更新时间:2023-05-05
隧道间路由配置
SDW-R系列设备提供了强大的VPN隧道间路由功能,通过设置隧道间路由,可轻松实现多个VPN(软/硬件)之间的互联,真正实现“网状”VPN网络。
点击<新增>,可以添加一条隧道间路由,如下图。
选择隧道间路由的应用场景,包含以下五种常用场景:
分支互访:如果分支A和总部已经互通,分支B和总部也已经互通,此时想打通分支A和分支B,通过隧道间路由实现分支A和分支B通过总部中转互通。
分支访问级联总部:如果分支C与二级总部B已经互通,此时分支C想访问一级总部A时,通过隧道间路由可实现分支C访问一级总部A通过二级总部中转互通。
总部代理分支上网:分支B没有互联网出口,但是分支B与总部A互通,通过隧道间路由可实现分支B的内网用户经过总部A的路由中转实现访问互联网。
多总部备份:分支C通过总部A、总部B均可访问某业务系统,正常情况下分支C通过总部A访问业务系统,当与总部A连接断开后,分支C通过总部B访问该业务系统。
自定义隧道间路由:如果以上4种不能满足场景需求,可自定义设置隧道间路由。
此处以分支互访为例,点击<下一步>。
各配置项目说明:
[源网段]:用来设置隧道间路由的源IP网络和掩码。
[目的网段]:用来设置隧道间路由的目的IP网络和掩码。
[中转路由设置]:用来选择隧道间路由条目的VPN隧道(例如,A跟B之间建立了VPN连接,使用的是用户“A”,现在A想通过B访问到C,则对A设备而言,VPN隧道为用户“A”)。
点击<确定>,则启用该隧道间路由条目,配置完成如下所示。
:
启用通过中转路由分支上网功能时,VPN远程分支端设备必须部署为网关模式,本端设备网关、单臂部署均可。
新建隧道间路由之前,需先确认在该VPN设备的[接入账号管理]中已经建好了用户或者[连接管理]中配置了连接管理,否则将无法创建隧道间路由。
其中[中转路由设置]是指:[接入账号管理]的[配置模板]中未启用多用户登录选项的用户以及连接管理中配置了的用户(不包括二者重名或已禁用的用户)。
组播服务管理
为满足VOIP和视频会议等应用,SDW-R设备支持组播服务在隧道间传输。在这里可以定义组播的服务,ip范围是224.0.0.1-239.255.255.255,端口范围是1-65535。页面如下。
点击<新增>出现组播服务编辑页面,在这里可以设置组播服务所用的组播地址和端口,页面如下。
填写[名称]和[描述]后,点击<新增>IP范围,可以设置组播服务所用的组播地址和端口。
定义好组播服务后,在[VPN]-[Sangfor VPN配置/接入账号管理]上新增用户,然后在[选择配置模板/添加]新增配置模板中启用组播服务功能,然后在关联相应的组播服务,页面如下。
对于组播服务器,管理员可以进行新增、编辑、删除等操作,如下图所示。
:
默认的组播服务Default Multicast service置灰,不允许删除。
VPN时间计划管理
用于定义常用的时间段组合,这些时间组合可以在[VPN]-[Sangfor VPN配置/接入账号管理]的[配置模板]中使用,以设置VPN内网服务的生/失效时间,该时间以设备上当前系统时间为准,页面如下图。
在[VPN]-[Sangfor VPN配置/高级配置]-[VPN时间计划管理]页面下,点击<新增>,出现时间计划配置页面,页面如下。
定义一个名称为“demo”的时间段,选取相应的时间段组合,宝蓝色为生效时段,白色为失效时段。点<确定>完成时间计划的定义。
定义完时间段之后,在[VPN]-[Sangfor VPN配置/接入账号管理]中进行针对ICMP、TCP、UDP及所有服务的时间限定,如下图。
RIP设置
点击[VPN]-[Sangfor VPN配置/高级配置]-[RIP配置]用于设置SDW-R设备通过RIP协议向其它路由设备通告路由信息,以实现内网路由设备RIP路由信息的动态更新,如下图。
各配置项说明:
[启用路由选择信息协议]:整个RIP动态路由更新功能的开关,激活后,SDW-R设备会向所设置的内网路由设备通告已与本端建立VPN连接的对端网络的信息(更新其他设备的路由表,添加到VPN对端的路由指向SDW-R,VPN连接断开后会通告路由设备删除该路由)。
[IP地址]:用于设置主动向哪个IP(路由设备IP)发布路由更新信息。
[更新周期]:SDW-R在路由信息有变化时会触发路由更新信息过程,这时下面设置的RIP更新周期参数失效。
[启用密码验证]:用于设置交换RIP协议信息时需要验证的密码,可视具体情况进行设置。
:
此RIP功能仅用作发布VPN路由,和传统的RIP协议有区别。
生成硬件证书
基于硬件特性的证书认证系统是深信服公司的发明专利之一。SDW-R硬件设备也采用了该技术用于不同VPN节点之间的身份认证。该证书提取了SDW-R设备部分硬件特征生成加密的认证证书。由于硬件特性的唯一性,使得该证书也是唯一的、不可伪造的。通过对该硬件特性的验证,就保障了只有指定的硬件设备才能被授权接入网络,避免了安全隐患。
点击<生成硬件证书>即可生成硬件证书并保存到本地计算机上,页面如下图。
生成完成后,硬件证书以id为文件后缀,如下所示:
将生成好的证书发给总部管理员,由总部管理员在新建VPN用户账号的时候选择硬件证书鉴权,将用户和对应的硬件证书进行绑定,用于提高VPN用户接入认证的安全性,如下图所示。