《SANGFOR_DLAN技术fix.ppt》由会员分享,可在线阅读,更多相关《SANGFOR_DLAN技术fix.ppt(73页珍藏版)》请在三一文库上搜索。
1、SANGFOR DLAN技术,2010-02,深信服科技客服部 二零一零年二月,培训目的,1、掌握DLAN技术的原理 2、掌握DLAN常用功能的原理和配置,大 纲,一、DLAN技术介绍 二、DLAN基本配置 三、DLAN高级配置 四、DLAN综合实验 五、DLAN常见问题,一、DLAN技术介绍,1、SINFOR DLAN术语 2、SINFOR DLAN互联基础 3、SINFOR DLAN新老版本区别,1、SINFOR DLAN术语,DLAN总部、DLAN分支、DLAN移动 Webagent寻址 直连、非直连 虚拟网卡、虚拟IP、虚拟IP池,DLAN 总部、DLAN分支、DLAN移动,Webag
2、ent寻址,在寻址过程中,所有信息均使用DES加密。,电信: (202.96.137.75),网通:,直连与非直连,直连:即我们设备本身有公网IP 或者能够被从公网访问的到。 非直连:即我们设备本身没有公网IP或者无法从公网去访问到。 我们的设备之间要能正常互相连接VPN,则至少要保证一端为直连。,虚拟网卡、虚拟ip、虚拟ip池,虚拟网卡 a、只在移动PDLAN上生成 b、承载虚拟IP地址 c、操作系统添加本地路由 虚拟IP、虚拟IP池 a、由总部端设定虚拟IP池范围 b、虚拟IP分配到移动PDLAN上,SINFOR DLAN 互联,1、互联条件 2、互联过程,1、SINFOR DLAN 互联
3、的条件,a、至少有一端是总部,且有足够的授权。硬件与硬件之间互连不需要授权。 b、至少有一端在公网上可访问“可寻址”或固定公网IP。 c、建立VPN两端的内网地址不能冲突。 d、建立VPN两端的版本要匹配。,2、DLAN互联的过程,最基本的三步曲 a、寻址与谁建立连接(找到对方) b、认证提交正确、充分的信息 c、策略选路策略、权限策略、VPN路由策略、安全策略(移动用户,4.x版本无此功能)、VPN专线(移动用户)、分配虚拟IP(移动用户),二、SINFOR DLAN基本配置,一、硬件间互联 二、软件移动和硬件互联,1、硬件间互联,DLAN总部设置,设置上网 设置Webagent(寻址) 建
4、用户(认证) 设策略(策略),DLAN分支设置,填一个连接管理,设置上网,DLAN总部配置, 设置Webagent(寻址) 建用户(认证) 设策略(策略),DLAN移动设置,建一个vpn连接(基本设置设webagent、主连接参数设认证信息),设置上网,总部单臂时注意在路由器上做端口映射和加回包路由。,DLAN总部配置,移动端配置,注意点右下角的设置生效,注意点右下角的设置生效,三、DLAN高级配置,1、用户第三方认证 2、用户管理 3、加密算法 4、硬件鉴权 5、DKEY 6、内网权限 7、FW对DLAN的控制 8、多线路 9、VPN内组播 10、VPN隧道内NAT,11、VPN隧道内流控
5、12、跨运营商 13、隧道间路由 14、标准IPSEC对接,1、用户第三方认证,支持本地认证和LDAP认证、Radius认证(注意:S5100及以下的小硬件不支持)基本配置与SSL的第三方认证相同,可对比学习。(注意:暂不支持指定搜索路径,必须使用域管理员账号),2、用户管理,新增用户组(使用同种加密算法的用户的逻辑组合、是否是用网上邻居、具有相同访问权限);恢复了多用户登录功能。,3、加密算法,在原来2.5x仅支持AES的基础上扩展支持了多种加密(DES、3DES、AES)和认证(MD5、SHA-1)算法,并可根据客户需求增加其他算法。 注:认证算法用于配置标准IPsec.,4、硬件鉴权,通
6、过捆绑对端机器的硬件信息,即使在有人窃取到对端接入的用户名密码也无法接入,保证信息的安全。,5、DKEY,通过将连接信息存储在USB Key中,实现客户端零配置需求,同时保证在用户名密码泄露的情况下,光凭用户名密码无法接入总部,保证信息的安全。(只针对移动用户),6、内网权限,权限设置更加细化,可实现双向的权限控制-可针对访问数据的源IP、端口,目的IP、端口进行控制(类似标准IPSec的出入站策略),分支访问过来的时候确实只能访问192.168.10.250这台服务器了,但是同时总部也只有192.168.10.250这台电脑能访问分支,总部其他电脑访问不到分支。,源:192.168.20.1
7、0 目标:192.168.20.12,目标IP不符合内网权限条件,缺省拒绝。,192.168.10.0/24,192.168.20.0/24,6、内网权限,权限设置更加细化,可实现双向的权限控制-可针对访问数据的源IP、端口,目的IP、端口进行控制(类似标准IPSec的出入站策略),2.5x,4.x,2.5x,6、内网权限新老版本比较,案例: “针对访问数据的源IP、端口,目的IP、端口进行权限控制”,老版本的内网权限,只能细致到一条隧道(账号),但对使用同一隧道(账号)接入的不同IP就无法做限制了,现在有了“源”的选项则可实现权限细致到某一IP。 注意这里的“源”是指VPN连接的对端-即,在
8、那里设置的内网权限,则“源”一定是VPN连接对端的内网。,6、内网权限,7、FW对DLAN的控制,防火墙的规则,对在VPNLAN、WAN、DMZ之间传输的数据都生效,且NAT规则对VPN虚拟网卡也生效(通过目的路由用户上网)。设置方法,同原有的过滤规则、NAT设置类似,只是要注意数据传输方向上源IP、目的IP的设置。,8、多线路,通过VPN多线路技术可以将VPN数据同时在不同的物理线路上跑,以获得大于单链路带宽的传输速度或者将多个物理链路作为VPN线路的备份,以达到冗余的目的。,带宽叠加 线路主备 动态适应 平均分配,8、多线路选路策略,带宽叠加:把连接平均分配到2条线路上去,同一个连接始终只
9、走同一条线路。,8、多线路选路策略,当主线路组中的VPN线路(1-1)和(2-2)线路延时差值大于200ms时,较差的线路将不参与VPN数据的承载(即使它好的,并且在主线路组中)。,8、多线路带宽叠加,平均分配:就是按ip包来平均分配。假设建立了两条隧道的情况,则第一个ip包走隧道1,第二个ip包走隧道2,第三个又走隧道1,第四个又走隧道2,以此类推。,8、多线路选路策略,返回,4,5,3,2,1,8、多线路平均分配,线路主备:同时和对端的多条线路建立VPN连接,但是数据只从指定的主线路上传输,当主线路断掉后,则会切换为备份线路来传输;当主线路又恢复后,则又切回主线路传输。,8、多线路选路策略
10、,如果主线路组有多条VPN线路,则只有当主线路组的VPN线路全部都不可用时,才会切换到备份线路组中的VPN线路上,X,8、多线路线路主备,动态适应:vpn建立之前做一个tcp探测,选延时小的线路建立vpn隧道。建立好后,如果该线路VPN一直不断,则一直使用这个vpn隧道。,8、多线路选路策略,当阈值设置成0时,设备会在主线路组中动态探测,选择最优的线路做为VPN线路。,?,?,要连vpn到总部,8、多线路动态适应,IP2,IP1,原理: 单臂部署时,在VPN设备网口设置中配置多个IP,多线路设置处配置单臂多线路,前置网关做SNAT,如此实现单臂模式下VPN数据分别走相应的外网线路。前置网关设备
11、有多线路且以源IP来进行选路时实现VPN数据分别走相应的外网线路。,实现前提: 1、单臂设备有多线路授权; 2、前置设备有多线路; 3、前置设备支持根据源IP做策略路由。,主线路组平均分配,8、多线路单臂模式下多线路,配置:,这里就是单臂多线路配置LAN口多IP的地方。,每配置一个IP,不要忘记点确定,否则切换到第2条线,刚才配置的就丢失了。,8、多线路单臂模式下多线路,配置:,第2个IP,LAN口本身并不能作为一个多线路IP使用。,LAN口IP和多线路IP必须在同一个网段,否则会有问题。,8、多线路单臂模式下多线路,配置:,线路1和线路2的IP也必须在同一网段。,8、多线路单臂模式下多线路,
12、应用1:,1、做2个端口映射,2、单臂设备配置2个多线路IP(LAN口就随便配一个IP),3、SW或者FW做策略路由,把不同的源IP交给不同的线路出去,4、单臂设备配置多线路设置部分,并且配置多线路选路策略,5、针对用户启用多线路选路策略,IP1,IP2,总部,8、多线路单臂模式下多线路,应用2:,电信,网通,分支,总部,1、单臂设备配置2个多线路IP(LAN口就随便配一个IP),2、SW或者FW做策略路由,把不同的源IP交给不同的线路出去,3、单臂设备配置多线路设置部分,4、总部设备配置多线路策略,本端线路1分别对应对端线路1、对端线路2,IP1,IP2,5、分支通过多线路和总部建立VPN连
13、接,8、多线路单臂模式下多线路,9、VPN支持组播,原理: 为了满足对VOIP、视频会议的需求,VPN4.3开始支持组播包。 支持星型拓扑结构下总部对各个分支的组播,以及分支对总部的组播。 移动用户支持接收总部的组播数据,但不能向总部发组播数据。,配置:,10、VPN隧道内NAT,原理: 在两个或多个分支间发送子网冲突的时候,对其中几个分支子网地址进行NAT,对有冲突的分支账户启用虚拟IP段(可按需求配置多个虚拟IP网段),分支对虚拟网卡送来的数据先替换源IP为虚拟IP,主机号保持不变,之后发送到总部,对总部送回的数据根据之前的替换映射关系还原源IP之后在发送到虚拟网卡。 这样有相同内网段的几
14、个分支都可以同时连上总部。,SNAT,注意: 隧道内NAT只解决分支与分支网段冲突问题。 分支与总部网段冲突无法解决。,IP地址是一对一的关系。 比如原来是2.1,转换过去就是3.1,是对应的。 (只转换网络位),10、VPN隧道内NAT,配置:,想要转换到哪个IP段的起始IP地址,想要转换到那个IP段的掩码,多少个网段需要转换,10、VPN隧道内NAT,应用:分支A和分支B的内网有冲突,想通过隧道间NAT实现跟总部的互访,并且这2个分支之间还要能通过总部互访。,SNAT(3.0),SNAT(4.0),分支A和分支B如何实现互访?,方案: 分支A添加隧道间路由,源为2.0网段,目的为3.0网段
15、。 分支B添加隧道间路由,源为2.0网段,目的为4.0网段。 源一定是真实网段,因为隧道间路由在SNAT之前。,11、VPN隧道内流控,应用: VPN隧道内流控主要用来解决某些隧道占用大量带宽,影响其他用户的使用的情况。,注意: 要注意的问题是不要因为流控导致该隧道内的流量迅速下降,只要不超过最大带宽限制就可以了。 另外,流控只能针对隧道,没办法针对隧道内的具体应用!,11、VPN隧道内流控,配置:,12、跨运营商,Dlan4.1支持跨运营商功能(需要额外开授权,在连接管理里启用),此功能解决的是跨运营商导致的丢包问题,解决因为丢包带来的TCP滑动窗口变小而导致的传输效率低下问题,对于跨运营商
16、不丢包而是延时大的环境没有效果。 丢包率可以选择低丢包、高丢包和手动设置,根据不同的网络环境选择合适的参数进行部署,达到最佳效果。,在【序列号设置】里的高级里,可以打开跨运营商授权,在那里决定是否支持跨运营商。 一旦开启了跨运营商授权,则连到该设备来的所有用户都可以启用跨运营商功能。,12、跨运营商,13、隧道间路由,DLAN4.0新增的隧道间路由功能,实现了两点间在不直接建立VPN连接的情况下进行互访。隧道间路由采用策略路由实现,隧道间路由的优先级高于系统路由,系统路由中看不到添加的路由信息。,目的用户路由用户的下拉菜单=用户管理+连接管理的用户,13、隧道间路由,配置:只需在两个分支端配置
17、隧道间路由。,13、隧道间路由-分支通过总部上网,- 上网数据,- VPN数据,分支端配置: 分支端在隧道间路由里勾上通过总部上网即可。分支设备必须是路由模式。,网络号为分支端内网网段,如果有多子网则也需要添加多条隧道间路由,每条路由一个内网网段。,13、隧道间路由-分支通过总部上网,注意事项: 总部和分支VPN的建立步骤不再阐述。 总部前面的路由器(防火墙)上要代理分支这个网段上网,同时加到分支网段的路由指向设备LAN口。 如果分支有多网段,则总部同样需要添加各个网段的代理上网规则及回包路由。,13、隧道间路由-分支通过总部上网,隧道间路由,A访问C的内网,同时C也访问A的内网。,13、隧道
18、间路由场景1,A访问C的内网,同时还能访问C的多子网。,13、隧道间路由场景2,通过隧道间路由,移动端与移动端之间实现互访。,4.X两个移动直接可以互访,2.5x没隧道间路由。,13、隧道间路由场景3,移动端通过隧道间路由访问总部内网和多子网,只需在移动上加隧道间路由。设备B上不用加。,13、隧道间路由场景3,14、标准ipsec对接案例,14、标准ipsec对接案例,Sinfor配置:,Cisco配置: crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key s
19、infor address 201.1.1.1 ! crypto ipsec transform-set sinfor.ts esp-3des esp-md5-hmac mode tunnel ! crypto map sinfor.m 100 ipsec-isakmp set peer 201.1.1.1 set transform-set sinfor.ts set pfs group2 match address 110 ! interface FastEthernet0/0 ip address 201.1.1.3 255.255.255.0 crypto map sinfor.m !
20、 interface FastEthernet1/0 ip address 192.168.30.1 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 201.1.1.1 access-list 110 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255,14、标准ipsec对接案例,查看cisco连接状态: Router#sh cry isakmp sa dst src state conn-id slot 201.1.1.1 201.1.1.3 QM_IDLE 2 0 201.1.1.3 201.1
21、.1.1 QM_IDLE 3 0 Router#sh crypto engine connections active ID Interface IP-Address State Algorithm Encrypt Decrypt 2000 FastEthernet0/0 201.1.1.3 set HMAC_MD5+3DES_56_C 0 402 2001 FastEthernet0/0 201.1.1.3 set HMAC_MD5+3DES_56_C 405 0,14、标准ipsec对接案例,五、常见问题,1、 DLAN两端版本必须对应才能连vpn; 2、单臂分支不支持通过总部上网; 3、
22、有多条线路,配置了多线路就不能配标准IPSecVPN; 4、第三方对接如果是第三方设备就占用一个分支序列号,但如果是自己的设备就不占分支序列号; 5、老版本2.52的要配置DLAN路由; 6、。 。,VPN版本不一致,无法连接。,2.4及以前,2.51/2.52,4.X,五、常见问题,VPN显示连接成功,但无法使用 此种情况下,首先检查总部是否对分支/移动用户进行了权限设置,比如缺省拒绝之类。如果有,去掉即可。如果没有,则检查总部是否有多子网,如果有,检查多子网和dlan路由是否都正确。如果这些也正确,检查需要访问的服务器的网关是否指向VPN设备,或者有关于分支的路由指向VPN设备、服务器上是否装有防火墙软件之类。还有一种可能是移动端没有启用VPN的虚拟网卡,也会导致这种情况,启用就好。,五、常见问题,深信服科技 客服部 2010-02,疑问、意见及建议请反馈至:,