网管在做远程技术支持的时候,需要连接到客户的内网或者路由器。对于有公网IP的网络,可以直接通过公网IP或者动态域名去访问。由于现在运营商很多都只给内网IP,使得远程技术支持必须要做内网穿透才可以。所以很多网管在做网络维护的时候,还需要给用户安装FRP或者NPS的内网穿透服务,增加了维护的成本和复杂性。
在本文中,我将介绍如何通过SD-WAN的方式来给客户提供远程网管服务。SD-WAN和其他方式相比,可以自动寻址穿透,无需公网IP,也无需云主机转发。具体步骤如下:
1. 创建SD-WAN网络
关注“笨驴信息”的公众号,然后在菜单中点击“SD-WAN”进入SD-WAN的配置功能。
添加技术支持的网络。
2. 把客户端加入SD-WAN网络
需要配置客户的网关设备,把其加入到上一步中创建的“网管技术支持”网段。如图:
3. 远程维护终端
网管用来做远程维护的终端电脑、手机,也需要添加到该网络中。
通过上述步骤,网管人员就可以从外网直接访问客户的网关了。
4. 配置防火墙规则
默认设置下,各个SD-WAN终端之间是可以互通的。多个客户时,我们还需要配置SD-WAN的防火墙规则,只允许网管去访问客户,而不允许客户之间的互访。
首先要合理规划客户的网段,举例来说:
假设SD-WAN的网段是10.188.190.0/24(10.188.190.1-10.188.190.254)
我们可以把10.188.190.129/25(10.188.190.129-10.188.190.254)分给客户(SD-WAN平台中手动给客户分配这个范围的IP地址)。
把10.188.190.1/25(10.188.190.1-10.188.190.127)分给维护终端(SD-WAN平台中手动给网管分配这个范围的IP地址)。
然后就可以通过防火墙规则来禁止客户之间的互访。如下图:
规则的内容是:
[{"ip":"10.188.190.128/25","not":false,"or":false,"type":"MATCH_IPV4_SOURCE"},{"ip":"10.188.190.128/25","not":false,"or":false,"type":"MATCH_IPV4_DEST"},{"type":"ACTION_DROP"},{"type":"ACTION_ACCEPT"}]
含义是阻止从"10.188.190.128/25"到"10.188.190.128/25"的通讯。从而就禁止了客户之间的互访,只有从网管网段才可以访问到客户网段。
