SD-WAN即軟件定義廣域網，可以實現異地智能組網，遠程辦公撥入。和傳統的VPN相比，SD-WAN有如下優勢：

• 自動尋址，無需公網IP。

• 點對點加密傳輸，無需通過服務器轉發，傳輸安全性高。

• 多平臺支持。有windows，安卓客戶端。

• 既能實現多地異地組網，又可以實現遠程辦公撥入。

本文中，我將介紹如何用WSG自帶的SD-WAN來實現多地異地虛擬組網。

1. 網絡拓撲圖

網絡拓撲圖如上圖所示：

• 每個局域網都用了一臺WSG做網關。

• 總部A的內網網段是192.168.10.x

• 分支B的內網網段是192.168.30.x

• 分支C的內網網段是172.16.1.x

• 每個局域網都沒有固定的公網IP

傳統的虛擬組網至少需要有一個或者多個固定公網IP，企業必須租用價格高昂的專線才可以部署。采用SD-WAN方案后，就不需要用專線了，SD-WAN可以自動尋址智能組網。

2. 創建SD-WAN網絡

關注“笨驢信息”的公眾號，然后在菜單中點擊“SD-WAN”進入SD-WAN的配置功能。

添加網絡，定義網絡參數。

3. WSG中的SD-WAN配置

在WSG的界面中，需要把每一臺WSG都加入添加的SD-WAN網絡。

3. 允許設備加入SD-WAN網絡

在“SD-WAN”平臺的“終端”中，需要授權允許這三臺WSG加入，并且指定每臺WSG的IP地址。

本例中，我們指定WSG-A為“10.188.188.1”，WSG-B為“10.188.188.2”，WSG-C為“10.188.188.3”。如下圖：

4. 配置路由規則

經過上述配置后，這三臺WSG之間已經可以互通了，如果要讓網段互訪，我們還需要進一步配置路由規則。如下圖，在SD-WAN中設置如下的路由規則：

• 目的網段是192.168.10.0/24，下一跳是10.188.188.1

• 目的網段是192.168.30.0/24，下一跳是10.188.188.2

• 目的網段是172.16.1.0/24，下一跳是10.188.188.3

這樣就可以讓不同分支機構之間的網段互通。路由規則如下圖：

5. 防火墻策略

SD-WAN對WSG內網的訪問權限，取決于SD-WAN所屬的防火墻區域。

• 內網區域：SD-WAN當做內網訪問，受到“內網-轉發方向”的防火墻策略控制。而內網的訪問默認是允許的。換句話說，默認配置下，SD-WAN屬于內網區域可以訪問所有的內網資源。

• 外網區域：SD-WAN當做外網訪問，受到“外網-轉發方向”的防火墻策略控制。而外網的訪問默認是阻止的。換句話說，默認配置下，SD-WAN屬于外網區域不能訪問任何內網資源。

所以，如果你想控制對端的訪問權限，需要把SD-WAN設置為“外網區域”，然后通過防火墻策略來管控。如下圖：