环境描述:客户有一台AF设备部署在公网,公网有移动和电信双线路。 需要实现VPN线路主备,要求每个用户只能访问指定的网段,不能访问其他网段 网段规划如下: 192.***.1.0/24 服务器网段 192.***.55.0/24 监控网段 192.***.10.0/24 门禁网段 192.***.254.0/24 交换机、无线AP管理网段
所有的网关在防火墙上,防火墙使用子接口模式连接核心
1、配置前确认 确认AF设备是否开了VPN模块,是否有授权,在系统-通用配置中可以看到授权信息,也可以到DLAN状态中查看移动用户的授权数量
2、配置ipsec vpn ①外网接口勾选与ipsec vpn出口线路匹配
②配置主备WEBAGENT,要写上端口,默认端口是4009
③添加本地子网,添加非直连的内网IP地址,如果使用的是子接口IP地址也需要添加到本地子网中
④配置虚拟IP,类型选择移动,这个IP段不能和内网的网段冲突
⑤新建用户,在类型中选择移动用户,然后设置指定的虚拟IP 设置指定的虚拟IP是方便后面做策略
⑥在DLAN运行状态 查看当前VPN状态是运行中嘛,如果是禁用状态点击启用VPN
⑦在网络区域中新增一个三层区域,选择vpntun 接口
⑧在网络对象新增IP组,添加对应用户的虚拟IP地址 添加这个是给后面做应用控制策略调用的
3、配置访问权限 添加了本地子网会导致用户有访问本地子网中的IP段,所以需要做权限配置 在应用控制策略新增一条源是vpntun区域,源IP是虚拟IP组,目标是内网区域,目标IP可以选择组也可以选择全部,动作为拒绝 在拒绝策略前添加一条允许指定源IP允许访问指定目标,动作为允许 应用控制匹配顺序是从上往下匹配的,所以允许的策略需要配置在拒绝策略的前面
4、登录DLAN移动客户端测试 然后运行安装包默认安装即可
①打开DLAN移动客户端,在基本配置中配置好WEBAGENT IP地址和端口
②在主连接参数设置用户名和密码和传输模式
③在DLAN中查看连接状态,查看运行状态是否正常,获取的虚拟IP是否和在vpn用户中设置的是否一致
④通过命令行ping,发现只能访问到服务器网段,内网其他的都访问不了
注意事项: 如果配置应用控制策略前已经登录了DLAN移动客户端,配置了后重新登录获取到的虚拟IP不是配置好的,只需要把DLAN服务重启即可
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-1-15 09:59
发表于 2020-1-16 16:44
技术专家1级 
