目录
SANGFOR PDLAN
1.SANGFOR PDLAN建立过程
1.1需求背景
客户总部部署了一台 SANGFOR v*n设备,现在需要实现 出差用户移动办公接入总部,实现移动办公接入。
虚拟网卡
a、承载虚拟IP地址
b、用于v*n隧道内的数据进行通信
虚拟IP池
a、为虚拟网卡配置的地址
b、v*n设备的虚拟网卡地址为自由获取,移动端虚拟网卡的地址由总 部设备统一指定。
1.2SANGFOR v*n 配置
1、总部设备配置:WEBAGENT地址配置,用作用户寻址地址。 设备如果内网部署,前端还需映射TCP/UDP的4009端口(可修改)
2、创建虚拟IP池,虚拟IP池的作用是客户端安装pdlan之后作为虚拟网卡的虚拟IP。
3、总部端创建SANGFOR v*n账号,类型移动,给对应用户配置对应策略和 加密算法并指定虚拟IP
4、从深信服社区下载SANGFOR PDLAN并安装。
5、配置PDLAN,设置webagent。
6、配置PDLAN,设置PDLAN的用户连接。
PDLAN建立隧道成功
2.SANGFOR PDLAN数据传输过程分析
1.总部SSLv*n设备设置了本地子网,把总部可以访问的资源网段172.172.3.0网 段宣告给移动端172.172.10.10。
2. PDLAN客户端在移动端172.172.10.10上安装了虚拟网卡,虚拟网卡在移动端 172.172.10.10的路由表上添加了v*n隧道的路由表项(目的网段是本地子网的 表项也在其中)。
3.SANGFOR PDLAN特殊场景
PDLAN公网隔离场景
需求: 移动端需要访问总部资源,因此总部和移动端通过PDLAN 建立了Sangforv*n,但是总部希望总部资源在被访问时不被泄漏到公网。
问题分析: 让移动端通过Sangforv*n连 接时,不能同时上公网。
解决办法: 通过配置PDLAN用户权限实 现公网隔离。