實驗拓撲

圖 1-1

實驗需求

1. 深圳總部在內網中旁掛 SSL VPN 作為 VPN 設備，長沙分公司在內網中旁掛 WOC 作為 VPN 設備
2. 配置 Sangfor VPN，深圳總部作為服務端，長沙分公司作為客戶端分支，實現分支機構之間互通

實驗解法

在深圳總部的公網出口設備上配置端口映射，使 Sangfor VPN 設備公網可見

分析：由於深圳總部的 VPN 設備旁掛在內網中，所以需要在公網出口設備上配置端口映射。Sangfor VPN 可工作在 TCP 模式或 UDP 模式，可根據實際需求選擇。這裡我們選擇 TCP，所以隻需要映射 TCP4009 端口；如需要 UDP 模式，則還需要映射 UDP4009 端口　　深圳總部公網具有雙線路接入互聯網，可根據需求分別配置電信和聯通的端口映射，這裡隻映射電信線路的端口　　由於 Sangfor VPN 采取 C/S 架構，這裡規劃深圳總部作為服務端，長沙分公司作為客戶端，所以長沙分公司不需要映射端口 步驟 1：登錄深圳總部的 AD 設備，映射 TCP4009 端口到 SSL VPN 設備，如圖 1-2 所示

圖 1-2

在深圳總部的 SSL VPN 設備上配置為 Sangfor VPN 的服務端

步驟 1：登錄 SSL VPN 設備，進入 IPsec VPN 設置-基本設置，使用當前 IP 地址 + 端口的格式作為 Sangfor VPN 的 WebAgent 地址，如圖 1-3 所示

102e20bac448038add8272e40b48cf50

圖 1-3

步驟 2：在上一步的頁面中點擊 共享密鑰，設置 Sangfor VPN 的隧道預共享密鑰，如圖 1-4 所示

圖 1-4

步驟 3：完成上述配置後，點擊確認，設備會自動重啟 VPN 服務使配置生效

在 SSL VPN 設備上創建用戶，用於 VPN 客戶端接入時的身份驗證

步驟 1：在 SSL VPN 設備上點擊 IPsec VPN 設置-用戶管理，點擊 新增用戶，如圖 1-5 所示

2a3dc0cdb8053088136aa760d4f81394

圖 1-5

步驟 2：在新增用戶界面，填寫要創建的用戶名、密碼，用戶類型選擇為 分支，如圖 1-6 所示

圖 1-6

步驟 3：確定後，深圳總部的 Sangfor VPN 服務端配置完成

在長沙分公司的 WOC 設備上配置為 Sangfor VPN 的客戶端

步驟 1：登錄長沙分公司的 WOC 設備，點擊 Sangfor VPN-客戶端，點擊 新建，創建 VPN 連接，如圖 1-7 所示

圖 1-7

步驟 2：在新建連接的界面中，填寫深圳總部的 WebAgent 名稱，共享密鑰，以及用於身份驗證的用戶名和密碼，由於之前總部映射的 4009 端口是 TCP，所以選擇傳輸類型為 TCP，如圖 1-8 所示

d8e1217d4cc8617e21a542cf1023d0a4

圖 1-8

步驟 3：點擊 保存並生效，設備自動重啟 VPN 服務

在深圳總部或長沙分公司的 VPN 設備上查看 VPN 狀態，發現 VPN 連接已建立，如圖 1-9 所示

圖 1-9

在 VPN 設備上配置本地子網

分析：Sangfor VPN 與 標準 IPsec VPN 不同，沒有感興趣流的概念，所以需要 VPN 設備上具有到達對端私網的路由。Sangfor VPN 采取宣告本地子網的方式來傳遞本地路由至對端私網　　VPN 設備的直連網段會自動宣告，這裡隻需要手動配置宣告與 VPN 設備非直連的網段即可　　根據網絡結構，深圳總部的 172.172.3.0/24 網段與 172.172.4.0/24 網段與 SSL VPN 設備都非直連，如果需要開通該網段的遠程訪問權限，即需要宣告這兩個網段　　另外，由於長沙分公司內部隻有一個網段，所以無需手動配置宣告 步驟 1：在深圳總部的 SSL VPN 設備上，點擊 系統配置-網絡配置，點擊 本地子網 標簽，點擊 新增，添加 172.172.3.0/24 網段與 172.172.4.0/24 網段，如圖 1-10 所示

圖 1-10

在終端的網關設備上配置私網路由

分析：因為本環境中，VPN 設備旁掛在網絡中，需要在網關設備上配置到達對端私網的路由，下一跳指向 VPN 設備，使私網報文可以正確發往 VPN 設備進行公網封裝 步驟 1：在深圳總公司登錄 AF 設備，配置到達長沙私網網段的靜態路由，下一跳指向 VPN 設備，如圖 1-11 所示

圖 1-11

步驟 2：在長沙分公司登錄 AC 設備，配置到達深圳私網網段的靜態路由，下一跳指向 VPN 設備，如圖 1-12 所示

圖 1-12

效果測試

在深圳總部的 PC 上測試，可以 Ping 通 長沙分公司的內網 PC，如圖 1-13 所示

圖 1-13