实验拓扑
图 1-1
实验需求
- 深圳总部在内网中旁挂 SSL VPN 作为 VPN 设备,长沙分公司在内网中旁挂 WOC 作为 VPN 设备
- 配置 Sangfor VPN,深圳总部作为服务端,长沙分公司作为客户端分支,实现分支机构之间互通
实验解法
在深圳总部的公网出口设备上配置端口映射,使 Sangfor VPN 设备公网可见
分析:由于深圳总部的 VPN 设备旁挂在内网中,所以需要在公网出口设备上配置端口映射。Sangfor VPN 可工作在 TCP 模式或 UDP 模式,可根据实际需求选择。这里我们选择 TCP,所以只需要映射 TCP4009 端口;如需要 UDP 模式,则还需要映射 UDP4009 端口
深圳总部公网具有双线路接入互联网,可根据需求分别配置电信和联通的端口映射,这里只映射电信线路的端口
由于 Sangfor VPN 采取 C/S 架构,这里规划深圳总部作为服务端,长沙分公司作为客户端,所以长沙分公司不需要映射端口
步骤 1:登录深圳总部的 AD 设备,映射 TCP4009 端口到 SSL VPN 设备,如图 1-2 所示
图 1-2
在深圳总部的 SSL VPN 设备上配置为 Sangfor VPN 的服务端
步骤 1:登录 SSL VPN 设备,进入 IPsec VPN 设置-基本设置,使用当前 IP 地址 + 端口的格式作为 Sangfor VPN 的 WebAgent 地址,如图 1-3 所示
图 1-3
步骤 2:在上一步的页面中点击 共享密钥,设置 Sangfor VPN 的隧道预共享密钥,如图 1-4 所示
图 1-4
步骤 3:完成上述配置后,点击确认,设备会自动重启 VPN 服务使配置生效
在 SSL VPN 设备上创建用户,用于 VPN 客户端接入时的身份验证
步骤 1:在 SSL VPN 设备上点击 IPsec VPN 设置-用户管理,点击 新增用户,如图 1-5 所示
图 1-5
步骤 2:在新增用户界面,填写要创建的用户名、密码,用户类型选择为 分支,如图 1-6 所示
图 1-6
步骤 3:确定后,深圳总部的 Sangfor VPN 服务端配置完成
在长沙分公司的 WOC 设备上配置为 Sangfor VPN 的客户端
步骤 1:登录长沙分公司的 WOC 设备,点击 Sangfor VPN-客户端,点击 新建,创建 VPN 连接,如图 1-7 所示
图 1-7
步骤 2:在新建连接的界面中,填写深圳总部的 WebAgent 名称,共享密钥,以及用于身份验证的用户名和密码,由于之前总部映射的 4009 端口是 TCP,所以选择传输类型为 TCP,如图 1-8 所示
图 1-8
步骤 3:点击 保存并生效,设备自动重启 VPN 服务
在深圳总部或长沙分公司的 VPN 设备上查看 VPN 状态,发现 VPN 连接已建立,如图 1-9 所示
图 1-9
在 VPN 设备上配置本地子网
分析:Sangfor VPN 与 标准 IPsec VPN 不同,没有感兴趣流的概念,所以需要 VPN 设备上具有到达对端私网的路由。Sangfor VPN 采取宣告本地子网的方式来传递本地路由至对端私网
VPN 设备的直连网段会自动宣告,这里只需要手动配置宣告与 VPN 设备非直连的网段即可
根据网络结构,深圳总部的 172.172.3.0/24 网段与 172.172.4.0/24 网段与 SSL VPN 设备都非直连,如果需要开通该网段的远程访问权限,即需要宣告这两个网段
另外,由于长沙分公司内部只有一个网段,所以无需手动配置宣告
步骤 1:在深圳总部的 SSL VPN 设备上,点击 系统配置-网络配置,点击 本地子网 标签,点击 新增,添加 172.172.3.0/24 网段与 172.172.4.0/24 网段,如图 1-10 所示
图 1-10
在终端的网关设备上配置私网路由
分析:因为本环境中,VPN 设备旁挂在网络中,需要在网关设备上配置到达对端私网的路由,下一跳指向 VPN 设备,使私网报文可以正确发往 VPN 设备进行公网封装
步骤 1:在深圳总公司登录 AF 设备,配置到达长沙私网网段的静态路由,下一跳指向 VPN 设备,如图 1-11 所示
图 1-11
步骤 2:在长沙分公司登录 AC 设备,配置到达深圳私网网段的静态路由,下一跳指向 VPN 设备,如图 1-12 所示
图 1-12
效果测试
在深圳总部的 PC 上测试,可以 Ping 通 长沙分公司的内网 PC,如图 1-13 所示
图 1-13
