本帖最后由 韩立春 于 2026-5-29 15:13 编辑
#信服智创# 【项目案例】移动5G双域网校园AF防火墙GRE隧道安装
一、项目背景 移动5G双域网络是中国移动推出的一种安全专网,核心是让用户一机一卡、不换号,就能同时安全访问 互联网(公域) 和 内部专网(私域),且两个网络安全隔离、无感切换。
二、客户需求 客户需求是能在学校网络端的防火墙实现移动5G双域网GRE隧道调通,并能对接移动的双域网GRE.并通过移动的手机能访问学校内网规定的网站,比如OA办公等相关学校业务的网站。在学校外任何一个位置能够访问学校的业务,实现在校外就可以办公的需要。
三、网络拓扑 移动双域5G网主要展示了移动侧和学校侧的完整架构,核心目标是实现师生使用移动5G流量卡 “不换卡、不换号、无感知” 地同时访问互联网与校园内网。
用户终端使用手机通过移动 5G 基站接入移动侧双域 5G 网络,使用运营商专用通道,与学校侧的双域 5G 网络建立通信加密对接,实现终端用户同时访问公网,又能访问校内资源,满足不在学校就能实现流量的智能区分,用户无需手动切换网络,就能够移动办公的场景需求。 学校侧的出口网络主要部署了 AD、AF 设备及核心交换机等,作为内网与运营商对接的核心节点:AD 设备(应用交付网关)通过移动给的外网出口地址是 219.219.199.19来对接移动侧网络,此地址是连接移动运营商的专线地址。AD的内网接口 IP 为 10.100.100.1;由于AD是出口,所以AD要做外网地址映射。AD作为校园网与运营商网络的边界接入点,完成流量的接入与分发。提供负载均衡、SSL 卸载、应用加速、源地址和目的地址转换等功能,以此来保障整个学校的校园内网业务稳定访问。 AF 设备(下一代防火墙)接口外网 IP 为 10.100.100.2、AF防火墙的内网地址是172.200.99.1,二者协同完成安全接入认证、流量管控与转发、应用策略、GRE隧道建立等功能。移动侧与学校侧通过GRE隧道建立对接,两侧都配置了主备隧道 IP 池:移动侧主备隧道地址为 192.168.177.100/30、192.168.178.100/30,学校侧对应为 192.168.175.100/30、192.168.176.100/30,保障链路冗余与高可用;移动侧主备对外隧道地址分别为55.144.88.89、55.144.88.90。学校侧对外隧道地址分别为55.145.88.100、55.145.88.101。它们主要实现了移动与学校两侧对外公网获取地址的统一规划与管理。AF主要实现了校园网深度边界防护,集成入侵防御、威胁检测、访问控制等能力,阻断非法访问。对 5G 专网接入的用户进行二次身份鉴权,实现校园网的可信可管可控。 学校的核心交换机主要负责连接校园的内网服务器、业务系统等,承载校园内部的所有业务流量。与 AF 设备对接,接收经过安全认证的 5G 专网流量,实现师生对校园内网资源的访问。 学校校内 DNS 为 10.10.10.1,终端手机可以直接解析访问学校内办公域名oa.ln.edu.cn与 SSL VPN 地址sslvpn.ln.edu.cn实现校内业务系统的无缝访问。需要注意的是,本次项目里提到的所有 IP、域名均为本项目演示用虚拟地址,非真实网络地址。整体架构通过运营商专网隧道 + 学校侧安全设备的移动提供的GRE隧道组合,构建了端到端的安全通道,此次项目中不但保障了 5G 移动手机的接入的便捷性,又实现了校园内网资源的合规、安全访问,兼顾了办公无边界的业务效率与网络安全。 四、项目实施 本项目主要是安装实施学校一侧的5G移动GRE隧道。移动一侧的配置已经由移动方配置完。 (一)学校AD的配置 由于防火墙不是路由模式,所以必须由AD进行源地址和目的地址的内网地址映射到公网地址才能与移动5G隧道进行互联互通,才需要配置AD的。 1.源地址转换的配置 输入AD的登录https://ip地址及用户密码。 点击网络接口-链路IP配置, 配置的学校外网出口地址是219.219.199.19,AD的内网地址是10.100.100.1.
点击网络部署-地址转换-源地址转换-新增
输入基本信息的名称-gre-点击启用,类型选择IPV4-位置序号为1,,源地址入口链路为所有链路-源IP地址指定IP为AF防火墙的外网地址10.100.100.2,目的地址出接口为所有链路-目的IP地址选择用户地址集-选择GRE地址,协议条件选择ALL,转换规则转换源IP选择指定IP为出口IP219.219.199.19
设置GRE地址,点击资源管理-规则地址库-用户地址集-新增-名称为gre地址-ip输入移动侧5G隧道外网地址55.144.88.89、55.144.88.90,点击确定。
GRE移动侧5G IP地址设置完成。
2.目的地址转换的配置 输入网络部署-地址转换-目的地址转换-新增
设置目的地址转换名称为gre-启/禁用选择启用-类型选IPV4-位置序号选择4,源地址选择指定链路-选择WAN口外网出口地址219.219.199.19-源IP地址为所有IP-目的地址为指定IP:219.219.199.19-协议条件为OTHER,协议号为47,转换规则转换目的IP为防火墙外网IP 10.100.100.2,最后点击确定。 目的地址gre设置完成。
(二)学校AF隧道的配置 1.输入AF的登录https://ip地址及用户密码。 点击网络-接口-物理接口-IP网口配置, 配置的AF外网出口地址是10.100.100.2,AF的内网地址是172.200.99.1.
点击网络-接口-GRE隧道-新增,设置GRE隧道
点击编辑隧道-编号为1,区域设为gre1,基本配置IP地址设置为192.168.176.100/30,源端地址设为10.100.100.2,目的端地址设为55.144.88.89,点击确定。
点击编辑隧道-编号为2,区域设为gre2,基本配置IP地址设置为192.168.175.100/30,源端地址设为10.100.100.2,目的端地址设为55.144.88.90,点击确定。
gre1和gre2设置完成。 2.入站应用策略设置 为了学校内网的5G隧道应用使用的安全,将设置应用策略服务,点击策略-应用控制策略-策略配置-ipv4入站-新增 点击编辑应用控制策略-基础信息名称设置为gre入,状态启用。源区域设置为gre1,gre2,源地址选择网络对象55.145.88.100、55.145.88.101.目的区域设置为内网,目的地址为全部,服务为any,应用选全部。生效条件设置动作选项为允许,生效时间为全部。点击确定。
入站策略设置完成。
3.出站应用策略设置 点击策略-应用控制策略-策略配置-ipv4出站-新增 点击编辑应用控制策略-基础信息名称设置为gre出,状态启用。源区域设置为内网区,源地址选择网络对象为全部。目的区域设置为gre1,gre2,目的地址为55.145.88.100、55.145.88.101,服务为any,应用选全部。生效条件设置动作选项为允许,生效时间为全部。点击确定。
出站应用策略设置完。
五、效果展示 1.学校侧5G隧道内网测试内网IP互通。 2.手机5G测试 ping sslvpn通。 3.手机5G双域隧道访问校园SSLVPN界面 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2026-6-8 17:03
技术专家1级 
