《SANGFOR-DLAN技术.ppt》由会员分享,可在线阅读,更多相关《SANGFOR-DLAN技术.ppt(73页珍藏版)》请在三一办公上搜索。
1、SANGFOR DLAN技术,2010-02,深信服科技客服部 二零一零年二月,培训目的,1、掌握DLAN技术的原理2、掌握DLAN常用功能的原理和配置,大 纲,一、DLAN技术介绍二、DLAN基本配置三、DLAN高级配置四、DLAN综合实验五、DLAN常见问题,一、DLAN技术介绍,1、SINFOR DLAN术语2、SINFOR DLAN互联基础3、SINFOR DLAN新老版本区别,1、SINFOR DLAN术语,DLAN总部、DLAN分支、DLAN移动Webagent寻址直连、非直连虚拟网卡、虚拟IP、虚拟IP池,DLAN 总部、DLAN分支、DLAN移动,Webagent寻址,在寻址过
2、程中,所有信息均使用DES加密。,电信:(),网通:,直连与非直连,直连:即我们设备本身有公网IP 或者能够被从公网访问的到。非直连:即我们设备本身没有公网IP或者无法从公网去访问到。我们的设备之间要能正常互相连接VPN,则至少要保证一端为直连。,虚拟网卡、虚拟ip、虚拟ip池,虚拟网卡 a、只在移动PDLAN上生成 b、承载虚拟IP地址 c、操作系统添加本地路由虚拟IP、虚拟IP池 a、由总部端设定虚拟IP池范围 b、虚拟IP分配到移动PDLAN上,SINFOR DLAN 互联,1、互联条件2、互联过程,1、SINFOR DLAN 互联的条件,a、至少有一端是总部,且有足够的授权。硬件与硬件
3、之间互连不需要授权。b、至少有一端在公网上可访问“可寻址”或固定公网IP。c、建立VPN两端的内网地址不能冲突。d、建立VPN两端的版本要匹配。,2、DLAN互联的过程,最基本的三步曲a、寻址与谁建立连接(找到对方)b、认证提交正确、充分的信息c、策略选路策略、权限策略、VPN路由策略、安全策略(移动用户,4.x版本无此功能)、VPN专线(移动用户)、分配虚拟IP(移动用户),二、SINFOR DLAN基本配置,一、硬件间互联二、软件移动和硬件互联,1、硬件间互联,DLAN总部设置,设置上网设置Webagent(寻址)建用户(认证)设策略(策略),DLAN分支设置,填一个连接管理,设置上网,D
4、LAN总部配置,DLAN分支配置,查看DLAN连接状态,移动和硬件总部互联,DLAN总部设置,设置上网设置Webagent(寻址)建用户(认证)设策略(策略),DLAN移动设置,建一个vpn连接(基本设置设webagent、主连接参数设认证信息),设置上网,总部单臂时注意在路由器上做端口映射和加回包路由。,DLAN总部配置,移动端配置,注意点右下角的设置生效,注意点右下角的设置生效,三、DLAN高级配置,1、用户第三方认证2、用户管理3、加密算法4、硬件鉴权5、DKEY6、内网权限7、FW对DLAN的控制8、多线路9、VPN内组播10、VPN隧道内NAT,11、VPN隧道内流控12、跨运营商1
5、3、隧道间路由14、标准IPSEC对接,1、用户第三方认证,支持本地认证和LDAP认证、Radius认证(注意:S5100及以下的小硬件不支持)基本配置与SSL的第三方认证相同,可对比学习。(注意:暂不支持指定搜索路径,必须使用域管理员账号),2、用户管理,新增用户组(使用同种加密算法的用户的逻辑组合、是否是用网上邻居、具有相同访问权限);恢复了多用户登录功能。,3、加密算法,在原来2.5x仅支持AES的基础上扩展支持了多种加密(DES、3DES、AES)和认证(MD5、SHA-1)算法,并可根据客户需求增加其他算法。注:认证算法用于配置标准IPsec.,4、硬件鉴权,通过捆绑对端机器的硬件信
6、息,即使在有人窃取到对端接入的用户名密码也无法接入,保证信息的安全。,5、DKEY,通过将连接信息存储在USB Key中,实现客户端零配置需求,同时保证在用户名密码泄露的情况下,光凭用户名密码无法接入总部,保证信息的安全。(只针对移动用户),6、内网权限,权限设置更加细化,可实现双向的权限控制-可针对访问数据的源IP、端口,目的IP、端口进行控制(类似标准IPSec的出入站策略),分支访问过来的时候确实只能访问这台服务器了,但是同时总部也只有这台电脑能访问分支,总部其他电脑访问不到分支。,源:192.168.20.10 目标:,目标IP不符合内网权限条件,缺省拒绝。,6、内网权限,权限设置更加
7、细化,可实现双向的权限控制-可针对访问数据的源IP、端口,目的IP、端口进行控制(类似标准IPSec的出入站策略),2.5x,4.x,2.5x,6、内网权限新老版本比较,案例:“针对访问数据的源IP、端口,目的IP、端口进行权限控制”,老版本的内网权限,只能细致到一条隧道(账号),但对使用同一隧道(账号)接入的不同IP就无法做限制了,现在有了“源”的选项则可实现权限细致到某一IP。注意这里的“源”是指VPN连接的对端-即,在那里设置的内网权限,则“源”一定是VPN连接对端的内网。,6、内网权限,7、FW对DLAN的控制,防火墙的规则,对在VPNLAN、WAN、DMZ之间传输的数据都生效,且NA
8、T规则对VPN虚拟网卡也生效(通过目的路由用户上网)。设置方法,同原有的过滤规则、NAT设置类似,只是要注意数据传输方向上源IP、目的IP的设置。,8、多线路,通过VPN多线路技术可以将VPN数据同时在不同的物理线路上跑,以获得大于单链路带宽的传输速度或者将多个物理链路作为VPN线路的备份,以达到冗余的目的。,带宽叠加线路主备动态适应平均分配,8、多线路选路策略,带宽叠加:把连接平均分配到2条线路上去,同一个连接始终只走同一条线路。,8、多线路选路策略,当主线路组中的VPN线路(1-1)和(2-2)线路延时差值大于200ms时,较差的线路将不参与VPN数据的承载(即使它好的,并且在主线路组中)
9、。,8、多线路带宽叠加,平均分配:就是按ip包来平均分配。假设建立了两条隧道的情况,则第一个ip包走隧道1,第二个ip包走隧道2,第三个又走隧道1,第四个又走隧道2,以此类推。,8、多线路选路策略,返回,4,5,3,2,1,8、多线路平均分配,线路主备:同时和对端的多条线路建立VPN连接,但是数据只从指定的主线路上传输,当主线路断掉后,则会切换为备份线路来传输;当主线路又恢复后,则又切回主线路传输。,8、多线路选路策略,如果主线路组有多条VPN线路,则只有当主线路组的VPN线路全部都不可用时,才会切换到备份线路组中的VPN线路上,X,8、多线路线路主备,动态适应:vpn建立之前做一个tcp探测
10、,选延时小的线路建立vpn隧道。建立好后,如果该线路VPN一直不断,则一直使用这个vpn隧道。,8、多线路选路策略,当阈值设置成0时,设备会在主线路组中动态探测,选择最优的线路做为VPN线路。,?,?,要连vpn到总部,8、多线路动态适应,IP2,IP1,原理:单臂部署时,在VPN设备网口设置中配置多个IP,多线路设置处配置单臂多线路,前置网关做SNAT,如此实现单臂模式下VPN数据分别走相应的外网线路。前置网关设备有多线路且以源IP来进行选路时实现VPN数据分别走相应的外网线路。,实现前提:1、单臂设备有多线路授权;2、前置设备有多线路;3、前置设备支持根据源IP做策略路由。,主线路组平均分
11、配,8、多线路单臂模式下多线路,配置:,这里就是单臂多线路配置LAN口多IP的地方。,每配置一个IP,不要忘记点确定,否则切换到第2条线,刚才配置的就丢失了。,8、多线路单臂模式下多线路,配置:,第2个IP,LAN口本身并不能作为一个多线路IP使用。,LAN口IP和多线路IP必须在同一个网段,否则会有问题。,8、多线路单臂模式下多线路,配置:,线路1和线路2的IP也必须在同一网段。,8、多线路单臂模式下多线路,应用1:,1、做2个端口映射,2、单臂设备配置2个多线路IP(LAN口就随便配一个IP),3、SW或者FW做策略路由,把不同的源IP交给不同的线路出去,4、单臂设备配置多线路设置部分,并
12、且配置多线路选路策略,5、针对用户启用多线路选路策略,IP1,IP2,总部,8、多线路单臂模式下多线路,应用2:,电信,网通,分支,总部,1、单臂设备配置2个多线路IP(LAN口就随便配一个IP),2、SW或者FW做策略路由,把不同的源IP交给不同的线路出去,3、单臂设备配置多线路设置部分,4、总部设备配置多线路策略,本端线路1分别对应对端线路1、对端线路2,IP1,IP2,5、分支通过多线路和总部建立VPN连接,8、多线路单臂模式下多线路,9、VPN支持组播,原理:为了满足对VOIP、视频会议的需求,VPN4.3开始支持组播包。支持星型拓扑结构下总部对各个分支的组播,以及分支对总部的组播。移
13、动用户支持接收总部的组播数据,但不能向总部发组播数据。,配置:,10、VPN隧道内NAT,原理:在两个或多个分支间发送子网冲突的时候,对其中几个分支子网地址进行NAT,对有冲突的分支账户启用虚拟IP段(可按需求配置多个虚拟IP网段),分支对虚拟网卡送来的数据先替换源IP为虚拟IP,主机号保持不变,之后发送到总部,对总部送回的数据根据之前的替换映射关系还原源IP之后在发送到虚拟网卡。这样有相同内网段的几个分支都可以同时连上总部。,SNAT,注意:隧道内NAT只解决分支与分支网段冲突问题。分支与总部网段冲突无法解决。,IP地址是一对一的关系。比如原来是2.1,转换过去就是3.1,是对应的。(只转换
14、网络位),10、VPN隧道内NAT,配置:,想要转换到哪个IP段的起始IP地址,想要转换到那个IP段的掩码,多少个网段需要转换,10、VPN隧道内NAT,应用:分支A和分支B的内网有冲突,想通过隧道间NAT实现跟总部的互访,并且这2个分支之间还要能通过总部互访。,SNAT(3.0),SNAT(4.0),分支A和分支B如何实现互访?,方案:分支A添加隧道间路由,源为2.0网段,目的为3.0网段。分支B添加隧道间路由,源为2.0网段,目的为4.0网段。源一定是真实网段,因为隧道间路由在SNAT之前。,11、VPN隧道内流控,应用:VPN隧道内流控主要用来解决某些隧道占用大量带宽,影响其他用户的使用
15、的情况。,注意:要注意的问题是不要因为流控导致该隧道内的流量迅速下降,只要不超过最大带宽限制就可以了。另外,流控只能针对隧道,没办法针对隧道内的具体应用!,11、VPN隧道内流控,配置:,12、跨运营商,Dlan4.1支持跨运营商功能(需要额外开授权,在连接管理里启用),此功能解决的是跨运营商导致的丢包问题,解决因为丢包带来的TCP滑动窗口变小而导致的传输效率低下问题,对于跨运营商不丢包而是延时大的环境没有效果。丢包率可以选择低丢包、高丢包和手动设置,根据不同的网络环境选择合适的参数进行部署,达到最佳效果。,在【序列号设置】里的高级里,可以打开跨运营商授权,在那里决定是否支持跨运营商。一旦开启
16、了跨运营商授权,则连到该设备来的所有用户都可以启用跨运营商功能。,12、跨运营商,13、隧道间路由,DLAN4.0新增的隧道间路由功能,实现了两点间在不直接建立VPN连接的情况下进行互访。隧道间路由采用策略路由实现,隧道间路由的优先级高于系统路由,系统路由中看不到添加的路由信息。,目的用户路由用户的下拉菜单=用户管理+连接管理的用户,13、隧道间路由,配置:只需在两个分支端配置隧道间路由。,13、隧道间路由-分支通过总部上网,-上网数据,-VPN数据,分支端配置:分支端在隧道间路由里勾上通过总部上网即可。分支设备必须是路由模式。,网络号为分支端内网网段,如果有多子网则也需要添加多条隧道间路由,
17、每条路由一个内网网段。,13、隧道间路由-分支通过总部上网,注意事项:总部和分支VPN的建立步骤不再阐述。总部前面的路由器(防火墙)上要代理分支这个网段上网,同时加到分支网段的路由指向设备LAN口。如果分支有多网段,则总部同样需要添加各个网段的代理上网规则及回包路由。,13、隧道间路由-分支通过总部上网,隧道间路由,A访问C的内网,同时C也访问A的内网。,13、隧道间路由场景1,A访问C的内网,同时还能访问C的多子网。,13、隧道间路由场景2,通过隧道间路由,移动端与移动端之间实现互访。,4.X两个移动直接可以互访,2.5x没隧道间路由。,13、隧道间路由场景3,移动端通过隧道间路由访问总部内
18、网和多子网,只需在移动上加隧道间路由。设备B上不用加。,13、隧道间路由场景3,14、标准ipsec对接案例,14、标准ipsec对接案例,Sinfor配置:,Cisco配置:crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2!crypto ipsec transform-set sinfor.ts esp-3des esp-md5-hmac mode tunnel!crypto map sinfor.m 100 ipsec-isakmp set transform-set sinfor.ts
19、set pfs group2 match address 110!interface FastEthernet0/0 crypto map sinfor.m!interface FastEthernet1/0!,14、标准ipsec对接案例,查看cisco连接状态:Router#sh cry isakmp sadst src state conn-id slot201.1.1.1 201.1.1.3 QM_IDLE 2 0201.1.1.3 201.1.1.1 QM_IDLE 3 0Router#sh crypto engine connections active ID Interface
20、IP-Address State Algorithm Encrypt Decrypt2000 FastEthernet0/0 201.1.1.3 set HMAC_MD5+3DES_56_C 0 4022001 FastEthernet0/0 201.1.1.3 set HMAC_MD5+3DES_56_C 405 0,14、标准ipsec对接案例,五、常见问题,1、DLAN两端版本必须对应才能连vpn;2、单臂分支不支持通过总部上网;3、有多条线路,配置了多线路就不能配标准IPSecVPN;4、第三方对接如果是第三方设备就占用一个分支序列号,但如果是自己的设备就不占分支序列号;5、老版本2.
21、52的要配置DLAN路由;6、。,VPN版本不一致,无法连接。,2.4及以前,2.51/2.52,4.X,五、常见问题,VPN显示连接成功,但无法使用此种情况下,首先检查总部是否对分支/移动用户进行了权限设置,比如缺省拒绝之类。如果有,去掉即可。如果没有,则检查总部是否有多子网,如果有,检查多子网和dlan路由是否都正确。如果这些也正确,检查需要访问的服务器的网关是否指向VPN设备,或者有关于分支的路由指向VPN设备、服务器上是否装有防火墙软件之类。还有一种可能是移动端没有启用VPN的虚拟网卡,也会导致这种情况,启用就好。,五、常见问题,深信服科技 客服部2010-02,疑问、意见及建议请反馈至:,
