技术小白 发表于 2023-7-5 09:03
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
新手393400 发表于 2023-8-7 14:41
  
感谢楼主的精彩分享,有助工作。
zjwshenxian 发表于 2024-6-9 10:03
  
楼主写的一手好贴呀!不愧是梦想赞助商!
UP 发表于 2024-7-10 09:35
  
楼主辛苦了  写的好详细
蓝色的天空 发表于 2024-7-18 08:54
  
感谢楼主的精彩分享,有助工作。
এ塔铃独语别黄昏এ 发表于 2024-7-18 09:03
  
一起来学习,一起来学习
赵安 发表于 2024-10-26 09:35
  
感谢分享,学习一下~
SSL VPN单臂部署组建IPSEC网络案例
  

北回归线 3335610人觉得有帮助

{{ttag.title}}
组网拓扑
某公司客户网络组网如下,公司总部出口部署防火墙,内网接三层交换机划分办公区域和服务器区域,网桥部署某公司公司上网行为管理设备,且单臂部署某公司公司SSL VPN设备与分公司建立sangfor IPsec VPN互联。客户分公司出口采用路由设备代理内网上网,同时内网也部署了三层交换机,网桥部署某公司公司的上网行为管理,也单臂部署某公司公司SSL VPN设某公司公司于与总部建立sangfor VPN互连。

配置步骤
总部设备配置:
1、 SSL VPN单臂模式并设置IP地址192.168.2.2/24,配置IPSEC基本配置并新建分支账号,添加本地子网发布192.168.3.0/24、192.168.4.0/24网段给对端;

第一步:单臂模式部署设备。进入『系统设置』→『网络配置』,选择设备工作模式为单臂模式,配置LAN 口IP 地址、子网掩码、网关,并配置正确的DNS,点击确定,界面如下:


第二步:配置WEBAGENT,进入『IPSEC VPN 设置』→『基本设置』,设置好主webagent信息,MTU 和最小压缩值默认即可,监听端口采用默认值,本案例配置界面如下:


第三步:为分支建一个VPN 账号,进入『IPSEC VPN 设置』→『某公司公司管理』,新增一个VPN 账号,选择类型为分支,配置界面如下:

第四步:新增本地子网,宣告总部需要进行VPN 互连的网段,进入『系统设置』→『网路配置』→『本地子网』,新增总部需要进行VPN 互连的网段,配置界面如下:


2、 防火墙设备上映射SSL VPN设备的TCP和UDP 4某公司9端口,配置相应的路由确保防火墙到SSL VPN可达;
   
3、 内网核心交换机上配置目的地址为分公司办公某公司公司(192.168.5.0/24)的路由指向SSL VPN设备(192.168.2.2/24);
以华为某公司公司交换机为例:
ip route-static 192.168.5.0 255.255.255.0 192.168.2.2

4、在上网行为管理设备上全局排除SSL VPN的IP或者在防火墙规则放通wan-lan的 tcp/udp的4某公司9端口并给SSL设备做带宽保证 给SSL VPN设备做带宽保证;




分公司设备配置:
1、 SSL VPN单臂模式部署并设置IP地址192.168.6.6/24,配置连接管理添加总部提供的账号密码,添加本地子网发布192.168.5.0/24网段给对端;

第一步:单臂模式部署设备。进入『系统设置』→『网络配置』,选择设备工作模式为单臂模式,配置LAN 口IP 地址、子网掩码、网关,并配置正确的DNS,点击确定,界面如下:


第二步:建立VPN 连接,进入『IPSEC VPN 设置』→『连接管理』,新建一个连接,填写总部设置的WEBAGNET,总部建的VPN 账号,界面如下:

第三步:新增本地子网,宣告总部需要进行VPN 互连的网段,进入『系统设置』→『网路配置』→『本地子网』,新增总部需要进行VPN 互连的网段,配置界面如下:


2、 在内网核心交换机上 配置目的地址为总部办公某公司公司(192.168.4.0/24)和服务器(192.168.3.0/24)的路由指向SSL VPN设备(192.168.6.6/24);
以华为某公司公司交换机为例:
ip route-static 192.168.4.0 255.255.255.0 192.168.6.6
ip route-static 192.168.3.0 255.255.255.0 192.168.6.6


3、 在上网行为管理设备上全局排除SSL VPN的IP或者放通SSL设备的lan-wan的所有权限并给SSL VPN设备做带宽保证;




三、 注意事项
1、VPN设备单臂部署的情况下,需要在内网核心交换机上写目标地址为对端网络路由指向本地VPN设备。
2、总部端出口设备需要将VPN设备映射到公网,分支端则不需要映射,建议将VPN端口(如4某公司9)的TCP和UDP端口都映射,以备不时之需;
3、本地内网有多网段的情况,如某公司个网段有访问VPN对端或被对端访问需求,则需要添加本地子网;
4、确保VPN设备可以访问外网,存在安全设备情况,建议对VPN设备的地址进行排除和放行;
5、隧道建成后连通性测试过程中,请务必使用本地的PC进行测试,不要只在VPN设备上进行ping测试。

打赏鼓励作者,期待更多好文!

打赏
40人已打赏

发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人