SSL VPN单臂部署组建IPSEC网络案例
  

北回归线 3330710人觉得有帮助

{{ttag.title}}
组网拓扑
某公司客户网络组网如下,公司总部出口部署防火墙,内网接三层交换机划分办公区域和服务器区域,网桥部署某公司公司上网行为管理设备,且单臂部署某公司公司SSL VPN设备与分公司建立sangfor IPsec VPN互联。客户分公司出口采用路由设备代理内网上网,同时内网也部署了三层交换机,网桥部署某公司公司的上网行为管理,也单臂部署某公司公司SSL VPN设某公司公司于与总部建立sangfor VPN互连。

配置步骤
总部设备配置:
1、 SSL VPN单臂模式并设置IP地址192.168.2.2/24,配置IPSEC基本配置并新建分支账号,添加本地子网发布192.168.3.0/24、192.168.4.0/24网段给对端;

第一步:单臂模式部署设备。进入『系统设置』→『网络配置』,选择设备工作模式为单臂模式,配置LAN 口IP 地址、子网掩码、网关,并配置正确的DNS,点击确定,界面如下:


第二步:配置WEBAGENT,进入『IPSEC VPN 设置』→『基本设置』,设置好主webagent信息,MTU 和最小压缩值默认即可,监听端口采用默认值,本案例配置界面如下:


第三步:为分支建一个VPN 账号,进入『IPSEC VPN 设置』→『某公司公司管理』,新增一个VPN 账号,选择类型为分支,配置界面如下:

第四步:新增本地子网,宣告总部需要进行VPN 互连的网段,进入『系统设置』→『网路配置』→『本地子网』,新增总部需要进行VPN 互连的网段,配置界面如下:


2、 防火墙设备上映射SSL VPN设备的TCP和UDP 4某公司9端口,配置相应的路由确保防火墙到SSL VPN可达;
   
3、 内网核心交换机上配置目的地址为分公司办公某公司公司(192.168.5.0/24)的路由指向SSL VPN设备(192.168.2.2/24);
以华为某公司公司交换机为例:
ip route-static 192.168.5.0 255.255.255.0 192.168.2.2

4、在上网行为管理设备上全局排除SSL VPN的IP或者在防火墙规则放通wan-lan的 tcp/udp的4某公司9端口并给SSL设备做带宽保证 给SSL VPN设备做带宽保证;




分公司设备配置:
1、 SSL VPN单臂模式部署并设置IP地址192.168.6.6/24,配置连接管理添加总部提供的账号密码,添加本地子网发布192.168.5.0/24网段给对端;

第一步:单臂模式部署设备。进入『系统设置』→『网络配置』,选择设备工作模式为单臂模式,配置LAN 口IP 地址、子网掩码、网关,并配置正确的DNS,点击确定,界面如下:


第二步:建立VPN 连接,进入『IPSEC VPN 设置』→『连接管理』,新建一个连接,填写总部设置的WEBAGNET,总部建的VPN 账号,界面如下:

第三步:新增本地子网,宣告总部需要进行VPN 互连的网段,进入『系统设置』→『网路配置』→『本地子网』,新增总部需要进行VPN 互连的网段,配置界面如下:


2、 在内网核心交换机上 配置目的地址为总部办公某公司公司(192.168.4.0/24)和服务器(192.168.3.0/24)的路由指向SSL VPN设备(192.168.6.6/24);
以华为某公司公司交换机为例:
ip route-static 192.168.4.0 255.255.255.0 192.168.6.6
ip route-static 192.168.3.0 255.255.255.0 192.168.6.6


3、 在上网行为管理设备上全局排除SSL VPN的IP或者放通SSL设备的lan-wan的所有权限并给SSL VPN设备做带宽保证;




三、 注意事项
1、VPN设备单臂部署的情况下,需要在内网核心交换机上写目标地址为对端网络路由指向本地VPN设备。
2、总部端出口设备需要将VPN设备映射到公网,分支端则不需要映射,建议将VPN端口(如4某公司9)的TCP和UDP端口都映射,以备不时之需;
3、本地内网有多网段的情况,如某公司个网段有访问VPN对端或被对端访问需求,则需要添加本地子网;
4、确保VPN设备可以访问外网,存在安全设备情况,建议对VPN设备的地址进行排除和放行;
5、隧道建成后连通性测试过程中,请务必使用本地的PC进行测试,不要只在VPN设备上进行ping测试。

打赏鼓励作者,期待更多好文!

打赏
40人已打赏

Sangfor_闪电回_小狒 发表于 2015-12-5 11:34
  
楼主写的一手好贴呀!不愧是梦想赞助商!
小huihui 发表于 2015-10-20 17:04
  
弹弹烟灰 发表于 2015-12-5 23:46
  
这个太有用了,准备去客户实施呢,环境和这个一样,正好有这个文档,太谢谢了
xiaolaoshu 发表于 2015-12-11 13:34
  
太好了,谢谢分享
有个客户环境和这个差不多,正好学习。
新手535756 发表于 2016-3-30 09:59
  
我想问下   如果SSL 的用户接入分支机构怎么访问总部的网段????  在线等  急。。。
wangxin_tom 发表于 2016-10-28 15:05
  
赞一个,最近也在做这个IPSec VPN
Mr_Q 发表于 2017-3-23 15:48
  
赞一个,就是需要多了解这样的实际操作才对我们这样的新手有帮助
He 发表于 2017-4-13 09:52
  
赞一个
3657 发表于 2017-5-9 09:52
  
楼主的分享太赞了,学习了
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人