驗拓撲
圖 1-1
實驗需求
- 深圳總部在內網中旁掛 SSL VPN 作為 VPN 設備����,長沙分公司在內網中旁掛 WOC 作為 VPN 設備
- 配置 Sangfor VPN,深圳總部作為服務端���,長沙分公司作為客戶端分支,實現分支機構之間互通
實驗解法
在深圳總部的公網出口設備上配置端口映射����,使 Sangfor VPN 設備公網可見
分析:由于深圳總部的 VPN 設備旁掛在內網中����,所以需要在公網出口設備上配置端口映射�����。Sangfor VPN 可工作在 TCP 模式或 UDP 模式����,可根據實際需求選擇����。這里我們選擇 TCP,所以只需要映射 TCP4009 端口;如需要 UDP 模式�,則還需要映射 UDP4009 端口
深圳總部公網具有雙線路接入互聯網�,可根據需求分別配置電信和聯通的端口映射���,這里只映射電信線路的端口
由于 Sangfor VPN 采取 C/S 架構�,這里規劃深圳總部作為服務端,長沙分公司作為客戶端��,所以長沙分公司不需要映射端口
步驟 1:登錄深圳總部的 AD 設備����,映射 TCP4009 端口到 SSL VPN 設備,如圖 1-2 所示
圖 1-2
在深圳總部的 SSL VPN 設備上配置為 Sangfor VPN 的服務端
步驟 1:登錄 SSL VPN 設備����,進入 IPsec VPN 設置-基本設置,使用當前 IP 地址 + 端口的格式作為 Sangfor VPN 的 WebAgent 地址����,如圖 1-3 所示
圖 1-3
步驟 2:在上一步的頁面中點擊 共享密鑰�����,設置 Sangfor VPN 的隧道預共享密鑰,如圖 1-4 所示
圖 1-4
步驟 3:完成上述配置后�����,點擊確認����,設備會自動重啟 VPN 服務使配置生效
在 SSL VPN 設備上創建用戶,用于 VPN 客戶端接入時的身份驗證
步驟 1:在 SSL VPN 設備上點擊 IPsec VPN 設置-用戶管理���,點擊 新增用戶���,如圖 1-5 所示
圖 1-5
步驟 2:在新增用戶界面���,填寫要創建的用戶名�、密碼�,用戶類型選擇為 分支,如圖 1-6 所示
圖 1-6
步驟 3:確定后�����,深圳總部的 Sangfor VPN 服務端配置完成
在長沙分公司的 WOC 設備上配置為 Sangfor VPN 的客戶端
步驟 1:登錄長沙分公司的 WOC 設備�,點擊 Sangfor VPN-客戶端,點擊 新建�,創建 VPN 連接�����,如圖 1-7 所示
圖 1-7
步驟 2:在新建連接的界面中�����,填寫深圳總部的 WebAgent 名稱��,共享密鑰,以及用于身份驗證的用戶名和密碼���,由于之前總部映射的 4009 端口是 TCP,所以選擇傳輸類型為 TCP�����,如圖 1-8 所示
圖 1-8
步驟 3:點擊 保存并生效�����,設備自動重啟 VPN 服務
在深圳總部或長沙分公司的 VPN 設備上查看 VPN 狀態�����,發現 VPN 連接已建立,如圖 1-9 所示
圖 1-9
在 VPN 設備上配置本地子網
分析:Sangfor VPN 與 標準 IPsec VPN 不同���,沒有感興趣流的概念,所以需要 VPN 設備上具有到達對端私網的路由��。Sangfor VPN 采取宣告本地子網的方式來傳遞本地路由至對端私網
VPN 設備的直連網段會自動宣告�����,這里只需要手動配置宣告與 VPN 設備非直連的網段即可
根據網絡結構�����,深圳總部的 172.172.3.0/24 網段與 172.172.4.0/24 網段與 SSL VPN 設備都非直連���,如果需要開通該網段的遠程訪問權限����,即需要宣告這兩個網段
另外,由于長沙分公司內部只有一個網段,所以無需手動配置宣告
步驟 1:在深圳總部的 SSL VPN 設備上�,點擊 系統配置-網絡配置�,點擊 本地子網 標簽�����,點擊 新增�,添加 172.172.3.0/24 網段與 172.172.4.0/24 網段����,如圖 1-10 所示
圖 1-10
在終端的網關設備上配置私網路由
分析:因為本環境中,VPN 設備旁掛在網絡中,需要在網關設備上配置到達對端私網的路由�,下一跳指向 VPN 設備�,使私網報文可以正確發往 VPN 設備進行公網封裝
步驟 1:在深圳總公司登錄 AF 設備����,配置到達長沙私網網段的靜態路由���,下一跳指向 VPN 設備�����,如圖 1-11 所示
圖 1-11
步驟 2:在長沙分公司登錄 AC 設備,配置到達深圳私網網段的靜態路由,下一跳指向 VPN 設備,如圖 1-12 所示
圖 1-12
效果測試
在深圳總部的 PC 上測試�����,可以 Ping 通 長沙分公司的內網 PC�����,如圖 1-13 所示
圖 1-13
實驗拓撲
圖 1-1
實驗需求
- 深圳總部在內網中旁掛 SSL VPN 作為 VPN 設備
- 配置 Sangfor VPN PDLAN,深圳總部作為服務端,長沙分公司的 PC 模擬移動客戶端�����,通過 PC 直接接入到深圳總部
- 為了防止遠程用戶接入總部時信息外泄����,需要用戶接入 PDLAN 后,禁止訪問互聯網
實驗解法
在深圳總部的公網出口設備上配置端口映射���,使 Sangfor VPN 設備公網可見
此步驟與 Sangfor VPN 一致,詳細配置方法參照 Sangfor VPN 文檔
在深圳總部的 SSL VPN 設備上配置為 Sangfor VPN 的服務端
此步驟與 Sangfor VPN 一致�����,詳細配置方法參照 Sangfor VPN 文檔
在 SSL VPN 設備上創建用戶�����,用于 VPN 客戶端接入時的身份驗證
步驟 1:點擊 IPsec VPN 設置-虛擬 IP��,點擊 新增,配置為 PDLAN 接入的終端用戶分配虛擬 IP 地址�����,如圖 1-2 所示
圖 1-2
步驟 2:在 SSL VPN 設備上點擊 IPsec VPN 設置-用戶管理��,點擊 新增用戶,如圖 1-3 所示
圖 1-3
步驟 3:在新增用戶界面����,填寫要創建的用戶名����、密碼�,用戶類型選擇為 移動,并勾選 啟用虛擬 IP��,如圖 1-4 所示
圖 1-4
確認后����,完成 PDLAN 服務端配置
在深圳總部的 SSL VPN 設備上配置本地子網
此步驟與 Sangfor VPN 一致,詳細配置方法參照 Sangfor VPN 文檔
在終端的網關設備上配置私網路由
分析:因為本環境中�����,深圳總部的 VPN 設備旁掛在網絡中����,需要在終端網關設備上配置到達 PDLAN 終端虛擬 IP 地址的路由,下一跳指向 VPN 設備�,使私網報文可以正確發往 VPN 設備進行公網封裝
由于長沙分公司的 PC 是通過 PDLAN 直接接入到深圳總部的 VPN���,所以無需配置回包路由
步驟 1:在深圳總公司登錄 AF 設備��,配置到達 PDLAN 終端虛擬 IP 網段的靜態路由,下一跳指向 VPN 設備���,如圖 1-5 所示
圖 1-5
配置遠程用戶接入 PDLAN 時,禁止訪問互聯網
分析:考慮到遠程移動用戶接入 PDLAN 的環境不可控,可能會需要用戶接入 PDLAN 后�,禁止訪問互聯網來防止公司信息外泄
步驟 1:再次在 SSL VPN 設備上進入 用戶管理 界面�����,在移動用戶編輯界面中勾選 接入總部后禁止該用戶上網���,如圖 1-6 所示
圖 1-6
在移動遠程終端上配置接入 PDLAN
步驟 1:在移動遠程終端上下載并安裝 PDLAN 客戶端,下載地址:http://download.sangfor.com.cn/download/product/ipsec/PDLAN4.32_R3_SETUP(20151105).zip
步驟 2:打開 PDLAN 客戶端�����,點擊 PDLAN-基本設置����,填寫深圳總部的 WebAgent 地址,和共享密鑰��,填寫完畢后��,點擊 設置生效����,如圖 1-7 所示
圖 1-7
步驟 3:點擊 主連接參數設置��,點擊 修改�����,填寫用于身份驗證的用戶名和密碼,并選擇傳輸模式為 TCP,完成后�,點擊 設置生效���,如圖 1-8 所示
圖 1-8
步驟 4:點擊 VPN 設置�,檢查 PDLAN 已經成功連接���,如圖 1-9 所示
圖 1-9
效果測試
步驟 1:在長沙分公司的 PC 上查看網絡連接����,發現新增了名為 Sangfor VPN Connection 的虛擬網卡,并自動獲得了 IP 地址 6.6.6.1���,即之前在深圳總部 VPN 設備上創建的虛擬 IP 地址�����,如圖 1-10 所示
圖 1-10
在長沙分公司的 PC 上測試���,可以 Ping 通深圳總部的內網 PC���,如圖 1-11 所示
圖 1-11
此時���,接入 PDLAN 的 PC 本地連接的網關已經被強制清除����,且不能進行手動配置����,所以無法訪問互聯網,如圖 1-12 所示
圖 1-12
