有些业务系统出于安全需要,会限制登录的IP地址,比如只允许总公司的IP访问。这种情况下,分公司如果想要访问该业务系统,也必须走总公司的宽带才可以。要实现这个需求,一般有以下解决方案:
1). 方案一:分公司的电脑先拨入总公司的VPN,走总公司线路访问外网。
2). 方案二:分公司和总公司之间组建site-to-site虚拟局域网,分公司电脑通过总部的代理服务器访问业务系统。
3). 方案三:分公司和总公司之间组建site-to-site虚拟局域网,通过在分公司的网关上指定分流访问。
方案一需要在每台电脑上都拨入VPN,配置和维护都比较麻烦;方案二需要在总部搭建代理服务器;所以相对来说方案三最为方便快捷。本例中,我将结合WSG上网行为管理网关,介绍如何通过多线均衡和VPN客户端来实现分公司走总部线路访问业务系统(方案三)。
1. 总部开启PPTP服务端
在总部的WSG上开启PPTP服务端,启用“本地验证”。
在账号管理中添加VPN用户,如下图:
在“网关模式”下,PPTP的客户端会自动加入NAT转换中,所以PPTP客户端可以通过总部的PPTP服务访问外网。
2. 在分公司的WSG上配置VPN客户端
配置正确时,点击状态图标即可联通总部。
3. 在分公司的WSG上配置分流策略
还需要配置分流策略,指定流量走总部线路。具体配置如下图:
经过上述配置后,实现了以下功能:
1). 分公司的WSG网关通过PPTP和总部组建了site-to-site VPN。
2). 分公司配置了分流策略,使访问业务系统的数据走总部VPN通道。
这样就实现了分公司访问指定地址的时候走总部流量的业务需求。
