SANGFOR_DLAN互联基础配置_xuzeng

SANGFORDLAN互联基础配置一、DLAN部署配置二、DLAN基础配置三、DLAN基础综合实验SANGFORDLAN一、系统部署配置说明：通过配置系统部署相关设置项，保证VPN设备加入客户网络中，网络的通畅性。VPN设备默认登录方式：P5100LAN口：口：口：其它型号LAN口：口：默认用户名/密码：Admin/Admin1、网关模式*此时将设备当一台路由器/防火墙对待（1）网络接口配置（2）系统路由配置（3）防火墙配置（根据实际情况可选配置）代理上网NAT设置端口映射过滤规则设置（4）本地子网配置网络接口配置选择“网关模式”设置内网口LAN、DMZ的IP/掩码设置外网口信息：线路类型、IP/掩码、网关、DNS线路类型选择为ADSL时，设置用户名、密码，并勾选“自动拨号”单击“确定”保存配置信息，设备会自动重启**设备重启后，请使用新配置的IP登录网关控制台系统路由配置如果内网三层环境或需要路由跳转的情况需添加系统静态路由。单击“确定”添加系统静态路由单击“确定”保存配置信息防火墙配置如果需要设备代理内网用户上网（包括设置用户上网权限）、向外网发布内网服务器，以及用到防火墙过滤规则时，需设置防火墙相关选项。代理上网设置填写代理上网规则名称、内网接口以及需要代理的网段信息单击“确定”添加单击“确定”，保存配置信息**如需代理多个网段上网，则添加多条代理上网规则（需配合添加到非设备直连内网口所在网段的系统路由设置）。端口映射设置设置端口映射相关选项。新版本设置端口映射后会自动放通防火墙过滤规则单击“确定”添加端口映射规则单击“确定”保存配置信息防火墙过滤规则设置防火墙自动放通的过滤规则填写过滤规则并单击“确定”添加。其中服务对象、IP组、时间组可到【防火墙设置】及【系统设置】中先定义好本地子网设置当通过VPN需要访问与设备内网口非同网段时需添加本地子网。填写非设备内网口所在的其它网段信息，单击“确定”添加至列表单击“确定”保存配置信息2、单臂模式*此时将VPN设备当内网一台服务器看待（1）网络接口配置（2）本地子网设置（同网关模式下配置）（3）前置网关设备为VPN设备的VPN监听端口设置端口映射（当设备作为总部时需设置）（4）前置网关设备或内网三层交换机/路由器添加到对端VPN网络/虚拟IP池（与VPN设备内网口非同网段时）的回包路由指向VPN设备LAN口IP网络接口配置选择“单臂模式”单臂模式VPN数据交互只用到LAN口，所以只需配置LAN口信息即可单击“确定”保存配置信息，设备会自动重启**设备重启后，如需从设备LAN口登录网关控制台请使用新配置的LAN口IP二、DLAN基础配置说明：DLAN分为总部、分支和移动三类角色。（1）DLAN总部配置：需要配置webagent、用户管理、虚拟IP池（移动用户）。（2）DLAN分支配置：只需配置连接管理。（3）DLAN移动配置：基本设置与主连接参数设置。DLAN总部的配置设置主备webagent信息当外网是固定IP时，webagent填写格式为：IP:4009，备份webagent保留为空；当外网是ADSL拨号时，webagent可向深信服客服中心申请设置用户名/密码类型可选择移动、分支当用户类型为移动时，需设置虚拟IP可从虚拟IP池中指定一个IP，若设置为0.0.0.0，则自动从虚拟IP池中分配单击“确定”保存用户配置信息DLAN分支端的配置添加总部名称（自定义）、总部提供的webagent及用户民/密码信息单击“完成”保存连接管理配置信息DLAN移动端的设置移动用户首先安装DLAN移动客户端填写总部提供的webagent信息单击“设置生效”保存配置三、DLAN基础综合实验1、实验场景及需求1、实验场景及需求（1）客户为一市局级政府行业客户，市局网络办公网与政务专网是物理隔离的，即上互联网均通过办公网，访问市局服务器则需要接入到政务专网。分局无法通过现有网络访问到市局服务器。（2）客户现在希望通过深信服IPSecVPN（总部M5100，分支S5100）实现分局用户能够访问市局的服务器，且市局不可私自拉外网线路。（3）网段信息均表现在图中。要求总部部署M5100且不能替换原有防火墙，市局行政专网只有10.172.38.5这个IP可用，且该IP可正常访问市局服务器；分局采用S5100替换原有简单的路由器并代理内网用户正常上网。2、配置思路分析（1）分局较好部署，直接调换原有路由器代理分局用户上网并与市局建立IPSecVPN隧道。（2）市局部署较复杂，我们根据需求将其逐个分解。①保证VPN设备本身既能提供分局设备接入，又能与市局服务器通信，故将设备以_____模式部署在_________________的位置。②根据上一步判断，配置设备的网络接口信息，要保证分支设备能接入总部设备，需在总部的______设备上做________________；其次，要保证设备以及分支能访问到总部服务器，需要在总部VPN设备上添加_____________和_____________。③经过上面两步配置，分支的数据可以到达总部的服务器，但是总部的服务器能正常相应分支的数据请求，还需在总部的___________设备上添加_____________________________________。④以上系统配置完成后，按照DLAN基础配置方法分别设置总部、分支相关选项。3、操作演练根据配置思路的分析以及前面提到的DLAN互联所需配置项，完成本实验实际所需的操作。4、配置参考-部署拓扑图（1）市局VPN网关设备系统配置（2）市局网络调整改动以下两个改动需要客户协助：①原有办公网防火墙将192.168.1.252的TCP/UDP4009映射至互联网：202.103.24.88；②原有政务网上三层交换机添加静态路由:192.168.0.0255.255.255.010.172.38.5（3）市局设备DLAN配置（4）分局设备系统配置（5）分局DLAN配置（6）检测DLAN两端互访通过查看市局和分局两台设备的运行情况——DLAN运行状态，以及直接通过深信服IPSecVPN访问对端的服务器，确认DLAN的连通性。