深信服长沙之旅

7.10号到7.14号前往长沙参加了深信服网络技术挑战赛,决赛分为设备配置和方案设计两部分,最终取得了优秀个人和团队亚军,十分可惜。


设备配置

IPsec VPN互联

客户的此环境有 NAT 环境 ,双方有固定的公网 IP,此环境下,选择野蛮模式进行
对接。 注:不能用主模式。

两端配置,实现长沙 WOC 和深圳 SSL VPN 设备上的 IPsec VPN 的第一、二阶段的协商。

标准 IPSEC VPN 采用 UDP 500 端口进行 IKE 参数协商等过程,在 NAT 环境中用
UDP4500 端口进行协商并提供服务。

由于长沙 WOC 和深圳 SSL VPN设备都使用内网地址,不能在公网路由。因此要实现上网需求,需要在长沙 AC 设备和深圳 AD 设备上配置源地址转换(NAT代理上网)。

注意事项:

  • 两端配IKE协商(感兴趣流)
  • 在AC和AD上配置NAT
  • 在深圳总部出口 AD 上做 UDP 500 和 4500端口映射(DNAT)
  • 添加静态路由

思考:

  1. 标准 IPSEC VPN 中出、入站(感兴趣流)的作用是什么?
    用来触发 IPSEC VPN, 用来分辨哪些流量走IPsec
  2. 两端都是拨号的场景能否建立标准 IPSEC VPN,如果可以,如何操作?
    SSL 出口是拨号上网获取的动态 IP,可以申请 webagent,外网用户通过 webagent 地址
    访问 SSL VPN,SSL VPN 上设置 webagent 地址会定时发送 SSL VPN 实时地址给
    webagent。

SANGFOR VPN 互联

  • 作为总部,只需要创建分支用户,让分支可以使用该用户访问总部,不需要设置 VPN 连接。
  • 发布深圳总部的其他网段
  • SANGFOR VPN 协议端口是 4009 端口映射(UDP TCP)
  • 在长沙分支的 WOC 设备中【Sangfor VPN】-【客户端】-【连接管理】中,点击【新增】
  • 长沙分支NAT
  • 配置路由
  1. 分支出口设备是否需要做端口映射 SANGFOR VPN 的端口?
    不需要,只需要在长沙分支 AC 上做 NAT 代理上网就可以。

SANGFOR PDLAN 互联

  • 深圳总部 SSLVPN 设备配置 sangfor VPN,配置 webagent 地址,创建账号及账号的策略
  • 新增并建立虚拟IP (考虑回包路由)
  • 4009的UDP TCP 端口映射
  • PDLAN 配 置(客户端) 配置用户和 webagent
  • 总部序列号配置中的授权是否足够
  1. 虚拟 IP 池里面的 IP 可以随意设置吗?
    可以,但是一定要考虑回包路由的问题。
  2. PC 登陆 PDLAN 之后,数据是如何进入隧道的?
    通过虚拟 IP 进入隧道,虚拟网卡对数据进行重新加密封装,将数据送入 VPN 隧道。

方案设计

###


收获和反思


Author: Ykk
Link: https://ykksmile.top/posts/63136/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.