深信服_dlan技术.ppt

SANGFOR DLAN技术2010-02深信服科技·客服部 二零一零年二月培训目的1、掌握DLAN技术的原理2、掌握DLAN常用功能的原理和配置大 纲一、DLAN技术介绍二、DLAN基本配置三、DLAN高级配置四、DLAN综合实验五、DLAN常见问题一、DLAN技术介绍1、SINFOR DLAN术语2、SINFOR DLAN互联基础3、SINFOR DLAN新老版本区别1、SINFOR DLAN术语• DLAN总部、DLAN分支、DLAN移动 • Webagent寻址• 直连、非直连 • 虚拟网卡、虚拟IP、虚拟IP池DLAN 总部、DLAN分支、DLAN移动Webagent寻址在寻址过程中，所有信息均使用DES加密电信： （202.96.137.75） 网通：直连与非直连• 直连：即我们设备本身有公网IP 或者能够被从公 网访问的到• 非直连：即我们设备本身没有公网IP或者无法从 公网去访问到• 我们的设备之间要能正常互相连接VPN，则至少 要保证一端为直连虚拟网卡、虚拟ip、虚拟ip池• 虚拟网卡 • a、只在移动PDLAN上生成 • b、承载虚拟IP地址 • c、操作系统添加本地路由• 虚拟IP、虚拟IP池 • a、由总部端设定虚拟IP池范围 • b、虚拟IP分配到移动PDLAN上SINFOR DLAN 互联1、互联条件2、互联过程1、SINFOR DLAN 互联的条件• a、至少有一端是总部，且有足够的授权。

硬件与 硬件之间互连不需要授权 • b、至少有一端在公网上可访问——“可寻址”或固 定公网IP • c、建立VPN两端的内网地址不能冲突 • d、建立VPN两端的版本要匹配2、DLAN互联的过程• 最基本的三步曲 • a、寻址——与谁建立连接(找到对方) • b、认证——提交正确、充分的信息 • c、策略——选路策略、权限策略、VPN路由策略 、安全策略（移动用户，4.x版本无此功能）、 VPN专线（移动用户）、分配虚拟IP（移动用户 ）二、SINFOR DLAN基本配置一、硬件间互联二、软件移动和硬件互联1、硬件间互联DLAN总部设置设置上网设置Webagent（寻址）建用户（认证）设策略（策略）DLAN分支设置填一个连接管理VPN设置上网DLAN总部配置 设webagent、主连接参数 设认证信息）设置上网总部单臂时注意在路由器上做端口映射 和加回包路由DLAN总部配置移动端配置注意点右下角的设置生效注意点右下角的设置生效三、DLAN高级配置1、用户第三方认证2、用户管理3、加密算法4、硬件鉴权5、DKEY6、内网权限7、FW对DLAN的控制8、多线路9、VPN内组播10、VPN隧道内NAT11、VPN隧道内流控12、跨运营商13、隧道间路由14、标准IPSEC对接1、用户第三方认证支持本地认证和LDAP认证、Radius认证（注意：S5100及以下的小硬件不支持 ）基本配置与SSL的第三方认证相同，可对比学习。

注意：暂不支持指定搜索 路径，必须使用域管理员账号）2、用户管理新增用户组（使用同种加密算法的用户的逻辑组合、是否是用网上邻居、具 有相同访问权限）；恢复了多用户登录功能此三项只 对移动用 户有效3、加密算法在原来2.5x仅支持AES的基础上扩展支持了多种加密（DES、3DES、AES）和认 证（MD5、SHA-1）算法，并可根据客户需求增加其他算法 注：认证算法用于配置标准IPsec.4、硬件鉴权 通过捆绑对端机器的硬件信息，即使在有人窃取到对端接入的用户名密码 也无法接入，保证信息的安全5、DKEY通过将连接信息存储在USB Key中，实现客户端零配置需求，同时保证在用户名 密码泄露的情况下，光凭用户名密码无法接入总部，保证信息的安全只针对 移动用户）6、内网权限权限设置更加细化，可实现双向的权限控制--可针对访问数据的源IP、端口， 目的IP、端口进行控制（类似标准IPSec的出入站策略）分支访问过来的时候确实只能访问192.168.10.250这台服务器了，但是同时总 部也只有192.168.10.250这台电脑能访问分支，总部其他电脑访问不到分支源：192.168.10.12 目标：192.168.20.10源：192.168.20.10 目标：192.168.20.12目标IP不符合内网权 限条件，缺省拒绝。

分支能访问总部的服务器192.168.10.0/24192.168.20.0/246、内网权限权限设置更加细化，可实现双向的权限控制--可针对访问数据的源IP 、端口，目的IP、端口进行控制（类似标准IPSec的出入站策略）2.5x4.x2.5x4.x6、内网权限—新老版本比较案例: “针对访问数据的源IP、端口，目的IP、端口进行权限控制”，老版本的内 网权限，只能细致到一条隧道（账号），但对使用同一隧道（账号）接入的不 同IP就无法做限制了，现在有了“源”的选项则可实现权限细致到某一IP 注意这里的“源”是指VPN连接的对端--即，在那里设置的内网权限，则“源”一定 是VPN连接对端的内网6、内网权限7、FW对DLAN的控制防火墙的规则，对在VPNLAN、WAN、DMZ之间传输的数据都生效，且NAT规 则对VPN虚拟网卡也生效（通过目的路由用户上网）设置方法，同原有的过滤规 则、NAT设置类似，只是要注意数据传输方向上源IP、目的IP的设置8、多线路通过VPN多线路技术可以将VPN 数据同时在不同的物理线路上跑，以获得 大于单链路带宽的传输速度或者将多个物 理链路作为VPN线路的备份，以达到冗余 的目的。

1.带宽叠加2.线路主备3.动态适应4.平均分配8、多线路—选路策略带宽叠加：把连接平均分配到2条线路上去，同一个连接始终只走同一条线路8、多线路—选路策略当主线路组中的VPN线路 （1-1）和（2-2）线路延 时差值大于200ms时，较 差的线路将不参与VPN数 据的承载（即使它好的， 并且在主线路组中）8、多线路—带宽叠加平均分配：就是按ip包来平均分配假设建立了两条隧道的情况，则第一个ip包走 隧道1，第二个ip包走隧道2，第三个又走隧道1，第四个又走隧道2，以此类推8、多线路—选路策略返回4 5 3 2 18、多线路—平均分配•线路主备：同时和对端的多条线路建立VPN连接，但是数据只从指定的主线路上 传输，当主线路断掉后，则会切换为备份线路来传输；当主线路又恢复后，则又 切回主线路传输8、多线路—选路策略如果主线路组有多条VPN 线路，则只有当主线路组 的VPN线路全部都不可用 时，才会切换到备份线路 组中的VPN线路上8、多线路—线路主备•动态适应：vpn建立之前做一个tcp探测，选延时小的线路建立vpn隧道建立好 后，如果该线路VPN一直不断，则一直使用这个vpn隧道8、多线路—选路策略当阈值设置成0时，设备会 在主线路组中动态探测， 选择最优的线路做为VPN 线路。

要连vpn 到总部8、多线路—动态适应IP2IP1原理： 单臂部署时，在VPN设备网口设置中配置多个IP，多线路设置处配置单臂多线路，前 置网关做SNAT，如此实现单臂模式下VPN数据分别走相应的外网线路前置网关设备 有多线路且以源IP来进行选路时实现VPN数据分别走相应的外网线路电信1电信2内网实现前提： 1、单臂设备有多线路授权； 2、前置设备有多线路； 3、前置设备支持根据源IP做策略路由主线路组 平均分配8、多线路—单臂模式下多线路配置：这里就是单臂多 线路配置LAN口 多IP的地方每配置一个IP，不要忘记点 确定，否则切换到第2条线， 刚才配置的就丢失了8、多线路—单臂模式下多线路配置：第2个IPLAN口本 身并不能 作为一个 多线路IP 使用LAN口IP和多线 路IP必须在同一 个网段，否则会 有问题8、多线路—单臂模式下多线路配置：线路1和线路2的IP也必须在同一网段8、多线路—单臂模式下多线路应用1：电信网通内网1、做2个端口映射2、单臂设备配置2个多线路IP（ LAN口就随便配一个IP）3、SW或者FW做策略路由，把不 同的源IP交给不同的线路出去4、单臂设备配置多线路设置部分 ，并且配置多线路选路策略5、针对用户启用多线路选路策略IP1IP2总部8、多线路—单臂模式下多线路应用2：内网电信网通内网分支总部1、单臂设备配置2个多线路IP（ LAN口就随便配一个IP）2、SW或者FW做策略路由，把不 同的源IP交给不同的线路出去3、单臂设备配置多线路设置部分4、总部设备配置多线路策略，本 端线路1分别对应对端线路1、对 端线路2IP1IP25、分支通过多线路和总部建立 VPN连接8、多线路—单臂模式下多线路9、VPN支持组播原理： 为了满足对VOIP、视频会议的需求，VPN4.3开始支持组播包。

支持星型拓扑结构下总部对各个分支的组播，以及分支对总部的组播 移动用户支持接收总部的组播数据，但不能向总部发组播数据配置：10、VPN隧道内NAT原理： 在两个或多个分支间发送子网冲突的时候，对其中几个分支子网地址进行NAT，对 有冲突的分支账户启用虚拟IP段（可按需求配置多个虚拟IP网段），分支对虚拟网 卡送来的数据先替换源IP为虚拟IP，主机号保持不变，之后发送到总部，对总部送 回的数据根据之前的替换映射关系还原源IP之后在发送到虚拟网卡 这样有相同内网段的几个分支都可以同时连上总部192.168.1.0/24192.168.2.0/24192.168.2.0/24总部分支分支SNAT注意： 隧道内NAT只解决分支与分支网段 冲突问题 分支与总部网段冲突无法解决IP地址是一对一的关系 比如原来是2.1，转换过去 就是3.1，是对应的 （只转换网络位）10、VPN隧道内NAT配置：想要转换到哪个IP段的起始IP地址想要转换到那个IP段的掩码多少个网段需要转换10、VPN隧道内NAT应用：分支A和分支B的内网有冲突，想通过隧道间NAT实现跟总部的互访，并且这2个 分支之间还要能通过总部互访。

192.168.1.0/24192.168.2.0/24192.168.2.0/24总部分支A分支BSNAT（3.0）SNAT（4.0）分支A和分支B如何实现互访？方案： 分支A添加隧道间路由，源为2.0 网段，目的为3.0网段分支B添加隧道间路由，源为2.0 网段，目的为4.0网段源一定是真实网段，因为隧道间 路由在SNAT之前11、VPN隧道内流控应用： VPN隧道内流控主要用来解决某些隧道占用大量带宽，影响其他用户的使用的情况注意： 要注意的问题是不要因为流控导致该隧道内的流量迅速下降，只要不超过最大带 宽限制就可以了 另外，流控只能针对隧道，没办法针对隧道内的具体应用！11、VPN隧道内流控配置：12、跨运营商Dlan4.1支持跨运营商功能（需要额 外开授权，在连接管理里启用）， 此功能解决的是跨运营商导致的丢 包问题，解决因为丢包带来的TCP 滑动窗口变小而导致的传输效率低 下问题，对于跨运营商不丢包而是 延时大的环境没有效果丢包率可以选择低丢包、高丢包和 手动设置，根据不同的网络环境选 择合适的参数进行部署，达到最佳 效果在【序列号设置】里的高级里， 可以打开跨运营商授权，在那里 决定是否支持跨运营商。

一旦开启了跨运营商授权，则连 到该设备来的所有用户都可以启 用跨运营商功能12、跨运营商13、隧道间路由DLAN4.0新增的隧道间路由功能，实 现了两点间在不直。