SANGFOR VPN 的隧道间路由配置文档 SANGFOR V PN 隧道间路由配置文档 深信服科技有限公司 2 0 1 1 年 1 1 月 2 4 日 SANGFOR VPN 的隧道间路由配置文档 1 SANGFOR V PN 的隧道间路由 1.应用背景 某客户深圳总部网关模式部署了SANGFOR SSL V PN,位于北京和上海的分公司也部署了SANGFOR SSL V PN 与总部建立V PN 互连。此时,北京和深圳、上海和深圳之间的用户都能够互访。由于公司业务的不断扩大,客户提出了新的需求: (1)北京和上海这两个分公司之间能够互访; (2)北京分公司的所有用户必须通过深圳总部出去访问公网,实现总部的统一管理。 2.实现方式 通过配置隧道间路由可以满足客户的需求。 (1)实现北京和上海这两个分公司之间能够互访。 在北京分公司的V PN 设备上配置隧道间路由,源为 172.16.1.0/24 网段,目的为SANGFOR VPN 的隧道间路由配置文档 2 10.10.1.0/24 网段,目的路由用户为北京-深圳。配置完成后,就会在北京分公司的VPN 设备上添加一条系统路由,到10.10.1.0/24 网段的数据包,其下一跳为VPNTUN 口。此时,北京分公司的用户访问上海分公司的内部时,VPNTUN 口就会抓包,进入VPN 隧道。 为了让上海分公司能够有路由条目访问北京分公司,同样需要在上海分公司的VPN 设备上添加隧道间路由。其源为10.10.1.0/24 网段,目的为192.168.1.0/24 网段,目的路由用户为上海-深圳。 (2)实现北京分公司的所有用户必须通过深圳总部出去访问公网。 A.在北京分公司的VPN 设备上配置隧道间路由,源为172.16.1.0/24 网段,目的路由用户为北京-深圳,勾选上“通过目的路由用户上网”,此时其目的为0.0.0.0/0 网段; B.在深圳总公司的VPN 设备上配置代理上网规则,代理北京分公司的内网172.16.1.0/24网段; C. 在深圳总公司的VPN 设备上放通VPN<-->WAN 方向的所有规则。 3.配置步骤 3.1.实现北京和上海这两个分公司之间能够互访 深圳-总部VPN 上的配置: (1)在【IPSEC VPN 设置】-【基本设置】里,配置w ebagent 地址。 SANGFOR VPN 的隧道间路由配置文档 3 (2)在【IPSEC V PN 设置】-【用户管理】里,新建两个用户账号,一个是给北京分公司接入V PN 使用,一个是给上海分公司接入V PN 使用。 SANGFOR VPN 的隧道间路由配置文档 4 北京-分支VPN 上的配置: (1)在【IPSEC VPN 设置】-【连接管理】里,配置总部的w ebagent...
