访问地址&密钥配置

在[Sangfor VPN配置/基本配置]的页面，配置项说明如下。

1. 主接入地址主要支持的格式有以下三种：

• 固定IP：端口（其中固定IP支持单IP和多IP，最多支持四个IP，各IP之间以#号分隔，如：202.96.137.75#60.28.239.21:4009），此IP为总部网络出口IP。

• 动态域名：端口（适用于总部已存在动态域名指向他们出口的公网IP的环境。如：www.sangfor.com.cn:4009）。

• Webagent服务器（适用于总部VPN设备没有固定公网IP的环境，如ADSL线路，格式如：www.sangfor.com/NG4.0/test.php、202.96.137.75/test.php）。如果选择Webagent服务器方式，可以根据要连接的webagent服务器的密码，在此处设置相同的密码，点击<修改密码>可以设置Webagent密码，以防止非法用户盗用Webagent更新虚假IP地址，Webagent服务器密码为可选配置。

  

2. 备接入地址格式和主一致，匹配规则如下：

主接入地址的优先级高于备接入地址，当主接入地址不可用时，备接入地址才生效；分支连接时需要至少与本端配置的主或备webagent匹配上一条。

3. 密钥：可选配置，设置分支接入总部VPN的认证密码，如配置则分支必须输入相同密码才能正常建立VPN。

4. 连通性测试：测试主接入地址的格式是否正确以及TCP端口是否可达。

5. 配置完成后，点击<保存设置>。

：

1. 如果设置Webagent服务器密码，一旦遗失该密码则无法恢复，只能联系深信服科技客户服务中心，重新生成一个不包含“Webagent密码的文件”并替换原有文件。

2. 如果是多线路且都是固定IP的情况下，可以采用“IP1#IP2:port”的方式来填写Webagent。

本地网段

当设备所处内网有三层交换机或者路由器之类设备，划分了多个网段，则需要在这里将除设备LAN口所在网段之外的其他多个网段的信息添加进去。

1. 点击<新增>，填入本端其他网段地址即可完成本地子网列表的添加，支持“网段/掩码/下一跳路由/优先级”格式，其中“下一跳路由”和“优先级”为可选设置，页面如下。

   

2. 添加完成后，点击<确定>即可。

：

1. 设备LAN口和DMZ口所在网段，不需要添加到本地子网列表。只有本地内网有多网段情况，才需要添加其他网段到本地子网列表。

2. 添加的网段若含下一跳路由，需保证下一跳IP地址可以匹配设备出接口，否则无法在路由表中产生路由信息。

3. 本地子网的优先级字段，取值范围为100-1000，优先级值越小，发布给对端的VPN路由优先级越高。

高级配置

1. 高级设置中，包括VPN内网接口、VPN接口、VPN监听端口等配置，页面如下。

各配置项说明：

• [VPN内网接口]：包括LAN口和DMZ口，用于设置VPN网段，即属于LAN口或DMZ口网段范围之内的IP地址就认为是VPN数据，其他网段IP地址都为非VPN数据。

• [VPN接口]：用于设置本端设备的VPN接口IP地址，可以自动分配或者手动定义VPN接口IP。

• [VPN监听端口]：用于设置VPN服务的监听端口，缺省为4009，可根据需要设置。

• [MTU]：用于设置VPN数据的最大MTU值，默认为1500。

• [MSS]：用于设置UDP传输模式下VPN数据的最大分片。

：

MTU、MSS一般情况下请保留默认值，如需设置，请在深信服技术支持工程师的指导下修改。

• [广播]：是否开启广播设置，如果开启广播，则需要填写广播包端口范围。

• [组播]：是否开启组播设置，如果开启组播，可以把从分支LAN侧接收到的组播包通过Sangfor VPN隧道透传到总部，分支和总部均需要启用。

2. 配置完成之后，需点击<保存配置>，配置才可以生效。