SANGFOR_SSL_v7.0_2016年度渠道初级认证培训02_基本网络环境部署和配置

《SANGFOR_SSL_v7.0_2016年度渠道初级认证培训02_基本网络环境部署和配置》由会员分享，可在线阅读，更多相关《SANGFOR_SSL_v7.0_2016年度渠道初级认证培训02_基本网络环境部署和配置（27页珍藏版）》请在装配图网上搜索。

1、SANGFOR SSL VPN设备部署培训培训内容培训目标SSL VPN 部署模式介绍1.掌握SSL VPN支持的各种部署模式的特点。网关模式1.掌握网关模式适用环境及支持的功能。2.掌握网关单线路的配置步骤。单臂模式1.掌握单臂模式适用环境及支持的功能。2.掌握单臂单线路的配置步骤。SANGFOR SSL 部署模式介绍深信服公司简介SANGFOR SSL 部署模式配置SANGFOR SSL 动动手SANGFOR SSLSANGFOR SSL 部署案例SANGFOR SSL部署模式介绍部署模式介绍 部署模式_简介1、部署模式是指设备以什么样的工作模式部署到客户网络中去，不同的部署方式对客户的网

2、络影响各有不同，具体以何种部署方式需要综合客户具体的网络环境和客户的功能需求而定。2、SSL VPN支持网关（单线路和多线路）模式、单臂(单线路和多线路)模式部署。网关模式特点 1、网关模式部署时SSL设备工作层次基本与路由器或包过滤防火墙相当，具备基本的路由转发及NAT功能。一般在客户原有网络环境中添加部署SSL设备时不采用这种模式，因为这种部署模式需要对客户的网络环境作较大的改动。2、一般此种部署模式的客户网络环境规模比较小，用SSL设备替换原有部署在出口的路由器，或者是客户在规划新网络建设时将SSL部署为路由模式。如客户出口有前置防火墙或网络规模比较大建议用单臂模式。SANGFOR SS

3、L部署模式介绍SANGFOR SSL部署模式介绍部署模式介绍单臂模式特点 1、单臂模式时SSL设备工作模式基本与一台内网服务器相当，由前置设备将SSL服务对外发布，该模式下仅处理VPN数据。一般在客户原有网络环境中添加部署SSL设备时将采用这种模式，因为这种部署模式对客户的网络环境无变动，哪怕设备宕机也不会影响网络。2、单臂模式部署只需要连接LAN口到内网，如果需要通过DMZ口管理设备，可将DMZ口也连接到局域网交换机。SANGFOR SSL部署配置单线路多线路单臂模式网关模式单线路多线路注：本PPT只介绍单线路环境部署，多线路环境请参考高级认证PPT。SANGFOR SSL部署配置（网关模式

4、）部署配置（网关模式）SANGFOR SSL部署配置（网关模式部署配置（网关模式）非直连公网方式的网关模式部署（应用场景非常少，对网络改动较大，需要在前置设备上做端口映射）SANGFOR SSL部署配置（网关模式）部署配置（网关模式）1、网关模式配置：确定设备外网口（WAN1口）是固定IP还是ADSL拨号获取IP方式，取得相应运营商给的IP地址信息或者是拨号的帐号密码；确定内网口（LAN口）的IP地址信息。2、上网配置：代理上网（NAT），确定内网是否多网段网络环境，如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。网关单线路配置思路：SSL部署配置（网关单线路模式）部署配置（网关单

5、线路模式）网关单线路模式配置截图设置内网接口IP地址SSL部署配置（网关单线路模式）部署配置（网关单线路模式）代理上网配置截图选择代理LAN或DMZ口下的网段上网SANGFOR SSL部署配置（单臂单线路模式）部署配置（单臂单线路模式）1、单臂模式配置：给设备LAN口分配一个可以上网的IP地址，填写正确的网关IP、DNS；2、前置网关做TCP 443和80端口映射（如果用到IPSEC VPN 还需要映射TCP/UDP 4009端口）单臂单线路部署配置思路：SSL部署配置（单臂单线路模式）部署配置（单臂单线路模式）单臂单线路模式配置截图给设备LAN口分配一个可以上网的IP，正确填写网关和DNS地

6、址。配置DMZ口IP，可通过DMZ口管理设备案例一：网关单线路部署案例案例一：网关单线路部署案例 某客户拓扑如图，客户需要实现外网用户通过SSL VPN接入访问内部的web服务器群。客户只有一条外网线路，对应的公网ip是1.1.2.2。SSL VPN设备网关部署，内网用户通过SSL VPN设备上网，外网用户需要实现输入域名实现接入SSL VPN。部署需求：网关单线路部署配置思路网关单线路部署配置思路1.基础网络配置：基础网络配置：网关模式，配置WAN1、LAN口IP地址信息，配置系统路由。2.静态路由：静态路由：由于LAN口与服务器不在一个网段，而设备的默认路由指向WAN方向出口，所以需要添加

7、到达内网的静态路由，下一跳指向核心交换机。3.域名设置：域名设置：将客户申请的二级域名XXX在ISP处用A记录指向1.1.2.2。4.代理上网：代理上网：将内网PC私网ip转换成1.1.2.2，代理内网用户上公网。网关单线路部署配置步骤网关单线路部署配置步骤1.设置网关模式，设置网关模式，LAN口和口和WAN1口口IP地址。地址。网关单线路部署配置步骤网关单线路部署配置步骤2.设置系统路由设置系统路由网关单线路部署配置步骤网关单线路部署配置步骤3.设置代理上网设置代理上网案例二：单臂单线路部署案例案例二：单臂单线路部署案例 客户拓扑如图所示，出口有一条电信链路。客户需要不改动原有的网络环境部署

8、SSL 设备，实现外网用户输入1.1.2.2这个IP地址即可接入SSL VPN。部署需求：单臂单线路部署配置思路单臂单线路部署配置思路1.基础网络配置：基础网络配置：单臂模式，配置LAN口IP地址，掩码，网关等信息。2.前置防火墙做端口映射：前置防火墙做端口映射：前置防火墙需要做电信线路的80端口和443端口到172.16.1.10。需要注意：如果80端口不映射，将无法实现从http到https的跳转。如客户不要求实现自动跳转到https，可不必映射80端口。单臂单线路部署配置步骤单臂单线路部署配置步骤1.设置单臂模式，设置单臂模式，LAN口口IP地址，网关，以及地址，网关，以及DMZ口口IP

9、地址。地址。2.前置网关设备（防火墙）配置80和443端口映射深信服深信服webagent介绍介绍如果如果SSL VPN设备是通过设备是通过ADSL拨号上网（无固定公网拨号上网（无固定公网IP），移动用户该），移动用户该如何登录如何登录SSL VPN设备？设备？通过深信服webagent功能，可实现动态IP寻址，实现该需求注：SSL设备网关部署和单臂部署时，都支持webagent功能练练手练练手1、SSL VPN支持哪些部署模式？2、单臂模式部署的时候可以使用设备的哪些接口接到网络里面？3、SSL VPN单臂模式部署时，前置网关设备需要映射哪些端口？问题思考练练手练练手 客户网络现状和需求：客户网络现状和需求：随着公司发展，在外出差的人员越来越多，需要实现远程接入内网安全快速的访问内部系统。客户网络出口是一台SSL VPN设备，只有一条外网线路。请配置上架部署，让出差用户可以正常接入SSL VPN设备访问OA系统办公。