Sangfor VPN PDLAN 实验

实验拓扑

实验需求

1. 深圳总部在内网中旁挂 SSL VPN 作为 VPN 设备
2. 配置 Sangfor VPN PDLAN，深圳总部作为服务端，长沙分公司的 PC 模拟移动客户端，通过 PC 直接接入到深圳总部
3. 为了防止远程用户接入总部时信息外泄，需要用户接入 PDLAN 后，禁止访问互联网

实验解法

1. 在深圳总部的公网出口设备上配置端口映射，使 Sangfor VPN 设备公网可见

   此步骤与 Sangfor VPN 一致，详细配置方法参照 Sangfor VPN 文档

2. 在深圳总部的 SSL VPN 设备上配置为 Sangfor VPN 的服务端

   此步骤与 Sangfor VPN 一致，详细配置方法参照 Sangfor VPN 文档

3. 在 SSL VPN 设备上创建用户，用于 VPN 客户端接入时的身份验证

   步骤 1：点击 IPsec VPN 设置-虚拟 IP，点击 新增，配置为 PDLAN 接入的终端用户分配虚拟 IP 地址，如图 1-2 所示

   
   图 1-2

   步骤 2：在 SSL VPN 设备上点击 IPsec VPN 设置-用户管理，点击 新增用户，如图 1-3 所示

   
   图 1-3

   步骤 3：在新增用户界面，填写要创建的用户名、密码，用户类型选择为 移动，并勾选 启用虚拟 IP，如图 1-4 所示

   
   图 1-4

   确认后，完成 PDLAN 服务端配置

4. 在深圳总部的 SSL VPN 设备上配置本地子网

   此步骤与 Sangfor VPN 一致，详细配置方法参照 Sangfor VPN 文档

5. 在终端的网关设备上配置私网路由

   　　分析：因为本环境中，深圳总部的 VPN 设备旁挂在网络中，需要在终端网关设备上配置到达 PDLAN 终端虚拟 IP 地址的路由，下一跳指向 VPN 设备，使私网报文可以正确发往 VPN 设备进行公网封装
   　　由于长沙分公司的 PC 是通过 PDLAN 直接接入到深圳总部的 VPN，所以无需配置回包路由
   　　
   步骤 1：在深圳总公司登录 AF 设备，配置到达 PDLAN 终端虚拟 IP 网段的静态路由，下一跳指向 VPN 设备，如图 1-5 所示

   
   图 1-5

6. 配置远程用户接入 PDLAN 时，禁止访问互联网

   　　分析：考虑到远程移动用户接入 PDLAN 的环境不可控，可能会需要用户接入 PDLAN 后，禁止访问互联网来防止公司信息外泄
   　　
   步骤 1：再次在 SSL VPN 设备上进入 用户管理 界面，在移动用户编辑界面中勾选 接入总部后禁止该用户上网，如图 1-6 所示

   
   图 1-6

7. 在移动远程终端上配置接入 PDLAN

   步骤 1：在移动远程终端上下载并安装 PDLAN 客户端，下载地址：http://download.sangfor.com.cn/download/product/ipsec/PDLAN4.32_R3_SETUP(20151105).zip

   步骤 2：打开 PDLAN 客户端，点击 PDLAN-基本设置，填写深圳总部的 WebAgent 地址，和共享密钥，填写完毕后，点击 设置生效，如图 1-7 所示

   
   图 1-7

   步骤 3：点击 主连接参数设置，点击 修改，填写用于身份验证的用户名和密码，并选择传输模式为 TCP，完成后，点击 设置生效，如图 1-8 所示

   
   图 1-8

   步骤 4：点击 VPN 设置，检查 PDLAN 已经成功连接，如图 1-9 所示

   
   图 1-9

8. 效果测试

   步骤 1：在长沙分公司的 PC 上查看网络连接，发现新增了名为 Sangfor VPN Connection 的虚拟网卡，并自动获得了 IP 地址 6.6.6.1，即之前在深圳总部 VPN 设备上创建的虚拟 IP 地址，如图 1-10 所示

   
   图 1-10

   在长沙分公司的 PC 上测试，可以 Ping 通深圳总部的内网 PC，如图 1-11 所示

   
   图 1-11

   此时，接入 PDLAN 的 PC 本地连接的网关已经被强制清除，且不能进行手动配置，所以无法访问互联网，如图 1-12 所示

   
   图 1-12