SANGFOR PDLAN

1.SANGFOR PDLAN建立过程

1.1需求背景

客户总部部署了一台 SANGFOR VPN设备，现在需要实现 出差用户移动办公接入总部，实现移动办公接入。

虚拟网卡
a、承载虚拟IP地址
b、用于VPN隧道内的数据进行通信 
虚拟IP池
a、为虚拟网卡配置的地址
b、VPN设备的虚拟网卡地址为自由获取，移动端虚拟网卡的地址由总 部设备统一指定。

1.2SANGFOR VPN 配置

1、总部设备配置：WEBAGENT地址配置，用作用户寻址地址。 设备如果内网部署，前端还需映射TCP/UDP的4009端口（可修改）

2、创建虚拟IP池，虚拟IP池的作用是客户端安装pdlan之后作为虚拟网卡的虚拟IP。

3、总部端创建SANGFOR VPN账号，类型移动，给对应用户配置对应策略和 加密算法并指定虚拟IP

4、从深信服社区下载SANGFOR PDLAN并安装。

5、配置PDLAN，设置webagent。

6、配置PDLAN，设置PDLAN的用户连接。

PDLAN建立隧道成功

2.SANGFOR PDLAN数据传输过程分析

1.总部SSLVPN设备设置了本地子网，把总部可以访问的资源网段172.172.3.0网 段宣告给移动端172.172.10.10。

2. PDLAN客户端在移动端172.172.10.10上安装了虚拟网卡，虚拟网卡在移动端 172.172.10.10的路由表上添加了VPN隧道的路由表项（目的网段是本地子网的 表项也在其中）。

3.SANGFOR PDLAN特殊场景

PDLAN公网隔离场景

需求： 移动端需要访问总部资源，因此总部和移动端通过PDLAN 建立了SangforVPN，但是总部希望总部资源在被访问时不被泄漏到公网。

问题分析： 让移动端通过SangforVPN连 接时，不能同时上公网。
解决办法： 通过配置PDLAN用户权限实 现公网隔离。