SSL VPN

深信服SSL VPN集SSL/IPSec于一身,帮助企业构建端到端的安全防护体系,业内拥有多项加密技术,多种认证方式、主从绑定等特色功能,保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,具有快速、易用、全面等优势特点,并且连续多年市场占有率第一,一直走在技术前沿,提供优质服务,用户认可度极高。
点击可切换产品版本
知道了
不再提醒
SSL7.6.9R1
{{sendMatomoQuery("SSL VPN","IPSEC VPN互连配置案例")}}

IPSEC VPN互连配置案例

更新时间:2023-10-30

某客户网络拓扑如下图所示,总部出口处部署了防火墙,内网接三层交换机,三层交换机下面划分了内部员工区域和服务器区域,且单臂模式部署了SANGFORVPN设备实现与分公司的VPN互连。客户的分公司路由模式部署了SSL设备,实现代理分公司的内部员工上网,并与总部的SSL设备进行VPN互连,实现相互的访问。

总部防火墙上的配置:

由于VPN设备接在内网,且该设备做VPN连接时是以总部部署,所以需要在前置防火墙上做TCP/UDP4009(默认端口)端口映射。

由于总部内网网段跨三层环境,所以需要在前置防火墙上配置系统路由,到172.16.1.0/16网段,其下一跳为172.16.3.1

由于各个厂家设置方法有所不同,以上配置此处不截图说明。

总部三层交换机上的配置

    添加到分支网段192.168.1.0/24网段的路由,其下一跳为172.16.4.100,将数据交由VPN设备进行封装处理。由于各个厂家设置方法有所不同,此处不截图说明。

总部SSL设备上的配置

第一步:单臂模式部署设备。进入『系统设置』『网络配置』,选择设备工作模式为单臂模式,配置LANIP地址、子网掩码、网关,并配置正确的DNS,点击确定,界面如下:

第二步:配置WEBAGENT,进入『IPSEC VPN设置』『基本设置』,设置好主 webagent信息,MTU和最小压缩值默认即可,监听端口采用默认值,本案例配置界面如下:

第三步:为分支建一个VPN账号,进入『IPSEC VPN设置』『用户管理』,新增一个VPN账号,选择类型为分支,配置界面如下:

第四步:新增本地子网,宣告总部需要进行VPN互连的网段,进入『系统设置』『网路配置』『本地子网』,新增总部需要进行VPN互连的网段,配置界面如下:

以上步骤结束,总部配置完成。

分支SSL设备的配置

第一步:网关模式部署设置。进入『系统设置』『网络配置』,选择设备工作模式为网关模式,设置好LAN口和WAN口地址,DNS等信息,点击确定,界面如下:

第二步:设置代理上网,进入『防火墙设置』NAT设置』『代理上网设置』,新增一条规则,定义规则名称,选择内网接口,并设置好子网网段和子网掩码,点击确定,界面如下:

第三步:建立VPN连接,进入『IPSEC VPN设置』『连接管理』,新建一个连接,填写总部设置的WEBAGNET,总部建的VPN账号,界面如下:

以上配置结束后,完成总部与分支VPN连接的所有步骤。可以通过运行状态查看IPSEC VPN的连接情况。

  两台设备做VPN互联时,必须保证至少有一台设备的VPN连接端口在公网上能通。