SD-WAN即软件定义广域网,可以实现异地智能组网,远程办公拨入。和传统的VPN相比,SD-WAN有如下优势:
自动寻址,无需公网IP。
点对点加密传输,无需通过服务器转发,传输安全性高。
多平台支持。有windows,安卓客户端。
既能实现多地异地组网,又可以实现远程办公拨入。
本文中,我将介绍如何用WSG自带的SD-WAN来实现多地异地虚拟组网。
1. 网络拓扑图
网络拓扑图如上图所示:
每个局域网都用了一台WSG做网关。
总部A的内网网段是192.168.10.x
分支B的内网网段是192.168.30.x
分支C的内网网段是172.16.1.x
每个局域网都没有固定的公网IP
传统的虚拟组网至少需要有一个或者多个固定公网IP,企业必须租用价格高昂的专线才可以部署。采用SD-WAN方案后,就不需要用专线了,SD-WAN可以自动寻址智能组网。
2. 创建SD-WAN网络
关注“笨驴信息”的公众号,然后在菜单中点击“SD-WAN”进入SD-WAN的配置功能。
添加网络,定义网络参数。
3. WSG中的SD-WAN配置
在WSG的界面中,需要把每一台WSG都加入添加的SD-WAN网络。
3. 允许设备加入SD-WAN网络
在“SD-WAN”平台的“终端”中,需要授权允许这三台WSG加入,并且指定每台WSG的IP地址。
本例中,我们指定WSG-A为“10.188.188.1”,WSG-B为“10.188.188.2”,WSG-C为“10.188.188.3”。如下图:
4. 配置路由规则
经过上述配置后,这三台WSG之间已经可以互通了,如果要让网段互访,我们还需要进一步配置路由规则。如下图,在SD-WAN中设置如下的路由规则:
目的网段是192.168.10.0/24,下一跳是10.188.188.1
目的网段是192.168.30.0/24,下一跳是10.188.188.2
目的网段是172.16.1.0/24,下一跳是10.188.188.3
这样就可以让不同分支机构之间的网段互通。路由规则如下图:
5. 防火墙策略
SD-WAN对WSG内网的访问权限,取决于SD-WAN所属的防火墙区域。
内网区域:SD-WAN当做内网访问,受到“内网-转发方向”的防火墙策略控制。而内网的访问默认是允许的。换句话说,默认配置下,SD-WAN属于内网区域可以访问所有的内网资源。
外网区域:SD-WAN当做外网访问,受到“外网-转发方向”的防火墙策略控制。而外网的访问默认是阻止的。换句话说,默认配置下,SD-WAN属于外网区域不能访问任何内网资源。
所以,如果你想控制对端的访问权限,需要把SD-WAN设置为“外网区域”,然后通过防火墙策略来管控。如下图:
