當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

Sangfor 实验

發(fā)布時間：2023/12/20 编程问答 31 豆豆

生活随笔收集整理的這篇文章主要介紹了 Sangfor 实验小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

實驗拓撲

圖 1-1

實驗需求

深圳總部在內(nèi)網(wǎng)中旁掛 SSL VPN 作為 VPN 設備，長沙分公司在內(nèi)網(wǎng)中旁掛 WOC 作為 VPN 設備

配置 Sangfor VPN，深圳總部作為服務端，長沙分公司作為客戶端分支，實現(xiàn)分支機構之間互通

實驗解法

在深圳總部的公網(wǎng)出口設備上配置端口映射，使 Sangfor VPN 設備公網(wǎng)可見

　　分析：由于深圳總部的 VPN 設備旁掛在內(nèi)網(wǎng)中，所以需要在公網(wǎng)出口設備上配置端口映射。Sangfor VPN 可工作在 TCP 模式或 UDP 模式，可根據(jù)實際需求選擇。這里我們選擇 TCP，所以只需要映射 TCP4009 端口；如需要 UDP 模式，則還需要映射 UDP4009 端口
　　深圳總部公網(wǎng)具有雙線路接入互聯(lián)網(wǎng)，可根據(jù)需求分別配置電信和聯(lián)通的端口映射，這里只映射電信線路的端口
　　由于 Sangfor VPN 采取 C/S 架構，這里規(guī)劃深圳總部作為服務端，長沙分公司作為客戶端，所以長沙分公司不需要映射端口
　　
步驟 1：登錄深圳總部的 AD 設備，映射 TCP4009 端口到 SSL VPN 設備，如圖 1-2 所示

圖 1-2

在深圳總部的 SSL VPN 設備上配置為 Sangfor VPN 的服務端

步驟 1：登錄 SSL VPN 設備，進入 IPsec VPN 設置-基本設置，使用當前 IP 地址 + 端口的格式作為 Sangfor VPN 的 WebAgent 地址，如圖 1-3 所示

圖 1-3

步驟 2：在上一步的頁面中點擊共享密鑰，設置 Sangfor VPN 的隧道預共享密鑰，如圖 1-4 所示

圖 1-4

步驟 3：完成上述配置后，點擊確認，設備會自動重啟 VPN 服務使配置生效

在 SSL VPN 設備上創(chuàng)建用戶，用于 VPN 客戶端接入時的身份驗證

步驟 1：在 SSL VPN 設備上點擊 IPsec VPN 設置-用戶管理，點擊新增用戶，如圖 1-5 所示

圖 1-5

步驟 2：在新增用戶界面，填寫要創(chuàng)建的用戶名、密碼，用戶類型選擇為分支，如圖 1-6 所示

圖 1-6

步驟 3：確定后，深圳總部的 Sangfor VPN 服務端配置完成

在長沙分公司的 WOC 設備上配置為 Sangfor VPN 的客戶端

步驟 1：登錄長沙分公司的 WOC 設備，點擊 Sangfor VPN-客戶端，點擊新建，創(chuàng)建 VPN 連接，如圖 1-7 所示

圖 1-7

步驟 2：在新建連接的界面中，填寫深圳總部的 WebAgent 名稱，共享密鑰，以及用于身份驗證的用戶名和密碼，由于之前總部映射的 4009 端口是 TCP，所以選擇傳輸類型為 TCP，如圖 1-8 所示

圖 1-8

步驟 3：點擊保存并生效，設備自動重啟 VPN 服務

在深圳總部或長沙分公司的 VPN 設備上查看 VPN 狀態(tài)，發(fā)現(xiàn) VPN 連接已建立，如圖 1-9 所示

圖 1-9

在 VPN 設備上配置本地子網(wǎng)

　　分析：Sangfor VPN 與標準 IPsec VPN 不同，沒有感興趣流的概念，所以需要 VPN 設備上具有到達對端私網(wǎng)的路由。Sangfor VPN 采取宣告本地子網(wǎng)的方式來傳遞本地路由至對端私網(wǎng)
　　VPN 設備的直連網(wǎng)段會自動宣告，這里只需要手動配置宣告與 VPN 設備非直連的網(wǎng)段即可
　　根據(jù)網(wǎng)絡結構，深圳總部的?172.172.3.0/24?網(wǎng)段與?172.172.4.0/24?網(wǎng)段與 SSL VPN 設備都非直連，如果需要開通該網(wǎng)段的遠程訪問權限，即需要宣告這兩個網(wǎng)段
　　另外，由于長沙分公司內(nèi)部只有一個網(wǎng)段，所以無需手動配置宣告
　　
步驟 1：在深圳總部的 SSL VPN 設備上，點擊系統(tǒng)配置-網(wǎng)絡配置，點擊本地子網(wǎng) 標簽，點擊新增，添加 172.172.3.0/24 網(wǎng)段與 172.172.4.0/24 網(wǎng)段，如圖 1-10 所示

圖 1-10

在終端的網(wǎng)關設備上配置私網(wǎng)路由

　　分析：因為本環(huán)境中，VPN 設備旁掛在網(wǎng)絡中，需要在網(wǎng)關設備上配置到達對端私網(wǎng)的路由，下一跳指向 VPN 設備，使私網(wǎng)報文可以正確發(fā)往 VPN 設備進行公網(wǎng)封裝
　　
步驟 1：在深圳總公司登錄 AF 設備，配置到達長沙私網(wǎng)網(wǎng)段的靜態(tài)路由，下一跳指向 VPN 設備，如圖 1-11 所示

圖 1-11

步驟 2：在長沙分公司登錄 AC 設備，配置到達深圳私網(wǎng)網(wǎng)段的靜態(tài)路由，下一跳指向 VPN 設備，如圖 1-12 所示

圖 1-12

效果測試

在深圳總部的 PC 上測試，可以 Ping 通長沙分公司的內(nèi)網(wǎng) PC，如圖 1-13 所示

圖 1-13

總結

以上是生活随笔為你收集整理的Sangfor 实验的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

sangfor

上一篇： web onblur string
下一篇：关于IDEA在模块scr鼠标右键没有Se