一、项目背景。
某公司在全国各地存在多个门店或办公地点;以往门店访问总部应用资源,是通过AF的SSL VPN访问,但VPN用户授权有限,访问也不方便。现通过SDW-R与AF组sangfor vpn实现全国各地门店能简单访问总部应用。
二、需求分析。
1. 分支访问总部网络。
2. 分支可以通过域名访问总部内网应用。
3. 实现分支集中管控。
三、实施拓扑。
四、设备清单
五、BBC配置步骤。
1. BBC上架单臂部署在总部核心,配置管理网络、默认路由路由。
2.BBC授权-本地授权-需要插入本地授权KEY。
3.新建分支设备接入账号-分支账号多的可以选择文件导入。文件导入填好分支名称、设备类型、接入密码即可,其余可选择性填写。
六、出口AF配置步骤。
1.BBC单臂在内网,出口AF映射TCP 5530、TCP 5501、5500的TCP跟UDP等端口到公网,如需公网管理BBC,可以把TCP 443也映射出来。
七、SDW-R配置步骤
SDW-R部署模式,由于各门店情况不一样,一部分门店是替换原有路由网关部署,一部分门店单臂接入。前期已经收集好各分支的IP网段、拨号账号、部署模式;基于门店实际情况,此次SDW-R实施先在总部进行设备预配置,然后派送给各门店接入。
2.配置SDW-R网络接口模式,NAT、路由;单臂不需要配置NAT。
3.配置SDW-R的DHCP,分支DNS使用总部的内网DNS,总部应用基于域名访问。
4.加入集中管理,前面已经在BBC新建好分支账号。
八、VPN 组网步骤
1.BBC新增VPN 拓扑。
2.选择VPN总部设备、填写总部子网。
3.选择分支设备
4.下发VPN配置,会自动在总部生成分支账号,分支自动连接总部。
5.总部AF查看分支用户,这种SDW-R_topology就是BBC下发新建的用户。
6.AF查看VPN连接状态。
7.BBC查看VPN连接状态。
九、VPN组网中遇到的问题
问题1:分支IP冲突
各分支原有出口设备差不多都是家用路由,使用的都是192.168.0.0网段;总部网段也是192.168.0.0/24。分支与分支间冲突。
分支与分支网段冲突解决方法:总部AF分支账号中启用隧道间NAT。
先建立虚拟IP地址池
在分支IP有冲突的账号开启隧道NAT
问题2:SDW-R单臂部署,VPN隧道建立后,分支PING不通总部,网关回包路由已经写了。
排查过程:
1.分支PC 长ping总部192.168.9.210,在SDW-R设备上捉包;发现包都是网关192.168.1.1的广播包。(192.168.0.0/24、192.168.9.0/24是总部网段)
ping 192.168.0.254 也只到网关192.168.1.1就断了。
2.PC手动加静态路由,192.168.0.254 指向SDW-R的内网口192.168.1.49,重新ping总部192.168.0.254发现能这能正常通讯。
经过以上排查,初步断定是出口TP-link的路由不生效;百度看到有说明TP-link不支持wan-lan的路由。后续部署模式改成替换出口路由才解决这个问题。
发表于 2023-2-19 11:02
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
