SSL VPN

深信服SSL VPN集SSL/IPSec于一身,帮助企业构建端到端的安全防护体系,业内拥有多项加密技术,多种认证方式、主从绑定等特色功能,保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,具有快速、易用、全面等优势特点,并且连续多年市场占有率第一,一直走在技术前沿,提供优质服务,用户认可度极高。
点击可切换产品版本
知道了
不再提醒
SSL7.1
{{sendMatomoQuery("SSL VPN","IPSEC VPN互连配置案例")}}

IPSEC VPN互连配置案例

更新时间:2022-01-10

案例背景

某客户网络拓扑如下图所示,总部出口处部署了防火墙,内网接三层交换机,三层交换机下面划分了内部员工区域和服务器区域,且单臂模式部署了 SANGFOR 的 VPN 设备实现与分公司的 VPN 互连。客户的分公司路由模式部署了 SSL 设备,实现代理分公司的内部员工上网,并与总部的 SSL 设备进行 VPN 互连,实现相互的访问。

配置步骤

总部防火墙上的配置:

由于 VPN 设备接在内网,且该设备做 VPN 连接时是以总部部署,所以需要在前置防火墙上做 TCP/UDP 的 4009(默认端口)端口映射。

由于总部内网网段跨三层环境,所以需要在前置防火墙上配置系统路由,到172.16.1.0/16 网段,其下一跳为 172.16.3.1。

各个厂家设置方法有所不同,以上配置此处不截图说明。

总部三层交换机上的配置:

添加到分支网段 192.168.1.0/24 网段的路由,其下一跳为 172.16.4.100,将数据交由VPN 设备进行封装处理。由于各个厂家设置方法有所不同,此处不截图说明。

总部 SSL 设备上的配置:

第一步:单臂模式部署设备。进入『系统设置』→『网络配置』,选择设备工作模式为单臂模式,配置 LAN 口 IP 地址、子网掩码、网关,并配置正确的 DNS,点击确定,界面如下:

第二步:配置WEBAGENT,进入『IPSEC VPN 设置』→『基本设置』,设置好主 webagent信息,MTU 和最小压缩值默认即可,监听端口采用默认值,本案例配置界面如下:

第三步:为分支建一个 VPN 账号,进入『IPSEC VPN 设置』→『用户管理』,新增一个 VPN 账号,选择类型为分支,配置界面如下:

第四步:新增本地子网,宣告总部需要进行 VPN 互连的网段,进入『系统设置』→『网路配置』→『本地子网』,新增总部需要进行 VPN 互连的网段,配置界面如下:

以上步骤结束,总部配置完成。

分支 SSL 设备的配置:

第一步:网关模式部署设置。进入『系统设置』→『网络配置』,选择设备工作模式为网关模式,设置好 LAN 口和 WAN 口地址,DNS 等信息,点击确定,界面如下:

第二步:设置代理上网,进入『防火墙设置』→『NAT 设置』→『代理上网设置』,新增一条规则,定义规则名称,选择内网接口,并设置好子网网段和子网掩码,点击确定,界面如下:

第三步:建立 VPN 连接,进入『IPSEC VPN 设置』→『连接管理』,新建一个连接, 填写总部设置的 WEBAGNET,总部建的 VPN 账号,界面如下:

以上配置结束后,完成总部与分支 VPN 连接的所有步骤。可以通过运行状态查看IPSEC VPN 的连接情况。

注意: 两台设备做 VPN 互联时,必须保证至少有一台设备的 VPN 连接端口在公网上能通。