SANGFOR_SSL多线路配置文档
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SANGFOR_SSL多线路
专题文档
深信服科技有限公司
2011年05月18日
第1章功能概述
SANGFOR SSL VPN提供了多线路智能选路技术,用于当客户外网有多条运营商出口的时候,SSL设备自动地为用户选择最快的链路接入SSL VPN。
客户端通过域名或者IP形式访问,均能实现自动选路功能。
根据不同部署环境,SANGFOR SSL VPN设备可以实现各种环境下的多线路自动选路功能。
主要包括单臂模式多线路自动选路、网关模式(直连)多线路自动选路、网关模式(非直连)多线路自动选路。
下面分别用一个典型案例来说明,单臂模式、网关模式下如何配置实现多线路自动选路功能。
第2章单臂模式多线路典型案例
2.1.客户环境与需求
客户拓扑如下图所示,SSL VPN设备单臂部署。
出口有电信与网通两条链路。
客户需要实现外网用户输入 1.1.2.2或者 2.1.2.2任意一个IP地址均能自动选择最快链路访问到SSLVPN设备接入。
2.2.配置思路
根据客户的需求,我们可以首先总结配置思路。
1.基础网络配置:配置成单臂模式,配置LAN口IP地址,掩码,网关等信息。
2.防火墙做端口映射:前置防火墙需要做两条线路的80端口和443端口到
172.16.1.10 。
此处需要注意:80端口也是必须映射的,因为多线路选路功能是依赖80端口来选路的,如果80端口不映射,将无法实现多线路选路功能。
3.多线路配置:[系统配置]-[网络配置]-[多线路],勾选[启用SSL VPN多线路],并且新
增两条线路。
2.3.配置方法与截图
2.3.1.基础网络配置
首先在[系统配置]-[网络配置]-[部署模式]里将设备配置成单臂模式,配置LAN口IP地址、掩码、网关等信息。
如图:
2.3.2.前置防火墙做端口映射
此处设置需要在前置防火墙做,由于各个厂家设置方法不一致,此处不一一例举。
需要将1.1.2.2的80和443端口映射到172.16.1.10的80和443端口。
2.1.2.2的80和443端口映射到172.16.1.10的80和443端口。
2.3.3.多线路配置
在前面两步骤做完之后,可以设置多线路了。
在[系统配置]-[网络配置]-[多线路],勾选[启用SSL VPN多线路],并且新增两条线路(线路的IP为公网线路的真实IP)。
如图:
此处优先级有特殊含义,请参考本章
节注意事项
填写前置设备的真实公网IP
点击“保存”按钮
2.3.4.验证是否生效
以上步骤完成之后,即可从外网找用户测试,输入http://1.1.2.2或者http://2.1.2.2查看是否可以实现自动选择最快的链路接入SSL VPN。
2.4.注意事项
1.前置防火墙如果不支持将两个IP地址的相同端口映射给同一目的IP,可以在LAN口
配置多个IP地址来实现。
该功能为5.0版本的新增功能,5.0之前的版本不能绑定多IP。
如图:
2.客户必须输入http://IP才能实现自动选路,输入https://IP是无法实现自动选路的。
3.点击“保存”之后,还需要点击“立即生效”才能即时生效。
4.SSL
5.0多线路里的优先级代表的含义:
a)一般情况下设置同等优先级即可。
两条线路选择相同的优先级会直接对比从两条线路
下载图片的耗时,选择耗时小的线路接入SSL VPN。
b)如果线路1设置为高,线路2设置为中。
那么多线路选路的时候会自动从两条线路下
载图片。
优先级高的线路3秒内完成下载,不管优先级中的线路下载比优先级高的线路快还是慢,都选择优先级高的线路。
3秒内未完成下载,则对比两条线路,哪条更快则选择哪条线路。
c)高优先级和中优先级之间是3秒,中和低之间是2秒,高和低之间是5秒。
第3章网关模式多线路典型案例
3.1.客户环境与需求
某客户拓扑如下,客户需要实现外网用户通过SSL VPN接入访问内部的OA服务群。
客户有电信与网通两条链路,并且已经申请了多个IP地址。
SSL VPN设备网关部署,分配一个电信与一个网通IP地址给SSL VPN设备使用。
外网用户需要实现输入域名实现自动选择电信或者网通最快链路接入SSL VPN。
3.2.配置思路
根据客户的需求,我们可以首先总结配置思路。
1.基础网络配置:配置设备成网关模式,配置W AN1、WAN2口、LAN口IP地址信息。
配置系统路由。
(由于LAN口与服务器不在一个网段,而设备的默认路由指向WAN方向出口,所以需要添加到达内网的静态路由,下一条指向核心交换机)
2.域名设置:将客户申请的二级域名在ISP处用A记录指向1.1.2.2和
2.1.2.2 。
3.多线路设置:[系统配置]-[网络配置]-[多线路],勾选[启用IPSEC多线路],并且新建号
两条线路。
勾选[启用SSL VPN多线路],选择[SSL VPN用户直接接入本设备],并且新增两条线路。
3.3.配置方法与截图
3.3.1.基础网络配置
首先在[系统配置]-[网络配置]-[部署模式],将设备配置成网关模式,并且配置好两个WAN口IP与LAN口IP信息。
如图:
3.3.2. 域名设置
需要在公网ISP 处将 域名用A 记录指向1.1.2.2和2.1.2.2,从而使客户端输入 解析IP 的时候可以解析成SSL 设备的出口IP ,将数据发送到SSL VPN 设备进行自动选路。
此处设置在公网ISP 处设置,此处不例举。
3.3.3.多线路配置
在前面步骤做完之后,可以设置多线路。
在[系统配置]-[网络配置]-[多线路],勾选[启用IPSEC多线路],并且新建好两条线路。
勾选[启用SSL VPN多线路],选择[SSL VPN用户直接接入本设备],并且新增两条线路。
需要注意的是,此处虽然使用SSL VPN自动选路,但是也需要设置IPSEC多线路。
如图:
通过以上操作,IPSEC多线路配置完成。
下一步配置SSL VPN多线路,如图:
3.3.
4.验证是否生效
以上步骤完成之后,即可从外网找用户测试,输入查看是否可以实现自动选择最快的链路接入SSL VPN。
3.4.注意事项
1.网关模式多线路除了需要启用SSL多线路外,还需要设置IPSEC多线路。
2.点击“保存”之后,还需要点击“立即生效”才能即时生效。
3.SSL5.0多线路里的优先级代表的含义:
a)一般情况下设置同等优先级即可。
两条线路选择相同的优先级会直接对比从两条线路
下载图片的耗时,选择耗时小的线路接入SSL VPN。
b)如果线路1设置为高,线路2设置为中。
那么多线路选路的时候会自动从两条线路下
载图片。
优先级高的线路3秒内完成下载,不管优先级中的线路下载比优先级高的线路快还是慢,都选择优先级高的线路。
3秒内未完成下载,则对比两条线路,哪条更
快则选择哪条线路。
c)高优先级和中优先级之间是3秒,中和低之间是2秒,高和低之间是5秒。
4.SSL 网关模式部署,若设备前面还有其他NAT设备,在配置SSL VPN多线路时,应选
择“SSL VPN用户通过前置设备接入”,并新增两条公网线路。
填写前置设备的真实公网IP。