学完深信服直接起飞。
大家都知道IPSEC却很少了解SANGFOR,今天就带大家来康康这个听起来高大上的VPN。其实就是IPSEC衍生出来的版本。
深信服设备自身能互联两种VPN类型,一是标准IPSec VPN,另一个就是自主开发的SANGFOR 隧道。
配置案例:IPSec 隧道
SANGFOR VPN的优势
- 与标准IPSec VPN相比,SANGFOR VPN的专利技术的优势:
1、支持两端都为非固定IP的公网环境——通过webagent实现
2、更细致的权限粒度 - 与标准IPSec VPN相比,SANGFOR VPN的特殊场景:
1、更细致的权限粒度
2、隧道间路由技术,分支用户通过总部上网,实现总部的统一管控
3、隧道内NAT技术,解决多个分支网段IP冲突的问题
WebAgent 我自己的理解
- 就是写外网地址的意思,写好后在外面的分支可以通过这个WEBAGENT来寻找到你总部设置的外网地址,然后建立VPN的隧道!
- 深信服的基于VPN的动态寻址技术,基本上就和花生壳的功能性质差不多,是固定IP的一种技术,让对方能找到你。
WebAgent支持两端都为非固定IP的公网
WebAgent寻址过程:用于SANGFOR VPN互联时,分支与移动用户寻找总部的地址,从而建立VPN连接。(寻址过程中,所有信息均使用DES加密。)
更细致的权限粒度
通俗的讲就是给VPN划分权限,在登录深信服VPN客户端时不同用户的VPN相应的权限不同。在一个公司里面,CEO能访问所有东西,员工只能访问部分东西。
线路探测技术
通过该技术可以在两点间同时使用多条Internet 线路实现互联。一方面通过线路复用实现互联带宽叠加,大大增加大数据量业务的处理速度,另一方面,当其中的一条线路中断时,系统可以把负载自动切换到其他线路,使得互联线路不中断,大大增强VPN系统的稳定性。
术语解释
总部:
提供VPN接入服务,为其他VPN用户提供接入账户校验的设备。SANGFOR VPN总部设备需要配置WEBAGENT、VPN接入账号等。一般将服务器端所在的网络做为总部。
分支:
即接入总部端的设备。一般将客户端所在的网络做为分支。
移动:
即SANGFOR VPN的软件客户端,又称为PDLAN。一般将通过软件接入总部的单个客户端称为移动用户。
一个VPN设备既可以当总部,也可以当分支,也可以同时充当总部和分支的角色。
WebAgent格式
WebAgent:用于SANGFOR DLAN互联时,分支与移动用户寻找总部的地址,从而建立 VPN连接。
WEBAGENT有如下几种的填写方式:
- IP:端口,如123.123.123.123:4009
适用于总部VPN设备有固定公网IP地址的环境 - IP1#IP2:端口,如123.123.123.123#221.221.221.221:4009
适用于总部VPN设备有多条固定IP的线路,且需要做VPN的线路备份的环境 - 网址的形式,如webagent.sangfor.com.cn/webagent/123.php
适用于总部VPN设备没有固定公网IP的环境,如ADSL线路 - 域名:端口形式,如www.sangfor.com:4009
适用于总部已存在动态域名指向他们出口的公网IP的环境
官方术语总结成自己话,webagent建立连接使用的端口号是4009
本地子网
IPSec VPN一般通过ACL抓取感兴趣流,而SANGFOR VPN是通过本地子网宣告自身内网网段给对端的形式,来让对端具备访问本端网段的路由,从而实现数据的互访。(设备默认只宣告设备直连网段)
VPNTUN接口
Vpntun接口:VPN隧道口,VPN数据的虚拟路由口,用来引导数据发往VPN隧道,从而封装报文。
建立条件
1、至少有一端是总部,且有足够的授权。SANGFOR硬件与SANGFOR硬件之间互连不需要授权,与第三方对接需要分支授权,移动客户端需要移动用户授权。
2、至少有一端在公网上可访问,即“可寻址”或固定公网IP。
3、建立VPN两端的内网地址不能冲突。
4、建立VPN两端的软件版本要匹配。(如VPN4.x版本既能跟VPN4.x版本互联也能跟VPN5.x版本互联,但VPN2.x版本只能跟VPN2.x版本互联)
建立过程
最基本的三步曲
1、寻址:与谁建立连接(找到目标) ——寻址(WebAgent原理、WebAgent设置)
2、认证:身份验证(提交正确、充分的信息)—账号密码、Dkey、硬件鉴权、第三方认证。
3、策略:(下发)选路策略、权限策略、VPN路由策略、安全策略(移动用户)、VPN专线(移动用户)、分配虚拟IP
SANGFOR VPN建立隧道
在SSLVPN172.172.2.200和WOC172.172.10.3之间之间建立Sangfor VPN 隧道
数据发送成功
数据回包成功
权限控制场景
需求:
总部和分支部署了两台VPN设备,现总部的VPN设备做为VPN总部与分支建立了VPN连接,用户要求对分支访问总部的服务器进行权限控制,只允许分支网络的PC访问总部的WEB服务器(80端口),禁止访问其他的任何服务器(包括PC客户端)。如下图:
基本思路:
该客户需求一共有两种方法可以实现,通过VPN内网权限(两端都会受到限制)或者通过防火墙过滤规则(更细化的控制)。
分支通过总部互联场景
需求:
总部分别与两个分支建立VPN连接,分支1与分支2均能访问总部内网,现用户要求分支1与分支2之间能相互访问。
问题分析:
两个分支分别与总部建立 VPN 隧道,但分支1与分支2之间并没有任何线路相连,也没有 VPN 隧道。
解决办法:
通过分别在分支1和分支2的设备中配置隧道间路由实现。
分支通过总部上网场景
需求:
总部与分支建立VPN连接,总部希望审计分支的上网行为,因此总部要求分支通过总部实现上网。
解决办法:
通过在分支1中配置隧道间路由实现通过总部上网。
分支地址冲突场景
需求:
总部分别与两个分支建立VPN连接,分支1与分支2内网均为192.168.1.0/24网段,用户要求不能改变任何一端的IP地址,实现分支与总部互访。
问题分析:
两个分支内网网段相同,当总部收到来自192.168.1.0/24网段的数据时,不知道该回给哪个分支。
解决办法:
通过配置隧道内NAT实现