深信服零信任aTrust--隧道资源、虚拟IP原理（一期）-隧道TCP资源&短连接模式

本文针对的是隧道资源中TCP协议资源在短连接模式下的功能原理，隧道udp、icmp资源为长隧道，相关功能原理会在二期中进行讲解。

访问隧道tcp资源时，支持建立短连接和长链接。本文中以默认情况下建立的短连接隧道举例说明，该版本的虚拟IP功能可以理解为是虚拟IP的一期形态。

虚拟IP这个功能从效果上来说，就是开启该功能后，用户访问应用的数据包，从代理网关/综合网关发出的时候，其源IP是虚拟IP池中的IP，而非设备IP。

开启虚拟IP功能后，需要在atrust所在的网络中，配置去往虚拟IP段的路由，其下一跳应指向atrust代理网关/综合网关设备的接口IP。

集群场景下，集群内各设备的虚拟IP池是不共享的，需要分别设置。

虚拟IP功能的配置十分简单：

（1）分离式设备：

进入控制中心控制台，在【系统管理】-【代理网关管理】中，找到对应的代理网关后，点击代理网关节点右上角的【设备管理】。

然后在【虚拟IP池】中，点击开启【虚拟IP池】，然后给用户分配虚拟IP即可。


（2）综合网关设备：

登录综合网关控制台，进入【系统管理】-【网络部署】-【虚拟IP池】中进行设置。


初次开启虚拟IP时，需要设置默认虚拟IP池的地址范围，创建完虚拟IP池后，不允许删除，但可以编辑其IP范围。

注意：

如果虚拟IP池的IP不够时（用户比虚拟IP多），则未分配到虚拟IP的用户将会使用设备IP去访问应用，这是设备所作的兜底机制。

最后也是最重要的，来看下用户以虚拟IP来访问TCP资源时的流程是如何的：

在我的认知里面一直以为虚拟ip就是用户侧到网关侧建立了vpn隧道，用户请求封装到虚拟网卡里面通过隧道发送至网关，网关直接查路由转发。看到你这个，我懵了。为啥要用socks代理呢，客户端和网关通过什么地址建立的socks代理呢，既然要用socks代理那为啥不直接把请求送进socks代理还要送到虚拟网卡封装呢。烦请答疑解惑

感谢分享有助于工作和学习！

感谢分享，学习一下~

感谢楼主的精彩分享，有助工作!!!

每天坚持打卡学习，感谢分享

感谢分享有助于工作和学习！

坚持学习，坚持打卡。。。。。。。。。

每天坚持打卡学习，感谢分享

发帖辛苦，感谢分享~