您可以通过分支有SangforVPN模块的设备(本次分支也拿AF举例)和总部AF建立SangforVPN隧道,打通总部和分支的VPN业务网段互访,同时可以配置对应的应用控制策略来设置VPN内网业务网段的访问权限。
索引:
①登录总部防火墙
②建立主接入地址,分支VPN账号密码等信息,新建应用控制策略放通总部与分支的VPN业务网段互访权限
③登录分支防火墙
④建立连接总部VPN的连接管理信息,新建应用控制策略放通总部与分支的VPN业务网段互访权限
【适用版本AF8.0.59-AF8.0.95】
步骤1:登录总部防火墙操作影响说明:无
1、登录深信服防火墙管理IP地址:https://x.x.x.x
步骤2:配置分支访问总部的主接入地址(密钥可选配置),并且为了保证能正常建立VPN,需要勾选VPN内网接口或者配置本端需要和对端通信的本地子网,用于发布VPN路由操作影响说明:
1、如果总部设备是初次进行SangforVPN配置,没有影响
2、如果VPN在运行中,建议在业务空闲时进行此操作,以避免对正在进行的业务造成影响,如下配置修改操作会导致VPN服务重启:
1)基本设置
2)连接管理
3)虚拟ip池
4)多线路设置
5)VPN接口设置
6)多线路选路策略
7)本地子网列表
8)第三方对接配置
1、在【网络】-【Sangfor/IPsecVPN】-【Sangfor VPN配置】-【基本配置】页面,配置主接入地址,密钥可选配置
2、如果内网还有其他子网网段,还需要配置本地子网,用于发布VPN路由,实现分支和总部多个网段互通,配置方法是在【网络】-【Sangfor/IPsecVPN】-【Sangfor VPN配置】-【基本配置】页面的本地网段,点击新增,如图所示。(如果不涉及子网网段,可以跳过这一步骤)
3、在【网络】-【Sangfor/IPsecVPN】-【Sangfor VPN配置】-【接入账号管理】点击“新增子分组”,可以新增分组,填写分组名称,完成分组的配置。(如果分支用户较少,可以跳过这一步骤)
4、在【网络】-【Sangfor/IPsecVPN】-【Sangfor VPN配置】-【接入账号管理】点击新增,配置VPN分支接入账号,用于管理VPN接入账号信息,设置允许接入VPN的用户账号、密码、设置账号使用的配置模板。其他按需配置过期时间、是否启用硬件捆绑鉴权、隧道内NAT、多线路选路策略等用户策略
5、在【策略】-【访问控制】-【应用控制策略】点击新增,新增应用控制策略放通VPN业务网段互访权限。
步骤3:登录分支防火墙操作影响说明:无
1、登录深信服防火墙管理IP地址:https://x.x.x.x
步骤4:配置根据总部建立的分支账号,在分支设备上新增一条连接总部VPN的连接管理信息操作影响说明:
1、如果总部设备是初次进行SangforVPN配置,没有影响
2、如果VPN在运行中,建议在业务空闲时进行此操作,以避免对正在进行的业务造成影响,如下配置修改操作会导致VPN服务重启:
1)基本设置
2)连接管理
3)虚拟ip池
4)多线路设置
5)VPN接口设置
6)多线路选路策略
7)本地子网列表
8)第三方对接配置
1、在【网络】-【Sangfor/IPsecVPN】-【Sangfor VPN配置】-【连接管理】点击新增,根据总部提供的信息,配置总部主接入地址、对应的账号和密码等连接管理信息,然后确定保存
2、如果内网还有其他子网网段,还需要配置本地子网,用于发布VPN路由,实现分支和总部多个网段互通,配置方法是在【网络】-【Sangfor/IPsecVPN】-【Sangfor VPN配置】-【基本配置】页面的本地网段,点击新增,如图所示。(如果不涉及子网网段,可以跳过这一步骤)
3、在【策略】-【访问控制】-【应用控制策略】点击新增,新增应用控制策略放通VPN业务网段互访权限。
配置验证:
1、登录总部防火墙设备,在【网络】-【Sangfor/IPsecVPN】-【Sangfor VPN配置】-【VPN运行状态】,查看VPN隧道已成功建立
2、登录分支防火墙设备,在【网络】-【Sangfor/IPsecVPN】-【Sangfor VPN配置】-【VPN运行状态】,查看VPN隧道已成功建立
3、最后,分别在分支和总部访问对方的业务网络连通性。
配置可能涉及的关联问题:无
建议使用Chrome浏览器访问!
