• 
  

学完深信服直接起飞。

大家都知道IPSEC却很少了解SANGFOR，今天就带大家来康康这个听起来高大上的VPN。其实就是IPSEC衍生出来的版本。

深信服设备自身能互联两种VPN类型，一是标准IPSec VPN，另一个就是自主开发的SANGFOR 隧道。

配置案例：IPSec 隧道

SANGFOR VPN的优势

• 与标准IPSec VPN相比，SANGFOR VPN的专利技术的优势：
  1、支持两端都为非固定IP的公网环境——通过webagent实现
  2、更细致的权限粒度
  
• 与标准IPSec VPN相比，SANGFOR VPN的特殊场景：
  1、更细致的权限粒度
  2、隧道间路由技术，分支用户通过总部上网，实现总部的统一管控
  3、隧道内NAT技术，解决多个分支网段IP冲突的问题
  

WebAgent 我自己的理解

• 就是写外网地址的意思，写好后在外面的分支可以通过这个WEBAGENT来寻找到你总部设置的外网地址，然后建立VPN的隧道！
• 深信服的基于VPN的动态寻址技术，基本上就和花生壳的功能性质差不多，是固定IP的一种技术，让对方能找到你。

WebAgent支持两端都为非固定IP的公网

WebAgent寻址过程：用于SANGFOR VPN互联时，分支与移动用户寻找总部的地址，从而建立VPN连接。（寻址过程中，所有信息均使用DES加密。）

更细致的权限粒度

通俗的讲就是给VPN划分权限，在登录深信服VPN客户端时不同用户的VPN相应的权限不同。在一个公司里面，CEO能访问所有东西，员工只能访问部分东西。

线路探测技术

通过该技术可以在两点间同时使用多条Internet 线路实现互联。一方面通过线路复用实现互联带宽叠加，大大增加大数据量业务的处理速度，另一方面，当其中的一条线路中断时，系统可以把负载自动切换到其他线路，使得互联线路不中断，大大增强VPN系统的稳定性。

术语解释

总部：

提供VPN接入服务，为其他VPN用户提供接入账户校验的设备。SANGFOR VPN总部设备需要配置WEBAGENT、VPN接入账号等。一般将服务器端所在的网络做为总部。

分支:

即接入总部端的设备。一般将客户端所在的网络做为分支。

移动：

即SANGFOR VPN的软件客户端，又称为PDLAN。一般将通过软件接入总部的单个客户端称为移动用户。

一个VPN设备既可以当总部，也可以当分支，也可以同时充当总部和分支的角色。

WebAgent格式

WebAgent:用于SANGFOR DLAN互联时，分支与移动用户寻找总部的地址，从而建立 VPN连接。

WEBAGENT有如下几种的填写方式：

1. IP:端口，如123.123.123.123:4009
   适用于总部VPN设备有固定公网IP地址的环境
   
2. IP1#IP2:端口，如123.123.123.123#221.221.221.221:4009
   适用于总部VPN设备有多条固定IP的线路，且需要做VPN的线路备份的环境
   
3. 网址的形式，如webagent.sangfor.com.cn/webagent/123.php
   适用于总部VPN设备没有固定公网IP的环境，如ADSL线路
   
4. 域名：端口形式，如www.sangfor.com:4009
   适用于总部已存在动态域名指向他们出口的公网IP的环境
   

官方术语总结成自己话，webagent建立连接使用的端口号是4009

本地子网

IPSec VPN一般通过ACL抓取感兴趣流，而SANGFOR VPN是通过本地子网宣告自身内网网段给对端的形式，来让对端具备访问本端网段的路由，从而实现数据的互访。（设备默认只宣告设备直连网段）

VPNTUN接口

Vpntun接口：VPN隧道口，VPN数据的虚拟路由口，用来引导数据发往VPN隧道，从而封装报文。

建立条件

1、至少有一端是总部，且有足够的授权。SANGFOR硬件与SANGFOR硬件之间互连不需要授权，与第三方对接需要分支授权，移动客户端需要移动用户授权。

2、至少有一端在公网上可访问，即“可寻址”或固定公网IP。

3、建立VPN两端的内网地址不能冲突。

4、建立VPN两端的软件版本要匹配。(如VPN4.x版本既能跟VPN4.x版本互联也能跟VPN5.x版本互联，但VPN2.x版本只能跟VPN2.x版本互联）

建立过程

最基本的三步曲

1、寻址：与谁建立连接(找到目标) ——寻址（WebAgent原理、WebAgent设置）

2、认证：身份验证（提交正确、充分的信息）—账号密码、Dkey、硬件鉴权、第三方认证。

3、策略：（下发）选路策略、权限策略、VPN路由策略、安全策略（移动用户）、VPN专线（移动用户）、分配虚拟IP

SANGFOR VPN建立隧道

在SSLVPN172.172.2.200和WOC172.172.10.3之间之间建立Sangfor VPN 隧道

数据发送成功

数据回包成功

权限控制场景

需求：

总部和分支部署了两台VPN设备，现总部的VPN设备做为VPN总部与分支建立了VPN连接，用户要求对分支访问总部的服务器进行权限控制，只允许分支网络的PC访问总部的WEB服务器（80端口），禁止访问其他的任何服务器（包括PC客户端）。如下图：

基本思路：

该客户需求一共有两种方法可以实现，通过VPN内网权限（两端都会受到限制）或者通过防火墙过滤规则（更细化的控制）。

分支通过总部互联场景

需求：

总部分别与两个分支建立VPN连接，分支1与分支2均能访问总部内网，现用户要求分支1与分支2之间能相互访问。

问题分析：

两个分支分别与总部建立 VPN 隧道，但分支1与分支2之间并没有任何线路相连，也没有 VPN 隧道。

解决办法：

通过分别在分支1和分支2的设备中配置隧道间路由实现。

分支通过总部上网场景

需求：

总部与分支建立VPN连接，总部希望审计分支的上网行为，因此总部要求分支通过总部实现上网。

解决办法：

通过在分支1中配置隧道间路由实现通过总部上网。

分支地址冲突场景

需求：

总部分别与两个分支建立VPN连接，分支1与分支2内网均为192.168.1.0/24网段，用户要求不能改变任何一端的IP地址，实现分支与总部互访。

问题分析：

两个分支内网网段相同，当总部收到来自192.168.1.0/24网段的数据时，不知道该回给哪个分支。

解决办法：

通过配置隧道内NAT实现