在“如何用SD-WAN實(shí)現(xiàn)多地組網(wǎng)?”一文中,我們介紹了如何用SD-WAN來實(shí)現(xiàn)多地組網(wǎng)。實(shí)際上SD-WAN不僅可以用于多地組網(wǎng),而且可以用于遠(yuǎn)程辦公撥入。
和傳統(tǒng)的遠(yuǎn)程辦公方案相比,SD-WAN有如下優(yōu)勢(shì):
自動(dòng)尋址,無需公網(wǎng)IP。
點(diǎn)對(duì)點(diǎn)加密傳輸,無需通過服務(wù)器轉(zhuǎn)發(fā),傳輸安全性高。
多平臺(tái)支持。有windows,安卓客戶端。
本文中,我將介紹如何用SD-WAN實(shí)現(xiàn)遠(yuǎn)程辦公撥入。
1. 網(wǎng)絡(luò)拓?fù)鋱D
SD-WAN不需要固定公網(wǎng)IP也可以實(shí)現(xiàn)遠(yuǎn)程辦公撥入。如下圖,該局域網(wǎng)通過一臺(tái)WSG網(wǎng)關(guān)連接外網(wǎng),內(nèi)網(wǎng)網(wǎng)段是192.168.10.0/24。
2. 首先定義SD-WAN網(wǎng)絡(luò)
關(guān)注“笨驢信息”的公眾號(hào),然后在菜單中點(diǎn)擊“SD-WAN”進(jìn)入SD-WAN的配置功能。
添加遠(yuǎn)程辦公的網(wǎng)絡(luò),遠(yuǎn)程辦公和組網(wǎng)一般不要共用同一個(gè)網(wǎng)絡(luò),分開兩個(gè)網(wǎng)絡(luò)便于管理。
3. 配置WSG加入該網(wǎng)絡(luò)
配置WSG的SD-WAN模塊,加入該網(wǎng)絡(luò)。如圖:
SD-WAN平臺(tái)的“終端”中可以看到WSG,修改配置,授權(quán)并分配固定IP 10.188.189.1。
4. 配置路由表
要讓外網(wǎng)終端可以訪問內(nèi)網(wǎng),還需要添加路由規(guī)則,使內(nèi)網(wǎng)的訪問通過WSG轉(zhuǎn)發(fā)。如下圖:
5. 防火墻策略
SD-WAN對(duì)WSG內(nèi)網(wǎng)的訪問權(quán)限,取決于SD-WAN所屬的防火墻區(qū)域。
內(nèi)網(wǎng)區(qū)域:SD-WAN當(dāng)做內(nèi)網(wǎng)訪問,受到“內(nèi)網(wǎng)-轉(zhuǎn)發(fā)方向”的防火墻策略控制。而內(nèi)網(wǎng)的訪問默認(rèn)是允許的。換句話說,默認(rèn)配置下,SD-WAN屬于內(nèi)網(wǎng)區(qū)域可以訪問所有的內(nèi)網(wǎng)資源。
外網(wǎng)區(qū)域:SD-WAN當(dāng)做外網(wǎng)訪問,受到“外網(wǎng)-轉(zhuǎn)發(fā)方向”的防火墻策略控制。而外網(wǎng)的訪問默認(rèn)是阻止的。換句話說,默認(rèn)配置下,SD-WAN屬于外網(wǎng)區(qū)域不能訪問任何內(nèi)網(wǎng)資源。
所以,如果你想控制對(duì)端的訪問權(quán)限,需要把SD-WAN設(shè)置為“外網(wǎng)區(qū)域”,然后通過防火墻策略來管控。如下圖:
6. 外網(wǎng)終端的配置
外網(wǎng)電腦訪問sd-wan,需要安裝sd-wan客戶端并加入sd-wan網(wǎng)絡(luò)后,并且需要等待管理員授權(quán)后才可以接入。如下圖:
