如果需要把本端的 SANGFOR 设备接入远端的 SANGFOR 设备，则需要在『连接管理』中进行设置。页面如下：

点新增可以添加到一个总部的连接。如下图所示：

『总部名称』和『描述』用于标记连接名称，可以任意填写。

『主/备份 Webagent』用于填写需要连接的总部的对应 Webagent，点测试按钮可以测试 Webagent 是否工作正常，结果如下图所示：

注意：测试请求均是从本机发起的而不是设备发起的。如果 webagent 是用域名形式，测试成功代表该网页存在，否则网页不存在。如果 webagent 采用固定 IP 方式，则测试成功代表填写的 IP:PORT 格式正确。该测试成功并不代表 VPN 就一定能连接成功。

『传输类型』可选[TCP]或[UDP]，用于决定传输VPN 数据包的封装类型，默认为[UDP]传输模式。

『共享密钥』、『用户名』和『密码』根据总部提供的接入账号信息来填写。

『证书认证』选择对应的证书来进行认证

『指定对端根证』当总部端使用的证书与本端的证书不是同一个 CA 机构颁发时，需要勾选并选择

注意：如果使用了证书认证，用户名不需要填写，会自动获取证书中的颁发给字段。

『跨运营商』功能适用于总部分支采用了不同运营商线路互联经常丢包的情况下。可 以选择“低丢包率”、“高丢包率”和“手动设置”。

注意：跨运营商功能需要通过序列号激活，否则该功能无效。如果是设备和设 备之间互连，则双方都需要开启跨运营商功能才能使用，如果是移动用户和设备互连，则只需要设备开启跨运营商功能即可。

点击内网权限，可以对 VPN 对端进行权限设置，即指定 VPN 对端只能访问本端的哪些服务，页面如下：

设置完以上信息后，勾选[启用]选项即激活该连接。最后点击确定按钮保存设置信息。

注意：
1.若需要对启用隧道内NAT 功能的网点设置内网服务，若在总部设置内网权限， 则源 IP 为 NAT 前的网段；若是在分支设置内网权限，源 IP 为 NAT 后的内网权限。
2.一旦设置了 VPN 内网权限，不光 VPN 对端访问本端受到限制，本端访问 VPN 对端一样会受到内网权限的控制。因为内网权限只检查数据包的 IP 和端口，不管这个数据包是 VPN 对端主动发起的还是本端主动发起 VPN 对端响应的，只要符合规则条件的数据包都会做相同的处理。