填一个连接管理,设置上网,D

4、LAN总部配置,DLAN分支配置,查看DLAN连接状态,移动和硬件总部互联,DLAN总部设置,设置上网设置Webagent（寻址）建用户（认证）设策略（策略）,DLAN移动设置,建一个vpn连接（基本设置设webagent、主连接参数设认证信息）,设置上网,总部单臂时注意在路由器上做端口映射和加回包路由。,DLAN总部配置,移动端配置,注意点右下角的设置生效,注意点右下角的设置生效,三、DLAN高级配置,1、用户第三方认证2、用户管理3、加密算法4、硬件鉴权5、DKEY6、内网权限7、FW对DLAN的控制8、多线路9、VPN内组播10、VPN隧道内NAT,11、VPN隧道内流控12、跨运营商1

5、3、隧道间路由14、标准IPSEC对接,1、用户第三方认证,支持本地认证和LDAP认证、Radius认证（注意：S5100及以下的小硬件不支持）基本配置与SSL的第三方认证相同，可对比学习。（注意：暂不支持指定搜索路径，必须使用域管理员账号）,2、用户管理,新增用户组（使用同种加密算法的用户的逻辑组合、是否是用网上邻居、具有相同访问权限）；恢复了多用户登录功能。,3、加密算法,在原来2.5x仅支持AES的基础上扩展支持了多种加密（DES、3DES、AES）和认证（MD5、SHA-1）算法，并可根据客户需求增加其他算法。注：认证算法用于配置标准IPsec.,4、硬件鉴权,通过捆绑对端机器的硬件信

6、息，即使在有人窃取到对端接入的用户名密码也无法接入，保证信息的安全。,5、DKEY,通过将连接信息存储在USB Key中，实现客户端零配置需求，同时保证在用户名密码泄露的情况下，光凭用户名密码无法接入总部，保证信息的安全。（只针对移动用户）,6、内网权限,权限设置更加细化，可实现双向的权限控制-可针对访问数据的源IP、端口，目的IP、端口进行控制（类似标准IPSec的出入站策略）,分支访问过来的时候确实只能访问这台服务器了，但是同时总部也只有这台电脑能访问分支，总部其他电脑访问不到分支。,源：192.168.20.10 目标：,目标IP不符合内网权限条件，缺省拒绝。,6、内网权限,权限设置更加

7、细化，可实现双向的权限控制-可针对访问数据的源IP、端口，目的IP、端口进行控制（类似标准IPSec的出入站策略）,2.5x,4.x,2.5x,6、内网权限新老版本比较,案例:“针对访问数据的源IP、端口，目的IP、端口进行权限控制”，老版本的内网权限，只能细致到一条隧道（账号），但对使用同一隧道（账号）接入的不同IP就无法做限制了，现在有了“源”的选项则可实现权限细致到某一IP。注意这里的“源”是指VPN连接的对端-即，在那里设置的内网权限，则“源”一定是VPN连接对端的内网。,6、内网权限,7、FW对DLAN的控制,防火墙的规则，对在VPNLAN、WAN、DMZ之间传输的数据都生效，且NA

8、T规则对VPN虚拟网卡也生效（通过目的路由用户上网）。设置方法，同原有的过滤规则、NAT设置类似，只是要注意数据传输方向上源IP、目的IP的设置。,8、多线路,通过VPN多线路技术可以将VPN数据同时在不同的物理线路上跑，以获得大于单链路带宽的传输速度或者将多个物理链路作为VPN线路的备份，以达到冗余的目的。,带宽叠加线路主备动态适应平均分配,8、多线路选路策略,带宽叠加：把连接平均分配到2条线路上去，同一个连接始终只走同一条线路。,8、多线路选路策略,当主线路组中的VPN线路（1-1）和（2-2）线路延时差值大于200ms时，较差的线路将不参与VPN数据的承载（即使它好的，并且在主线路组中）

9、。,8、多线路带宽叠加,平均分配：就是按ip包来平均分配。假设建立了两条隧道的情况，则第一个ip包走隧道1，第二个ip包走隧道2，第三个又走隧道1，第四个又走隧道2，以此类推。,8、多线路选路策略,返回,4,5,3,2,1,8、多线路平均分配,线路主备：同时和对端的多条线路建立VPN连接，但是数据只从指定的主线路上传输，当主线路断掉后，则会切换为备份线路来传输；当主线路又恢复后，则又切回主线路传输。,8、多线路选路策略,如果主线路组有多条VPN线路，则只有当主线路组的VPN线路全部都不可用时，才会切换到备份线路组中的VPN线路上,X,8、多线路线路主备,动态适应：vpn建立之前做一个tcp探测

10、，选延时小的线路建立vpn隧道。建立好后，如果该线路VPN一直不断，则一直使用这个vpn隧道。,8、多线路选路策略,当阈值设置成0时，设备会在主线路组中动态探测，选择最优的线路做为VPN线路。,？,？,要连vpn到总部,8、多线路动态适应,IP2,IP1,原理：单臂部署时，在VPN设备网口设置中配置多个IP，多线路设置处配置单臂多线路，前置网关做SNAT，如此实现单臂模式下VPN数据分别走相应的外网线路。前置网关设备有多线路且以源IP来进行选路时实现VPN数据分别走相应的外网线路。,实现前提：1、单臂设备有多线路授权；2、前置设备有多线路；3、前置设备支持根据源IP做策略路由。,主线路组平均分

11、配,8、多线路单臂模式下多线路,配置：,这里就是单臂多线路配置LAN口多IP的地方。,每配置一个IP，不要忘记点确定，否则切换到第2条线，刚才配置的就丢失了。,8、多线路单臂模式下多线路,配置：,第2个IP,LAN口本身并不能作为一个多线路IP使用。,LAN口IP和多线路IP必须在同一个网段，否则会有问题。,8、多线路单臂模式下多线路,配置：,线路1和线路2的IP也必须在同一网段。,8、多线路单臂模式下多线路,应用1：,1、做2个端口映射,2、单臂设备配置2个多线路IP（LAN口就随便配一个IP）,3、SW或者FW做策略路由，把不同的源IP交给不同的线路出去,4、单臂设备配置多线路设置部分，并

12、且配置多线路选路策略,5、针对用户启用多线路选路策略,IP1,IP2,总部,8、多线路单臂模式下多线路,应用2：,电信,网通,分支,总部,1、单臂设备配置2个多线路IP（LAN口就随便配一个IP）,2、SW或者FW做策略路由，把不同的源IP交给不同的线路出去,3、单臂设备配置多线路设置部分,4、总部设备配置多线路策略，本端线路1分别对应对端线路1、对端线路2,IP1,IP2,5、分支通过多线路和总部建立VPN连接,8、多线路单臂模式下多线路,9、VPN支持组播,原理：为了满足对VOIP、视频会议的需求，VPN4.3开始支持组播包。支持星型拓扑结构下总部对各个分支的组播，以及分支对总部的组播。移

13、动用户支持接收总部的组播数据，但不能向总部发组播数据。,配置：,10、VPN隧道内NAT,原理：在两个或多个分支间发送子网冲突的时候，对其中几个分支子网地址进行NAT，对有冲突的分支账户启用虚拟IP段（可按需求配置多个虚拟IP网段），分支对虚拟网卡送来的数据先替换源IP为虚拟IP，主机号保持不变，之后发送到总部，对总部送回的数据根据之前的替换映射关系还原源IP之后在发送到虚拟网卡。这样有相同内网段的几个分支都可以同时连上总部。,SNAT,注意：隧道内NAT只解决分支与分支网段冲突问题。分支与总部网段冲突无法解决。,IP地址是一对一的关系。比如原来是2.1，转换过去就是3.1，是对应的。（只转换

14、网络位）,10、VPN隧道内NAT,配置：,想要转换到哪个IP段的起始IP地址,想要转换到那个IP段的掩码,多少个网段需要转换,10、VPN隧道内NAT,应用：分支A和分支B的内网有冲突，想通过隧道间NAT实现跟总部的互访，并且这2个分支之间还要能通过总部互访。,SNAT（3.0）,SNAT（4.0）,分支A和分支B如何实现互访？,方案：分支A添加隧道间路由，源为2.0网段，目的为3.0网段。分支B添加隧道间路由，源为2.0网段，目的为4.0网段。源一定是真实网段，因为隧道间路由在SNAT之前。,11、VPN隧道内流控,应用：VPN隧道内流控主要用来解决某些隧道占用大量带宽，影响其他用户的使用

15、的情况。,注意：要注意的问题是不要因为流控导致该隧道内的流量迅速下降，只要不超过最大带宽限制就可以了。另外，流控只能针对隧道，没办法针对隧道内的具体应用！,11、VPN隧道内流控,配置：,12、跨运营商,Dlan4.1支持跨运营商功能（需要额外开授权，在连接管理里启用），此功能解决的是跨运营商导致的丢包问题，解决因为丢包带来的TCP滑动窗口变小而导致的传输效率低下问题，对于跨运营商不丢包而是延时大的环境没有效果。丢包率可以选择低丢包、高丢包和手动设置，根据不同的网络环境选择合适的参数进行部署，达到最佳效果。,在【序列号设置】里的高级里，可以打开跨运营商授权，在那里决定是否支持跨运营商。一旦开启

16、了跨运营商授权，则连到该设备来的所有用户都可以启用跨运营商功能。,12、跨运营商,13、隧道间路由,DLAN4.0新增的隧道间路由功能，实现了两点间在不直接建立VPN连接的情况下进行互访。隧道间路由采用策略路由实现，隧道间路由的优先级高于系统路由，系统路由中看不到添加的路由信息。,目的用户路由用户的下拉菜单=用户管理+连接管理的用户,13、隧道间路由,配置：只需在两个分支端配置隧道间路由。,13、隧道间路由-分支通过总部上网,-上网数据,-VPN数据,分支端配置：分支端在隧道间路由里勾上通过总部上网即可。分支设备必须是路由模式。,网络号为分支端内网网段，如果有多子网则也需要添加多条隧道间路由，

17、每条路由一个内网网段。,13、隧道间路由-分支通过总部上网,注意事项：总部和分支VPN的建立步骤不再阐述。总部前面的路由器（防火墙）上要代理分支这个网段上网，同时加到分支网段的路由指向设备LAN口。如果分支有多网段，则总部同样需要添加各个网段的代理上网规则及回包路由。,13、隧道间路由-分支通过总部上网,隧道间路由，A访问C的内网，同时C也访问A的内网。,13、隧道间路由场景1,A访问C的内网，同时还能访问C的多子网。,13、隧道间路由场景2,通过隧道间路由，移动端与移动端之间实现互访。,4.X两个移动直接可以互访，2.5x没隧道间路由。,13、隧道间路由场景3,移动端通过隧道间路由访问总部内

18、网和多子网,只需在移动上加隧道间路由。设备B上不用加。,13、隧道间路由场景3,14、标准ipsec对接案例,14、标准ipsec对接案例,Sinfor配置：,Cisco配置：crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2!crypto ipsec transform-set sinfor.ts esp-3des esp-md5-hmac mode tunnel!crypto map sinfor.m 100 ipsec-isakmp set transform-set sinfor.ts

19、set pfs group2 match address 110!interface FastEthernet0/0 crypto map sinfor.m!interface FastEthernet1/0!,14、标准ipsec对接案例,查看cisco连接状态：Router#sh cry isakmp sadst src state conn-id slot201.1.1.1 201.1.1.3 QM_IDLE 2 0201.1.1.3 201.1.1.1 QM_IDLE 3 0Router#sh crypto engine connections active ID Interface

20、IP-Address State Algorithm Encrypt Decrypt2000 FastEthernet0/0 201.1.1.3 set HMAC_MD5+3DES_56_C 0 4022001 FastEthernet0/0 201.1.1.3 set HMAC_MD5+3DES_56_C 405 0,14、标准ipsec对接案例,五、常见问题,1、DLAN两端版本必须对应才能连vpn；2、单臂分支不支持通过总部上网；3、有多条线路，配置了多线路就不能配标准IPSecVPN；4、第三方对接如果是第三方设备就占用一个分支序列号，但如果是自己的设备就不占分支序列号；5、老版本2.

21、52的要配置DLAN路由；6、。,VPN版本不一致，无法连接。,2.4及以前,2.51/2.52,4.X,五、常见问题,VPN显示连接成功，但无法使用此种情况下，首先检查总部是否对分支/移动用户进行了权限设置，比如缺省拒绝之类。如果有，去掉即可。如果没有，则检查总部是否有多子网，如果有，检查多子网和dlan路由是否都正确。如果这些也正确，检查需要访问的服务器的网关是否指向VPN设备，或者有关于分支的路由指向VPN设备、服务器上是否装有防火墙软件之类。还有一种可能是移动端没有启用VPN的虚拟网卡，也会导致这种情况，启用就好。,五、常见问题,深信服科技 客服部2010-02,疑问、意见及建议请反馈至：,