安智路由器SDW-R

.
点击可切换产品版本
知道了
不再提醒
SDW-R4.0.70
{{sendMatomoQuery("安智路由器SDW-R","高级配置")}}

高级配置

更新时间:2023-05-05
  1. 隧道间路由配置

    SDW-R系列设备提供了强大的VPN隧道间路由功能,通过设置隧道间路由,可轻松实现多个VPN(软/硬件)之间的互联,真正实现“网状”VPN网络。

  1. 点击<新增>,可以添加一条隧道间路由,如下图。

  1. 选择隧道间路由的应用场景,包含以下五种常用场景:

  • 分支互访:如果分支A和总部已经互通,分支B和总部也已经互通,此时想打通分支A和分支B,通过隧道间路由实现分支A和分支B通过总部中转互通。

  • 分支访问级联总部:如果分支C与二级总部B已经互通,此时分支C想访问一级总部A时,通过隧道间路由可实现分支C访问一级总部A通过二级总部中转互通。

  • 总部代理分支上网:分支B没有互联网出口,但是分支B与总部A互通,通过隧道间路由可实现分支B的内网用户经过总部A的路由中转实现访问互联网。

  • 多总部备份:分支C通过总部A、总部B均可访问某业务系统,正常情况下分支C通过总部A访问业务系统,当与总部A连接断开后,分支C通过总部B访问该业务系统。

  • 自定义隧道间路由:如果以上4种不能满足场景需求,可自定义设置隧道间路由。

  1. 此处以分支互访为例,点击<下一步>。

各配置项目说明:

  • [源网段]:用来设置隧道间路由的源IP网络和掩码。

  • [目的网段]:用来设置隧道间路由的目的IP网络和掩码。

  • [中转路由设置]:用来选择隧道间路由条目的VPN隧道(例如,A跟B之间建立了VPN连接,使用的是用户“A”,现在A想通过B访问到C,则对A设备而言,VPN隧道为用户“A”)。

  1. 点击<确定>,则启用该隧道间路由条目,配置完成如下所示。

  1. 启用通过中转路由分支上网功能时,VPN远程分支端设备必须部署为网关模式,本端设备网关、单臂部署均可。

  2. 新建隧道间路由之前,需先确认在该VPN设备的[接入账号管理]中已经建好了用户或者[连接管理]中配置了连接管理,否则将无法创建隧道间路由。

  3. 其中[中转路由设置]是指:[接入账号管理]的[配置模板]中未启用多用户登录选项的用户以及连接管理中配置了的用户(不包括二者重名或已禁用的用户)。

    1. 组播服务管理

      为满足VOIP和视频会议等应用,SDW-R设备支持组播服务在隧道间传输。在这里可以定义组播的服务,ip范围是224.0.0.1-239.255.255.255,端口范围是1-65535。页面如下。

  1. 点击<新增>出现组播服务编辑页面,在这里可以设置组播服务所用的组播地址和端口,页面如下。

  1. 填写[名称]和[描述]后,点击<新增>IP范围,可以设置组播服务所用的组播地址和端口。

  1. 定义好组播服务后,在[VPN]-[Sangfor VPN配置/接入账号管理]上新增用户,然后在[选择配置模板/添加]新增配置模板中启用组播服务功能,然后在关联相应的组播服务,页面如下。

  1. 对于组播服务器,管理员可以进行新增、编辑、删除等操作,如下图所示。

默认的组播服务Default Multicast service置灰,不允许删除。

  1. VPN时间计划管理

用于定义常用的时间段组合,这些时间组合可以在[VPN]-[Sangfor VPN配置/接入账号管理]的[配置模板]中使用,以设置VPN内网服务的生/失效时间,该时间以设备上当前系统时间为准,页面如下图。

  1. 在[VPN]-[Sangfor VPN配置/高级配置]-[VPN时间计划管理]页面下,点击<新增>,出现时间计划配置页面,页面如下。

  1. 定义一个名称为“demo”的时间段,选取相应的时间段组合,宝蓝色为生效时段,白色为失效时段。点<确定>完成时间计划的定义。

  2. 定义完时间段之后,在[VPN]-[Sangfor VPN配置/接入账号管理]中进行针对ICMP、TCP、UDP及所有服务的时间限定,如下图。

    1. RIP设置

点击[VPN]-[Sangfor VPN配置/高级配置]-[RIP配置]用于设置SDW-R设备通过RIP协议向其它路由设备通告路由信息,以实现内网路由设备RIP路由信息的动态更新,如下图。

各配置项说明:

  • [启用路由选择信息协议]:整个RIP动态路由更新功能的开关,激活后,SDW-R设备会向所设置的内网路由设备通告已与本端建立VPN连接的对端网络的信息(更新其他设备的路由表,添加到VPN对端的路由指向SDW-R,VPN连接断开后会通告路由设备删除该路由)。

  • [IP地址]:用于设置主动向哪个IP(路由设备IP)发布路由更新信息。

  • [更新周期]:SDW-R在路由信息有变化时会触发路由更新信息过程,这时下面设置的RIP更新周期参数失效。

  • [启用密码验证]:用于设置交换RIP协议信息时需要验证的密码,可视具体情况进行设置。

此RIP功能仅用作发布VPN路由,和传统的RIP协议有区别。

  1. 生成硬件证书

    基于硬件特性的证书认证系统是深信服公司的发明专利之一。SDW-R硬件设备也采用了该技术用于不同VPN节点之间的身份认证。该证书提取了SDW-R设备部分硬件特征生成加密的认证证书。由于硬件特性的唯一性,使得该证书也是唯一的、不可伪造的。通过对该硬件特性的验证,就保障了只有指定的硬件设备才能被授权接入网络,避免了安全隐患。

  1. 点击<生成硬件证书>即可生成硬件证书并保存到本地计算机上,页面如下图。

  1. 生成完成后,硬件证书以id为文件后缀,如下所示:

  1. 将生成好的证书发给总部管理员,由总部管理员在新建VPN用户账号的时候选择硬件证书鉴权,将用户和对应的硬件证书进行绑定,用于提高VPN用户接入认证的安全性,如下图所示。