SCSA——SANGFOR VPN

学完深信服直接起飞。
SCSA——SANGFOR VPN

深信服设备自身能互联两种VPN类型,一是标准IPSec VPN,另一个就是自主开发的SANGFOR VPN。

配置案例IPSec VPN

SANGFOR VPN的优势

  • 与标准IPSec VPN相比,SANGFOR VPN的专利技术的优势:
    1、支持两端都为非固定IP的公网环境——通过webagent实现
    2、更细致的权限粒度

  • 与标准IPSec VPN相比,SANGFOR VPN的特殊场景:
    1、更细致的权限粒度
    2、隧道间路由技术,分支用户通过总部上网,实现总部的统一管控
    3、隧道内NAT技术,解决多个分支网段IP冲突的问题

WebAgent 我自己的理解

  • 就是写外网地址的意思,写好后在外面的分支可以通过这个WEBAGENT来寻找到你总部设置的外网地址,然后建立VPN的隧道!
  • 深信服的基于VPN的动态寻址技术,基本上就和花生壳的功能性质差不多,是固定IP的一种技术,让对方能找到你。

WebAgent支持两端都为非固定IP的公网

WebAgent寻址过程:用于SANGFOR VPN互联时,分支与移动用户寻找总部的地址,从而建立VPN连接。(寻址过程中,所有信息均使用DES加密。)

SCSA——SANGFOR VPN

更细致的权限粒度

通俗的讲就是给VPN划分权限,在登录深信服VPN客户端时不同用户的VPN相应的权限不同。在一个公司里面,CEO能访问所有东西,员工只能访问部分东西。
SCSA——SANGFOR VPN

线路探测技术

通过该技术可以在两点间同时使用多条Internet 线路实现互联。一方面通过线路复用实现互联带宽叠加,大大增加大数据量业务的处理速度,另一方面,当其中的一条线路中断时,系统可以把负载自动切换到其他线路,使得互联线路不中断,大大增强VPN系统的稳定性。

SCSA——SANGFOR VPN

术语解释

总部:
提供VPN接入服务,为其他VPN用户提供接入账户校验的设备。SANGFOR VPN总部设备需要配置WEBAGENT、VPN接入账号等。一般将服务器端所在的网络做为总部。

分支:
即接入总部端的设备。一般将客户端所在的网络做为分支。

移动:
即SANGFOR VPN的软件客户端,又称为PDLAN。一般将通过软件接入总部的单个客户端称为移动用户。

一个VPN设备既可以当总部,也可以当分支,也可以同时充当总部和分支的角色。

SCSA——SANGFOR VPN

WebAgent格式

WebAgent:用于SANGFOR DLAN互联时,分支与移动用户寻找总部的地址,从而建立 VPN连接。

WEBAGENT有如下几种的填写方式:

  1. IP:端口,如123.123.123.123:4009
    适用于总部VPN设备有固定公网IP地址的环境

  2. IP1#IP2:端口,如123.123.123.123#221.221.221.221:4009
    适用于总部VPN设备有多条固定IP的线路,且需要做VPN的线路备份的环境

  3. 网址的形式,如webagent.sangfor.com.cn/webagent/123.php
    适用于总部VPN设备没有固定公网IP的环境,如ADSL线路

  4. 域名:端口形式,如www.sangfor.com:4009
    适用于总部已存在动态域名指向他们出口的公网IP的环境

官方术语总结成自己话,webagent建立连接使用的端口号是4009

本地子网

IPSec VPN一般通过ACL抓取感兴趣流,而SANGFOR VPN是通过本地子网宣告自身内网网段给对端的形式,来让对端具备访问本端网段的路由,从而实现数据的互访。(设备默认只宣告设备直连网段)

SCSA——SANGFOR VPN

VPNTUN接口

Vpntun接口:VPN隧道口,VPN数据的虚拟路由口,用来引导数据发往VPN隧道,从而封装报文。

SCSA——SANGFOR VPN

建立条件

1、至少有一端是总部,且有足够的授权。SANGFOR硬件与SANGFOR硬件之间互连不需要授权,与第三方对接需要分支授权,移动客户端需要移动用户授权。

2、至少有一端在公网上可访问,即“可寻址”或固定公网IP。

3、建立VPN两端的内网地址不能冲突。

4、建立VPN两端的软件版本要匹配。(如VPN4.x版本既能跟VPN4.x版本互联也能跟VPN5.x版本互联,但VPN2.x版本只能跟VPN2.x版本互联)

建立过程

SCSA——SANGFOR VPN
最基本的三步曲

1、寻址:与谁建立连接(找到目标) ——寻址(WebAgent原理、WebAgent设置)

2、认证:身份验证(提交正确、充分的信息)—账号密码、Dkey、硬件鉴权、第三方认证。

3、策略:(下发)选路策略、权限策略、VPN路由策略、安全策略(移动用户)、VPN专线(移动用户)、分配虚拟IP

SANGFOR VPN建立隧道

在SSLVPN172.172.2.200和WOC172.172.10.3之间之间建立Sangfor VPN 隧道

SCSA——SANGFOR VPN
SCSA——SANGFOR VPN

数据发送成功

SCSA——SANGFOR VPN

数据回包成功

SCSA——SANGFOR VPN

权限控制场景

需求:
总部和分支部署了两台VPN设备,现总部的VPN设备做为VPN总部与分支建立了VPN连接,用户要求对分支访问总部的服务器进行权限控制,只允许分支网络的PC访问总部的WEB服务器(80端口),禁止访问其他的任何服务器(包括PC客户端)。如下图:

基本思路:
该客户需求一共有两种方法可以实现,通过VPN内网权限(两端都会受到限制)或者通过防火墙过滤规则(更细化的控制)。

SCSA——SANGFOR VPN

分支通过总部互联场景

需求:
总部分别与两个分支建立VPN连接,分支1与分支2均能访问总部内网,现用户要求分支1与分支2之间能相互访问。

问题分析:
两个分支分别与总部建立 VPN 隧道,但分支1与分支2之间并没有任何线路相连,也没有 VPN 隧道。

解决办法:
通过分别在分支1和分支2的设备中配置隧道间路由实现。

SCSA——SANGFOR VPN

分支通过总部上网场景

需求:
总部与分支建立VPN连接,总部希望审计分支的上网行为,因此总部要求分支通过总部实现上网。

解决办法:
通过在分支1中配置隧道间路由实现通过总部上网。

SCSA——SANGFOR VPN

分支地址冲突场景

需求:
总部分别与两个分支建立VPN连接,分支1与分支2内网均为192.168.1.0/24网段,用户要求不能改变任何一端的IP地址,实现分支与总部互访。

问题分析:
两个分支内网网段相同,当总部收到来自192.168.1.0/24网段的数据时,不知道该回给哪个分支。

解决办法:
通过配置隧道内NAT实现

SCSA——SANGFOR VPN

上一篇:ASP .NET CORE 根据环境变量支持多个 appsettings.json


下一篇:js中的变量类型