【IPSec VPN】细说sangfor vpn账号-用户管理

1.连接sangfor vpn的账号支持哪些认证方式？

分区情况说明：

1）深信服设备（小硬件）之间互联sangfor vpn仅支持本地认证（密码认证 和 硬件捆绑鉴权）；

2）深信服设备（大硬件）之间互联sangfor vpn支持本地认证（密码认证、硬件捆绑、LDAP认证、Radius认证）；

3）移动客户端（pdlan）互联sangfor vpn支持本地认证（密码认证、硬件捆绑鉴权、dkey认证）和第三方认证（LDAP认证 和 Radius认证、证书认证）。

注：dlan6.0版本开始支持证书认证

2.【IPsec VPN设置】-【虚拟IP池】里面的“虚拟ip”有什么作用？设置有什么注意的？

1）为移动端分配虚拟IP，用于和总部端通信；

2）为分支隧道内NAT用户分配虚拟IP段（连接到同一个总部的多个分支间有相同网段，且不方便修改网段的情况）。

注：

必须保证虚拟IP池是空闲网段；

尽量保证虚拟IP段和vpn设备lan口同段，如果无法分配相同网段，则需要添加该网段到lan口的路由。

3.在ipsec vpn设置里面【用户管理】新增用户的页面有个“启用虚拟IP”有时候不可选也不可设置（默认是0.0.0.0），是怎么回事？

新增用户的时候页面有个“类型”选择，如果是“分支” 那么就是不可选、不可配置的（因为分支连接sangfor vpn不需要虚拟ip地址）；当类型选择“移动”则可以勾选并配置虚拟ip的；

说明：

这里的虚拟ip默认是0.0.0.0 表示由vpn设备从虚拟ip池随机分配，如果手动配置了虚拟ip 则在pdlan连接vpn后就是手动设置的ip。

4.【IPsec VPN设置】里面用于连接sangfor vpn的账号除了手动创建，是否还有其他生成方式？

手动创建---新增用户；

导入域用户---需要先添加LDAP服务器；

导入文本用户----手动编辑文本文件（文件包含用户、密码信息），然后导入即可；

注：

导入文本用户仅支持.csv或.txt文件格式；

一行表示一个用户，其中.csv格式 如：第一列为用户名、第二列为空、第三列为密码；.txt格式 如：用户名,,密码 。

5.在【IPsec VPN设置】-【用户管理】页面有个“检测USB-KEY”和“下载USB-KEY驱动”，两个选项都是针对 USB-KEY 的，分别有什么作用？

“检测USB-KEY”是用在当前登录vpn设备的计算机是否插入了USB-KEY；如果没有安装 则会提示下载安装；

“下载USB-KEY驱动”生成USB-KEY前需要安装此驱动，否则计算机无法识别USB-KEY硬件信息。

注：

为避免因程序冲突导致的USB-KEY驱动无法正常安装，请在安装前退出/关闭第三方杀毒工具或防火墙等安全工具。

6.【IPsec VPN设置】-【用户管理】里面“新增用户”的时候有个选项“使用组属性”，检查了下新建组里面也有“内网权限”、“高级”等配置选项，两个页面的选项是什么关系呢?

说明：“用户组”是存储相同属性的用户的区域。

“新增用户”和“新增组”页面的配置项功能是一样的，如果新增用户的时候选择了用户所属组且勾选了“使用组属性”则继承所属组的所有配置（如果用户本身有配置和所属组配置相冲突，则以所属组为准）。

ps

相同属性的用户比较多的时候，使用组管理相对便捷

第一期【IPSec VPN】webagent地址详解-基本设置

挺不错的，已收藏~~~~

写的真好！

需要的就是这个谢谢

很全面，实用

IPSec VPN--用户管理的“启用虚拟IP”，如果是“0.0.0.0”表示从虚拟机IP池获取IP。而分支用户不需要设置IP。