总部设置

点击<新增>，新增多中心拓扑下的总部设备，各配置项说明如下：

• [总部名称]：定义总部设备的名称

• [共享密钥]：可选配置，设置分支接入总部VPN的认证密码，如配置则分支必须输

  入相同密码才能正常建立VPN。

  主接入地址主要支持的格式有以下三种：

• [固定IP：端口]（其中固定IP支持单IP和多IP，最多支持四个IP，各IP之间以#号分隔，如：202.96.137.75#60.28.239.21:4009），此IP为总部网络出口IP。

• [动态域名：端口]（适用于总部已存在动态域名指向他们出口的公网IP的环境。如：www.sangfor.com.cn:4009）。

• [Webagent服务器]（适用于总部VPN设备没有固定公网IP的环境，如ADSL线路，格式如：www.sangfor.com/NG4.0/test.php、202.96.137.75/test.php）。

  备接入地址格式和主一致，匹配规则如下：

  主接入地址的优先级高于备接入地址，当主接入地址不可用时，备接入地址才生效；

  分支连接时需要至少与本端配置的主或备webagent匹配上一条。

  点击右上角按钮，支持按照名称来搜索指定的总部设备。

多中心连接管理

点击<新增>，新增多中心拓扑设置，填写拓扑连接名称、账号名称、密码、传输类型等信息。

• <启用>：勾选此按钮，启用该条连接管理设置。

• [连接名称]：定义连接管理名称，用于标识和区分不同的连接。

• [接入账号名称]：定义Sangfor VPN认证的接入账号

• [认证方式]：可选密码认证、证书认证。当选择证书认证时，则需要导入证书文件。

• [密码]：定义Sangfor VPN认证账号使用的密码

• [传输类型]：可选UDP、UDP + TCP伪装、UDP + ESP伪装，用于决定传输VPN数据包的封装类型，默认为UDP传输模式，当前版本已去除TCP的传输类型。

• [VPN连接自动避障设置]：用于启用VPN端口定期切换和协议自适应切换，用于缓解运营商端口和协议封堵带来的VPN网络问题，如下图。

[启用VPN端口定期切换]：从计时器计数到切换时间，VPN会使用新端口先建立起新的VPN连接，此时新老连接共存，当业务切换到新端口建立的VPN连接后再销毁旧的VPN连接。

[启用VPN协议自适应切换]：在SANGFOR VPN隧道启用协议自适应功能后，该隧道建立VPN连接时会分别通过UDP、FAKE_TCP、FAKE_ESP三种协议建立三条冗余连接，当主连接线路断开或线路劣化大于预设阈值，则主线路会切换为其他两条中质量最好的线路。

• [VPN 总部资源池设置]：分别勾选主备VPN总部资源池设备，VPN分支设备优先连接主VPN资源池总部设备，当主VPN总部设备均不满足要求或达到设置的切换条件时，VPN分支会自动连接备VPN总部资源池设备，自动建立VPN。

  点击<高级设置>，可设置内网服务访问权限，对内网服务协议执行允许或拒绝的动作，支持的服务类型：所有服务、TCP、UDP、ICMP。如下图所示。

  

• [总部切换配置]：分支设备每20秒探测一次分支与总部之间的隧道内所有VPN连接的质量，若符合启用的切换规则，则进行总部切换。支持的切换方式有以下三种：连接劣化切换规则、连接中断切换规则、业务探测失败切换规则。

• [启用连接劣化切换规则]：当符合丢包或延时中设置的任一劣化条件，且劣化次数达到设置的阈值时，则执行VPN总部设备的切换。

• [启用连接中断切换规则]：当前VPN总部的VPN隧道内所有VPN连接同时发生中断，则按照设置的次数重连；如果超过设置的重连次数，VPN依然没有恢复，则认为总部设备不可用，系统自动触发总部设备的切换。

• [启用业务探测失败切换规则]：使用PING命令对目标IP做探测，若设置的目标IP均不可达，则认为总部设备不可用，系统自动触发VPN总部设备的切换。同时，可设置PING检测的时间间隔、失败阈值，默认为2s发起一次PING检测，若连续3次探测均中断，则认为该地址不可达。

  

• [主备回切配置]：若总部已切换到备VPN总部资源池中的设备，为保障网络使用体验，需要定时将设备总部回切至主VPN总部资源池中。支持两种回切方式：固定期限内回切（默认8小时）、固定时间点回切。如下所示。

  

  支持对已创建的多中心连接执行以下操作：删除、启用、禁用、搜索功能。