實驗拓撲

圖 1-1

實驗需求

深圳總部在內網中旁掛 SSL VPN 作為 VPN 設備

配置 Sangfor VPN PDLAN，深圳總部作為服務端，長沙分公司的 PC 模擬移動客戶端，通過 PC 直接接入到深圳總部

為了防止遠程用戶接入總部時信息外泄，需要用戶接入 PDLAN 后，禁止訪問互聯網

實驗解法

在深圳總部的公網出口設備上配置端口映射，使 Sangfor VPN 設備公網可見

此步驟與 Sangfor VPN 一致，詳細配置方法參照 Sangfor VPN 文檔

在深圳總部的 SSL VPN 設備上配置為 Sangfor VPN 的服務端

此步驟與 Sangfor VPN 一致，詳細配置方法參照 Sangfor VPN 文檔

在 SSL VPN 設備上創建用戶，用于 VPN 客戶端接入時的身份驗證

步驟 1：點擊 IPsec VPN 設置-虛擬 IP，點擊 新增，配置為 PDLAN 接入的終端用戶分配虛擬 IP 地址，如圖 1-2 所示

圖 1-2

步驟 2：在 SSL VPN 設備上點擊 IPsec VPN 設置-用戶管理，點擊 新增用戶，如圖 1-3 所示

圖 1-3

步驟 3：在新增用戶界面，填寫要創建的用戶名、密碼，用戶類型選擇為 移動，并勾選 啟用虛擬 IP，如圖 1-4 所示

圖 1-4

確認后，完成 PDLAN 服務端配置

在深圳總部的 SSL VPN 設備上配置本地子網

此步驟與 Sangfor VPN 一致，詳細配置方法參照 Sangfor VPN 文檔

在終端的網關設備上配置私網路由

　　分析：因為本環境中，深圳總部的 VPN 設備旁掛在網絡中，需要在終端網關設備上配置到達 PDLAN 終端虛擬 IP 地址的路由，下一跳指向 VPN 設備，使私網報文可以正確發往 VPN 設備進行公網封裝
　　由于長沙分公司的 PC 是通過 PDLAN 直接接入到深圳總部的 VPN，所以無需配置回包路由
　　
步驟 1：在深圳總公司登錄 AF 設備，配置到達 PDLAN 終端虛擬 IP 網段的靜態路由，下一跳指向 VPN 設備，如圖 1-5 所示

圖 1-5

配置遠程用戶接入 PDLAN 時，禁止訪問互聯網

　　分析：考慮到遠程移動用戶接入 PDLAN 的環境不可控，可能會需要用戶接入 PDLAN 后，禁止訪問互聯網來防止公司信息外泄
　　
步驟 1：再次在 SSL VPN 設備上進入 用戶管理 界面，在移動用戶編輯界面中勾選 接入總部后禁止該用戶上網，如圖 1-6 所示

圖 1-6

在移動遠程終端上配置接入 PDLAN

步驟 1：在移動遠程終端上下載并安裝 PDLAN 客戶端，下載地址：
http://download.sangfor.com.cn/download/product/ipsec/PDLAN4.32_R3_SETUP(20151105).zip

步驟 2：打開 PDLAN 客戶端，點擊 PDLAN-基本設置，填寫深圳總部的 WebAgent 地址，和共享密鑰，填寫完畢后，點擊 設置生效，如圖 1-7 所示

圖 1-7

步驟 3：點擊 主連接參數設置，點擊 修改，填寫用于身份驗證的用戶名和密碼，并選擇傳輸模式為 TCP，完成后，點擊 設置生效，如圖 1-8 所示

圖 1-8

步驟 4：點擊 VPN 設置，檢查 PDLAN 已經成功連接，如圖 1-9 所示

圖 1-9

效果測試

步驟 1：在長沙分公司的 PC 上查看網絡連接，發現新增了名為 Sangfor VPN Connection 的虛擬網卡，并自動獲得了 IP 地址 6.6.6.1，即之前在深圳總部 VPN 設備上創建的虛擬 IP 地址，如圖 1-10 所示

圖 1-10

在長沙分公司的 PC 上測試，可以 Ping 通深圳總部的內網 PC，如圖 1-11 所示

圖 1-11

此時，接入 PDLAN 的 PC 本地連接的網關已經被強制清除，且不能進行手動配置，所以無法訪問互聯網，如圖 1-12 所示

圖 1-12

總結

以上是生活随笔為你收集整理的Sangfor PDLAN 实验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。