SANFFOR_VPN_4.X隧道间路由配置文档VIP免费

SANGFOR VPN 的隧道间路由配置文档 SANGFOR V PN 隧道间路由配置文档 深信服科技有限公司 2 0 1 1 年 1 1 月 2 4 日 SANGFOR VPN 的隧道间路由配置文档 1 SANGFOR V PN 的隧道间路由 1.应用背景 某客户深圳总部网关模式部署了SANGFOR SSL V PN，位于北京和上海的分公司也部署了SANGFOR SSL V PN 与总部建立V PN 互连。此时，北京和深圳、上海和深圳之间的用户都能够互访。由于公司业务的不断扩大，客户提出了新的需求： （1）北京和上海这两个分公司之间能够互访； （2）北京分公司的所有用户必须通过深圳总部出去访问公网，实现总部的统一管理。 2.实现方式 通过配置隧道间路由可以满足客户的需求。 （1）实现北京和上海这两个分公司之间能够互访。 在北京分公司的V PN 设备上配置隧道间路由，源为 172.16.1.0/24 网段，目的为SANGFOR VPN 的隧道间路由配置文档 2 10.10.1.0/24 网段，目的路由用户为北京-深圳。配置完成后，就会在北京分公司的VPN 设备上添加一条系统路由，到10.10.1.0/24 网段的数据包，其下一跳为VPNTUN 口。此时，北京分公司的用户访问上海分公司的内部时，VPNTUN 口就会抓包，进入VPN 隧道。 为了让上海分公司能够有路由条目访问北京分公司，同样需要在上海分公司的VPN 设备上添加隧道间路由。其源为10.10.1.0/24 网段，目的为192.168.1.0/24 网段，目的路由用户为上海-深圳。 （2）实现北京分公司的所有用户必须通过深圳总部出去访问公网。 A.在北京分公司的VPN 设备上配置隧道间路由，源为172.16.1.0/24 网段，目的路由用户为北京-深圳，勾选上“通过目的路由用户上网”，此时其目的为0.0.0.0/0 网段； B.在深圳总公司的VPN 设备上配置代理上网规则，代理北京分公司的内网172.16.1.0/24网段； C. 在深圳总公司的VPN 设备上放通VPN<-->WAN 方向的所有规则。 3.配置步骤 3.1.实现北京和上海这两个分公司之间能够互访 深圳-总部VPN 上的配置： （1）在【IPSEC VPN 设置】-【基本设置】里，配置w ebagent 地址。 SANGFOR VPN 的隧道间路由配置文档 3 （2）在【IPSEC V PN 设置】-【用户管理】里，新建两个用户账号，一个是给北京分公司接入V PN 使用，一个是给上海分公司接入V PN 使用。 SANGFOR VPN 的隧道间路由配置文档 4 北京-分支VPN 上的配置： （1）在【IPSEC VPN 设置】-【连接管理】里，配置总部的w ebagent...