实验拓扑
图 1-1
实验需求
- 深圳总部在内网中旁挂 SSL VPN 作为 VPN 设备
- 配置 Sangfor VPN PDLAN,深圳总部作为服务端,长沙分公司的 PC 模拟移动客户端,通过 PC 直接接入到深圳总部
- 为了防止远程用户接入总部时信息外泄,需要用户接入 PDLAN 后,禁止访问互联网
实验解法
在深圳总部的公网出口设备上配置端口映射,使 Sangfor VPN 设备公网可见
此步骤与 Sangfor VPN 一致,详细配置方法参照 Sangfor VPN 文档
在深圳总部的 SSL VPN 设备上配置为 Sangfor VPN 的服务端
此步骤与 Sangfor VPN 一致,详细配置方法参照 Sangfor VPN 文档
在 SSL VPN 设备上创建用户,用于 VPN 客户端接入时的身份验证
步骤 1:点击 IPsec VPN 设置-虚拟 IP,点击 新增,配置为 PDLAN 接入的终端用户分配虚拟 IP 地址,如图 1-2 所示
图 1-2
步骤 2:在 SSL VPN 设备上点击 IPsec VPN 设置-用户管理,点击 新增用户,如图 1-3 所示
图 1-3
步骤 3:在新增用户界面,填写要创建的用户名、密码,用户类型选择为 移动,并勾选 启用虚拟 IP,如图 1-4 所示
图 1-4
确认后,完成 PDLAN 服务端配置
在深圳总部的 SSL VPN 设备上配置本地子网
此步骤与 Sangfor VPN 一致,详细配置方法参照 Sangfor VPN 文档
在终端的网关设备上配置私网路由
分析:因为本环境中,深圳总部的 VPN 设备旁挂在网络中,需要在终端网关设备上配置到达 PDLAN 终端虚拟 IP 地址的路由,下一跳指向 VPN 设备,使私网报文可以正确发往 VPN 设备进行公网封装
由于长沙分公司的 PC 是通过 PDLAN 直接接入到深圳总部的 VPN,所以无需配置回包路由
步骤 1:在深圳总公司登录 AF 设备,配置到达 PDLAN 终端虚拟 IP 网段的静态路由,下一跳指向 VPN 设备,如图 1-5 所示
图 1-5
配置远程用户接入 PDLAN 时,禁止访问互联网
分析:考虑到远程移动用户接入 PDLAN 的环境不可控,可能会需要用户接入 PDLAN 后,禁止访问互联网来防止公司信息外泄
步骤 1:再次在 SSL VPN 设备上进入 用户管理 界面,在移动用户编辑界面中勾选 接入总部后禁止该用户上网,如图 1-6 所示
图 1-6
在移动远程终端上配置接入 PDLAN
步骤 1:在移动远程终端上下载并安装 PDLAN 客户端,下载地址:
http://download.sangfor.com.cn/download/product/ipsec/PDLAN4.32_R3_SETUP(20151105).zip
步骤 2:打开 PDLAN 客户端,点击 PDLAN-基本设置,填写深圳总部的 WebAgent 地址,和共享密钥,填写完毕后,点击 设置生效,如图 1-7 所示
图 1-7
步骤 3:点击 主连接参数设置,点击 修改,填写用于身份验证的用户名和密码,并选择传输模式为 TCP,完成后,点击 设置生效,如图 1-8 所示
图 1-8
步骤 4:点击 VPN 设置,检查 PDLAN 已经成功连接,如图 1-9 所示
图 1-9
效果测试
步骤 1:在长沙分公司的 PC 上查看网络连接,发现新增了名为 Sangfor VPN Connection 的虚拟网卡,并自动获得了 IP 地址 6.6.6.1,即之前在深圳总部 VPN 设备上创建的虚拟 IP 地址,如图 1-10 所示
图 1-10
在长沙分公司的 PC 上测试,可以 Ping 通深圳总部的内网 PC,如图 1-11 所示
图 1-11
此时,接入 PDLAN 的 PC 本地连接的网关已经被强制清除,且不能进行手动配置,所以无法访问互联网,如图 1-12 所示
图 1-12