SD-WAN即軟件定義廣域網(wǎng),可以實現(xiàn)異地智能組網(wǎng),遠(yuǎn)程辦公撥入。和傳統(tǒng)的VPN相比,SD-WAN有如下優(yōu)勢:
自動尋址,無需公網(wǎng)IP。
點對點加密傳輸,無需通過服務(wù)器轉(zhuǎn)發(fā),傳輸安全性高。
多平臺支持。有windows,安卓客戶端。
既能實現(xiàn)多地異地組網(wǎng),又可以實現(xiàn)遠(yuǎn)程辦公撥入。
本文中,我將介紹如何用WSG自帶的SD-WAN來實現(xiàn)多地異地虛擬組網(wǎng)。
1. 網(wǎng)絡(luò)拓?fù)鋱D
網(wǎng)絡(luò)拓?fù)鋱D如上圖所示:
每個局域網(wǎng)都用了一臺WSG做網(wǎng)關(guān)。
總部A的內(nèi)網(wǎng)網(wǎng)段是192.168.10.x
分支B的內(nèi)網(wǎng)網(wǎng)段是192.168.30.x
分支C的內(nèi)網(wǎng)網(wǎng)段是172.16.1.x
每個局域網(wǎng)都沒有固定的公網(wǎng)IP
傳統(tǒng)的虛擬組網(wǎng)至少需要有一個或者多個固定公網(wǎng)IP,企業(yè)必須租用價格高昂的專線才可以部署。采用SD-WAN方案后,就不需要用專線了,SD-WAN可以自動尋址智能組網(wǎng)。
2. 創(chuàng)建SD-WAN網(wǎng)絡(luò)
關(guān)注“笨驢信息”的公眾號,然后在菜單中點擊“SD-WAN”進(jìn)入SD-WAN的配置功能。
添加網(wǎng)絡(luò),定義網(wǎng)絡(luò)參數(shù)。
3. WSG中的SD-WAN配置
在WSG的界面中,需要把每一臺WSG都加入添加的SD-WAN網(wǎng)絡(luò)。
3. 允許設(shè)備加入SD-WAN網(wǎng)絡(luò)
在“SD-WAN”平臺的“終端”中,需要授權(quán)允許這三臺WSG加入,并且指定每臺WSG的IP地址。
本例中,我們指定WSG-A為“10.188.188.1”,WSG-B為“10.188.188.2”,WSG-C為“10.188.188.3”。如下圖:
4. 配置路由規(guī)則
經(jīng)過上述配置后,這三臺WSG之間已經(jīng)可以互通了,如果要讓網(wǎng)段互訪,我們還需要進(jìn)一步配置路由規(guī)則。如下圖,在SD-WAN中設(shè)置如下的路由規(guī)則:
目的網(wǎng)段是192.168.10.0/24,下一跳是10.188.188.1
目的網(wǎng)段是192.168.30.0/24,下一跳是10.188.188.2
目的網(wǎng)段是172.16.1.0/24,下一跳是10.188.188.3
這樣就可以讓不同分支機構(gòu)之間的網(wǎng)段互通。路由規(guī)則如下圖:
5. 防火墻策略
SD-WAN對WSG內(nèi)網(wǎng)的訪問權(quán)限,取決于SD-WAN所屬的防火墻區(qū)域。
內(nèi)網(wǎng)區(qū)域:SD-WAN當(dāng)做內(nèi)網(wǎng)訪問,受到“內(nèi)網(wǎng)-轉(zhuǎn)發(fā)方向”的防火墻策略控制。而內(nèi)網(wǎng)的訪問默認(rèn)是允許的。換句話說,默認(rèn)配置下,SD-WAN屬于內(nèi)網(wǎng)區(qū)域可以訪問所有的內(nèi)網(wǎng)資源。
外網(wǎng)區(qū)域:SD-WAN當(dāng)做外網(wǎng)訪問,受到“外網(wǎng)-轉(zhuǎn)發(fā)方向”的防火墻策略控制。而外網(wǎng)的訪問默認(rèn)是阻止的。換句話說,默認(rèn)配置下,SD-WAN屬于外網(wǎng)區(qū)域不能訪問任何內(nèi)網(wǎng)資源。
所以,如果你想控制對端的訪問權(quán)限,需要把SD-WAN設(shè)置為“外網(wǎng)區(qū)域”,然后通過防火墻策略來管控。如下圖: