说明:其中“一”代表第1章,“1”代表某章第1个知识点,依此类推。
初级PPT培训 一、基本功能介绍 1、Snagfor VPN优势 1)支持两端均为非固定IP的公网环境。 2)VPN多线路利用技术,实现VPN链路的负载均衡和备份。 3)VPN专线技术,实现VPN网络与公网的隔离。 4)隧道间路由技术,分支用户通过总部上网,实现总部的统一管控。 5)隧道间NATl技术,解决多个分支网络IP冲突的问题。 6)隧道内流控技术,实现带宽合理分配。
2、线路备份:IP1#IP2:4009 webagent寻址使用Des加密。
3、Sangfor Dlan建立条件 1)至少有一端是总部,且有足够的授权。 2)至少有一端的VPN端口在公网上可访问(直连)。 3)建立VPN连接的两个设备内网网段不能冲突。 4)建立VPN连接的两端设备设备VPN版本要匹配。
二、设备部署模式 1、单臂部署注意点: 需要在内网网关上添加路由,目标IP为VPN对端内网网段,下一跳交给本端的VPN设备LAN口地址。
三、Dlan互联基础配置 注:当VPN使用了移动用户接入,或VPN分支用户启用了隧道内NAT时,才需要配置虚拟IP池,否则可不配置。
四、Dlan多线路应用场景及配置 1、网关多线路模式下需要开通多线路授权。
五、第三方IPSec对接互联配置 私密性:confidentiality 完整性:integrity 真实性:origin authentication 标准IPSec 注意点: 1、当两端有一端是拨号的情况下,只能采用野蛮模式。 2、从dlan 5.0开始,sangfor vpn设备支持在单臂模式下部署标准IPSec,但在单臂模式下只支持野蛮模式。
高级培训PPT: 高级 一、某公司 DLAN互联进阶配置 1、Webagent技术 解决服务端通过Adsl拨号上网,用户无法通过固定地址连接VPN的问题。
2、隧道间路由 在分支设备中配置隧道间路由实现分支网段互访。
3、隧道内NAT 当两个分支网段相同时,通过配置隧道内NAT来实现总部回包问题。 注意:如果分支都是网关部署,设备支持;如果分支两端是单臂部署,需要修改Lan口IP地址或者升级到Dlan 4.3R2解决。
4、跨运营商访问优化 总部、分支出口线路为不同运营商,VPN访问速度慢。 注:跨运营商功能只能优化访问丢包的问题。
二、Dlan常见故障排错 1、无法建立VPN连接 1)查看连接状态。如果有连接,但看不到对端Internet IP,且无法访问对端,检查对端是否映射UDP 4009端口。 2)系统日志。 3)检查设备的部署方式和配置。 4)测试Webagent地址是否有效以及总部VPN连接端口是否通。
三、第三方对接常见问题及原因 1、DPD 死亡对等体检测(Dead Peer Detection),一种隧道检测机制,当VPN隧道异常时,能检测并重新发起协商,来维持VPN隧道。
DPD主要是为了防止标准IPSec出现的“隧道黑洞”。 DPD只对第一阶段生效,如果第一阶段本身已经超时断开,则不会再发DPD包。(Phase 1)
DPD连续发3次请求,都没有收到DPD应答,就会删除SA(安全聪盟alliance)
2、标准的IPSec只支持单播数据流。 GRE:通用路由封装(Generic Routing Encapsulation),支持广播、组播、IPX等协议,明文传输。
3、PFS 密钥完美向前保密(Perfect Forward Secrecy)。 使用PFS,在第二阶段重新通过DH算法协商一个新的加密密钥。
4、SPI 安全参数索引(Security Parameter Index)。 SPI错误会导致IPSec无法正确处理加密的数据包,导致传输有问题。
5、第三方IPSec不支持多线路。
四、3G和MIG设备功能介绍 1、3G VPN注意事项 1)3G VPN设备不支持单臂VPN多线路,也不支持标准IPSec VPN多线路。 2)不支持按需拨号、流量配额及短信告警等。 3)只显示当次拨号总流量,不显示拨号当月拨号总流量。
2、MIG设备:支持VLAN划分和单臂标准IPsec VPN;支持AC功能(多VLAN管理;流量管理;应用控制)。
|