花开荼靡_ 发表于 2024-7-7 10:40
  
每天坚持打卡学习签到!!
粥粥学长 发表于 2024-8-12 09:56
  
打卡学习,感谢大佬分享!
【2022争霸赛*干货满满】BBC VPN拓扑管理AF与SDW-R组网
  

峰尚 192167人觉得有帮助

{{ttag.title}}
本帖最后由 峰尚 于 2022-9-21 20:42 编辑

一、项目背景。
某公司在全国各地存在多个门店或办公地点;以往门店访问总部应用资源,是通过AF的SSL VPN访问,但VPN用户授权有限,访问也不方便。现通过SDW-R与AF组sangfor vpn实现全国各地门店能简单访问总部应用。


二、需求分析。
1.     分支访问总部网络。
2.     分支可以通过域名访问总部内网应用。
3.     实现分支集中管控。


三、实施拓扑。

四、设备清单
  
设备
  
版本
数量
BBC
2.5.40
1
SDW-R
4.0.40
14
本地授权KEY
BBC本地授权使用
1


五、BBC配置步骤。
1. BBC上架单臂部署在总部核心,配置管理网络、默认路由路由。

2.BBC授权-本地授权-需要插入本地授权KEY。
         3.新建分支设备接入账号-分支账号多的可以选择文件导入。文件导入填好分支名称、设备类型、接入密码即可,其余可选择性填写。

六、出口AF配置步骤。
         1.BBC单臂在内网,出口AF映射TCP 5530TCP 55015500TCPUDP等端口到公网,如需公网管理BBC,可以把TCP 443也映射出来。

七、SDW-R配置步骤
SDW-R部署模式,由于各门店情况不一样,一部分门店是替换原有路由网关部署,一部分门店单臂接入。前期已经收集好各分支的IP网段、拨号账号、部署模式;基于门店实际情况,此次SDW-R实施先在总部进行设备预配置,然后派送给各门店接入。

1.笔记本电脑配置10.254.254.100/24,直连SDW-R的0口,浏览器访问https://10.254.254.254.
       2.配置SDW-R网络接口模式,NAT、路由;单臂不需要配置NAT

        3.配置SDW-RDHCP,分支DNS使用总部的内网DNS,总部应用基于域名访问。

         4.加入集中管理,前面已经在BBC新建好分支账号。


八、VPN 组网步骤
         1.BBC新增VPN 拓扑。
         2.选择VPN总部设备、填写总部子网。

         3.选择分支设备

         4.下发VPN配置,会自动在总部生成分支账号,分支自动连接总部。

         5.总部AF查看分支用户,这种SDW-R_topology就是BBC下发新建的用户。

         6.AF查看VPN连接状态。

         7.BBC查看VPN连接状态。


九、VPN组网中遇到的问题

问题1:分支IP冲突
         各分支原有出口设备差不多都是家用路由,使用的都是192.168.0.0网段;总部网段也是192.168.0.0/24。分支与分支间冲突。

     分支与分支网段冲突解决方法:总部AF分支账号中启用隧道间NAT。

         先建立虚拟IP地址池
         在分支IP有冲突的账号开启隧道NAT


问题2:SDW-R单臂部署,VPN隧道建立后,分支PING不通总部,网关回包路由已经写了。
排查过程:
1.分支PC 长ping总部192.168.9.210,在SDW-R设备上捉包;发现包都是网关192.168.1.1的广播包。(192.168.0.0/24、192.168.9.0/24是总部网段)
ping 192.168.0.254 也只到网关192.168.1.1就断了。

2.PC手动加静态路由,192.168.0.254 指向SDW-R的内网口192.168.1.49,重新ping总部192.168.0.254发现能这能正常通讯。

  经过以上排查,初步断定是出口TP-link的路由不生效;百度看到有说明TP-link不支持wan-lan的路由。后续部署模式改成替换出口路由才解决这个问题。



62191632aeaa4194f7.png (144.05 KB, 下载次数: 554)

62191632aeaa4194f7.png

605632aeb9e21cc5.png (139.63 KB, 下载次数: 505)

605632aeb9e21cc5.png

87658632aebf525898.png (57.81 KB, 下载次数: 747)

87658632aebf525898.png

打赏鼓励作者,期待更多好文!

打赏
80人已打赏

发表新帖
热门标签
全部标签>
每日一问
技术盲盒
西北区每日一问
干货满满
【 社区to talk】
技术笔记
安全效果
新版本体验
技术咨询
功能体验
标准化排查
高手请过招
2023技术争霸赛专题
GIF动图学习
信服课堂视频
产品连连看
社区新周刊
秒懂零信任
技术晨报
自助服务平台操作指引
每周精选
技术圆桌
每日一记
玩转零信任
纪元平台
场景专题
升级&主动服务
全能先锋系列
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高频问题集锦
POC测试案例
云化安全能力

本版版主

121
317
353

发帖

粉丝

关注

本版达人

你咋不高兴

本周建议达人

壹加壹网络

本周分享达人