[高级配置]中包括隧道间路由设置、组播服务管理、VPN时间计划设置、RIP设置和生成硬件证书。
隧道间路由设置
AF提供了强大的VPN隧道间路由功能,通过设置隧道间路由,可轻松实现多个VPN(软/硬件)之间的互联,真正实现“网状”VPN网络。
点击<新增>,可以添加一条隧道间路由,如下图。
选择隧道间路由的应用场景,包含以下五种常用场景:
分支互访:如果分支A和总部已经互通,分支B和总部也已经互通,此时想打通分支A和分支B,通过隧道间路由实现分支A和分支B通过总部中转互通。
分支访问级联总部:如果分支C与二级总部B已经互通,此时分支C想访问一级总部A时,通过隧道间路由可实现分支C访问一级总部A通过二级总部中转互通。
总部代理分支上网:分支B没有互联网出口,但是分支B与总部A互通,通过隧道间路由可实现分支B的内网用户经过总部A的路由中转实现访问互联网。
多总部备份:分支C通过总部A、总部B均可访问某业务系统,正常情况下分支C通过总部A访问业务系统,当与总部A连接断开后,分支C通过总部B访问该业务系统。
自定义隧道间路由:如果以上4种不能满足场景需求,可自定义设置隧道间路由。
此处以分支互访为例,点击<下一步>。
各配置项目说明:
源网段:用来设置隧道间路由的源IP网络和掩码。
目的网段:用来设置隧道间路由的目的IP网络和掩码。
中转路由设置:用来选择隧道间路由条目的VPN隧道(例如,A跟B之间建立了VPN连接,使用的是用户“A”,现在A想通过B访问到C,则对A设备而言,VPN隧道为用户“A”)。
点击<确定>,则启用该隧道间路由条目,配置完成。
:
1.启用通过中转路由分支上网功能时,VPN远程分支端设备必须部署为网关模式,本端设备网关、单臂部署均可。
2.新建隧道间路由之前,需先确认在该VPN设备的[接入账号管理]中已经建好了用户或者[连接管理]中配置了连接管理,否则将无法创建隧道间路由。
3.其中[中转路由设置]是指:[接入账号管理]的[配置模板]中未启用多用户登录选项的用户以及连接管理中配置了的用户(不包括二者重名或已禁用的用户)。
组播服务管理
为满足VOIP和视频会议等应用,深信服设备支持组播服务在隧道间传输。在这里可以定义组播的服务,IP范围是224.0.0.1-239.255.255.255,端口范围是1-65535。页面如下。
点击<新增>出现组播服务编辑页面,在这里可以设置组播服务所用的组播地址和端口,页面如下。
定义好组播服务后,在[接入账号管理]上新增用户,然后在[选择配置模板/添加]新增配置模板中启用组播服务功能,然后在关联相应的组播服务,页面如下。
VPN时间计划设置
用于定义常用的时间段组合,这些时间组合可以在[接入账号管理/配置模板]模块中使用,以设置VPN内网服务的生/失效时间,该时间以设备上当前系统时间为准,页面如下图。
点击<新增>,出现时间计划配置页面,页面如下。
定义一个名称为“test”的时间段,选取相应的时间段组合,宝蓝色为生效时段,白色为失效时段。点提交完成时间组的定义。
定义完成时间段之后,对[接入账号管理/配置模板]中进行时间限定,如下图。
第三方认证服务器
LDAP服务器设置
深信服设备的VPN服务支持使用第三方LDAP认证,如需要启用第三方认证,请在LDAP服务器设置中正确设置第三方LDAP服务器信息(包括LDAP服务器IP、LDAP服务器端口、LDAP管理员密码),如下图所示。
设置好LDAP服务器信息后,点击<高级>,显示LDAP高级设置:对话框,按照实际需求设置LDAP信息,如下图所示。
Radius服务器设置
深信服设备的VPN服务支持使用第三方Radius认证,如需要启用第三方Radius认证,在Radius服务器设置中正确设置第三方Radius服务器信息(包括Radius服务器IP、Radius服务器端口、Radius认证共享密钥、Radius协议),如下图所示。
RIP设置
RIP设置用于设置深信服设备通过RIP协议向其它路由设备通告路由信息,以实现内网路由设备RIP路由信息的动态更新,如下图。
配置项说明:
启用路由选择信息协议:整个RIP动态路由更新功能的开关,激活后,深信服设备会向所设置的内网路由设备通告已与本端建立VPN连接的对端网络的信息(更新其他设备的路由表,添加到VPN对端的路由指向深信服,VPN连接断开后会通告路由设备删除该路由)。
IP地址:用于设置主动向哪个IP(路由设备IP)发布路由更新信息。
更新周期:深信服在路由信息有变化时会触发路由更新信息过程,这时下面设置的RIP更新周期参数失效。
密码验证:用于设置交换RIP协议信息时需要验证的密码,可视具体情况进行设置。
生成硬件证书
基于硬件特性的证书认证系统是深信服公司的发明专利之一。深信服硬件设备也采用了该技术用于不同VPN节点之间的身份认证。该证书提取了深信服设备部分硬件特征生成加密的认证证书。由于硬件特性的唯一性,使得该证书也是唯一的、不可伪造的。通过对该硬件特性的验证,就保障了只有指定的硬件设备才能被授权接入网络,避免了安全隐患。
点击<生成证书选择保存路径>即可生成硬件证书并保存到本地计算机上,页面如下图。
将生成好的证书发给总部管理员,由总部管理员在新建VPN用户账号的时候选择硬件鉴权,将用户和对应的硬件证书进行绑定即可。
建议使用Chrome浏览器访问!
