SSL VPN单臂部署组建IPSEC网络案例
  

北回归线 12191

本帖最后由 北回归线 于 2015-10-20 15:41 编辑

组网拓扑
某客户网络组网如下,公司总部出口部署防火墙,内网接三层交换机划分办公区域和服务器区域,网桥部署深信服上网行为管理设备,且单臂部署深信服SSL VPN设备与分公司建立sangfor IPsec VPN互联。客户分公司出口采用路由设备代理内网上网,同时内网也部署了三层交换机,网桥部署深信服的上网行为管理,也单臂部署深信服SSL VPN设备用于与总部建立sangfor VPN互连。
1.png
配置步骤
总部设备配置:
1、 SSL VPN单臂模式并设置IP地址192.168.2.2/24,配置IPSEC基本配置并新建分支账号,添加本地子网发布192.168.3.0/24、192.168.4.0/24网段给对端;

第一步:单臂模式部署设备。进入『系统设置』→『网络配置』,选择设备工作模式为单臂模式,配置LAN 口IP 地址、子网掩码、网关,并配置正确的DNS,点击确定,界面如下:
2.png

第二步:配置WEBAGENT,进入『IPSEC VPN 设置』→『基本设置』,设置好主webagent信息,MTU 和最小压缩值默认即可,监听端口采用默认值,本案例配置界面如下:
3.png

第三步:为分支建一个VPN 账号,进入『IPSEC VPN 设置』→『用户管理』,新增一个VPN 账号,选择类型为分支,配置界面如下:
4.png
第四步:新增本地子网,宣告总部需要进行VPN 互连的网段,进入『系统设置』→『网路配置』→『本地子网』,新增总部需要进行VPN 互连的网段,配置界面如下:
5.png

2、 防火墙设备上映射SSL VPN设备的TCP和UDP 4009端口,配置相应的路由确保防火墙到SSL VPN可达;
   
3、 内网核心交换机上配置目的地址为分公司办公用户(192.168.5.0/24)的路由指向SSL VPN设备(192.168.2.2/24);
以华为华三交换机为例:
ip route-static 192.168.5.0 255.255.255.0 192.168.2.2

4、在上网行为管理设备上全局排除SSL VPN的IP或者在防火墙规则放通wan-lan的 tcp/udp的4009端口并给SSL设备做带宽保证 给SSL VPN设备做带宽保证;
6.png
7.png


分公司设备配置:
1、 SSL VPN单臂模式部署并设置IP地址192.168.6.6/24,配置连接管理添加总部提供的账号密码,添加本地子网发布192.168.5.0/24网段给对端;

第一步:单臂模式部署设备。进入『系统设置』→『网络配置』,选择设备工作模式为单臂模式,配置LAN 口IP 地址、子网掩码、网关,并配置正确的DNS,点击确定,界面如下:
8.png

第二步:建立VPN 连接,进入『IPSEC VPN 设置』→『连接管理』,新建一个连接,填写总部设置的WEBAGNET,总部建的VPN 账号,界面如下:
9.png
第三步:新增本地子网,宣告总部需要进行VPN 互连的网段,进入『系统设置』→『网路配置』→『本地子网』,新增总部需要进行VPN 互连的网段,配置界面如下:
10.png

2、 在内网核心交换机上 配置目的地址为总部办公用户(192.168.4.0/24)和服务器(192.168.3.0/24)的路由指向SSL VPN设备(192.168.6.6/24);
以华为华三交换机为例:
ip route-static 192.168.4.0 255.255.255.0 192.168.6.6
ip route-static 192.168.3.0 255.255.255.0 192.168.6.6


3、 在上网行为管理设备上全局排除SSL VPN的IP或者放通SSL设备的lan-wan的所有权限并给SSL VPN设备做带宽保证;
11.png
12.png


三、 注意事项
1、VPN设备单臂部署的情况下,需要在内网核心交换机上写目标地址为对端网络路由指向本地VPN设备。
2、总部端出口设备需要将VPN设备映射到公网,分支端则不需要映射,建议将VPN端口(如4009)的TCP和UDP端口都映射,以备不时之需;
3、本地内网有多网段的情况,如某个网段有访问VPN对端或被对端访问需求,则需要添加本地子网;
4、确保VPN设备可以访问外网,存在安全设备情况,建议对VPN设备的地址进行排除和放行;
5、隧道建成后连通性测试过程中,请务必使用本地的PC进行测试,不要只在VPN设备上进行ping测试。

SANGFOR SSL VPN单臂部署组建IPSEC网络案例(1).pdf (619.39 KB, 下载次数: 485)

给楼主打赏,鼓励TA抓紧创作

打赏
暂无人打赏

Sangfor_闪电回_小狒 发表于 2015-12-5 11:34
  
楼主写的一手好贴呀!不愧是梦想赞助商!
小huihui 发表于 2015-10-20 17:04
  
弹弹烟灰 发表于 2015-12-5 23:46
  
这个太有用了,准备去客户实施呢,环境和这个一样,正好有这个文档,太谢谢了
xiaolaoshu 发表于 2015-12-11 13:34
  
太好了,谢谢分享
有个客户环境和这个差不多,正好学习。
新手535756 发表于 2016-3-30 09:59
  
我想问下   如果SSL 的用户接入分支机构怎么访问总部的网段????  在线等  急。。。
wangxin_tom 发表于 2016-10-28 15:05
  
赞一个,最近也在做这个IPSec VPN
Mr_Q 发表于 2017-3-23 15:48
  
赞一个,就是需要多了解这样的实际操作才对我们这样的新手有帮助
He 发表于 2017-4-13 09:52
  
赞一个
3657 发表于 2017-5-9 09:52
  
楼主的分享太赞了,学习了