【2022争霸赛*干货满满】BBC VPN拓扑管理AF与SDW-R组网
  

峰尚 184447人觉得有帮助

{{ttag.title}}
本帖最后由 峰尚 于 2022-9-21 20:42 编辑

一、项目背景。
某公司在全国各地存在多个门店或办公地点;以往门店访问总部应用资源,是通过AF的SSL VPN访问,但VPN用户授权有限,访问也不方便。现通过SDW-R与AF组sangfor vpn实现全国各地门店能简单访问总部应用。


二、需求分析。
1.     分支访问总部网络。
2.     分支可以通过域名访问总部内网应用。
3.     实现分支集中管控。


三、实施拓扑。

四、设备清单
  
设备
  
版本
数量
BBC
2.5.40
1
SDW-R
4.0.40
14
本地授权KEY
BBC本地授权使用
1


五、BBC配置步骤。
1. BBC上架单臂部署在总部核心,配置管理网络、默认路由路由。

2.BBC授权-本地授权-需要插入本地授权KEY。
         3.新建分支设备接入账号-分支账号多的可以选择文件导入。文件导入填好分支名称、设备类型、接入密码即可,其余可选择性填写。

六、出口AF配置步骤。
         1.BBC单臂在内网,出口AF映射TCP 5530TCP 55015500TCPUDP等端口到公网,如需公网管理BBC,可以把TCP 443也映射出来。

七、SDW-R配置步骤
SDW-R部署模式,由于各门店情况不一样,一部分门店是替换原有路由网关部署,一部分门店单臂接入。前期已经收集好各分支的IP网段、拨号账号、部署模式;基于门店实际情况,此次SDW-R实施先在总部进行设备预配置,然后派送给各门店接入。

1.笔记本电脑配置10.254.254.100/24,直连SDW-R的0口,浏览器访问https://10.254.254.254.
       2.配置SDW-R网络接口模式,NAT、路由;单臂不需要配置NAT

        3.配置SDW-RDHCP,分支DNS使用总部的内网DNS,总部应用基于域名访问。

         4.加入集中管理,前面已经在BBC新建好分支账号。


八、VPN 组网步骤
         1.BBC新增VPN 拓扑。
         2.选择VPN总部设备、填写总部子网。

         3.选择分支设备

         4.下发VPN配置,会自动在总部生成分支账号,分支自动连接总部。

         5.总部AF查看分支用户,这种SDW-R_topology就是BBC下发新建的用户。

         6.AF查看VPN连接状态。

         7.BBC查看VPN连接状态。


九、VPN组网中遇到的问题

问题1:分支IP冲突
         各分支原有出口设备差不多都是家用路由,使用的都是192.168.0.0网段;总部网段也是192.168.0.0/24。分支与分支间冲突。

     分支与分支网段冲突解决方法:总部AF分支账号中启用隧道间NAT。

         先建立虚拟IP地址池
         在分支IP有冲突的账号开启隧道NAT


问题2:SDW-R单臂部署,VPN隧道建立后,分支PING不通总部,网关回包路由已经写了。
排查过程:
1.分支PC 长ping总部192.168.9.210,在SDW-R设备上捉包;发现包都是网关192.168.1.1的广播包。(192.168.0.0/24、192.168.9.0/24是总部网段)
ping 192.168.0.254 也只到网关192.168.1.1就断了。

2.PC手动加静态路由,192.168.0.254 指向SDW-R的内网口192.168.1.49,重新ping总部192.168.0.254发现能这能正常通讯。

  经过以上排查,初步断定是出口TP-link的路由不生效;百度看到有说明TP-link不支持wan-lan的路由。后续部署模式改成替换出口路由才解决这个问题。



62191632aeaa4194f7.png (144.05 KB, 下载次数: 547)

62191632aeaa4194f7.png

605632aeb9e21cc5.png (139.63 KB, 下载次数: 496)

605632aeb9e21cc5.png

87658632aebf525898.png (57.81 KB, 下载次数: 736)

87658632aebf525898.png

打赏鼓励作者,期待更多好文!

打赏
80人已打赏

七嘴八舌bar 发表于 2022-9-28 11:02
  
专家点评:感谢楼主分享!文章介绍了一例通过BBC给AF和SDW-R下发建立Sangfor VPN的案例,整体描述比较清晰流畅,也记录了分支间网段冲突、TP-Link路由器的坑点排障过程,比较有参考价值。期待楼主带来更多有价值的案例分享!
粥粥学长 发表于 2024-8-12 09:56
  
打卡学习,感谢大佬分享!
花开荼靡_ 发表于 2024-7-7 10:40
  
每天坚持打卡学习签到!!
এ塔铃独语别黄昏এ 发表于 2024-6-12 07:42
  
每日一积累慢慢变专家
এ塔铃独语别黄昏এ 发表于 2024-6-6 21:27
  
每天坚持打卡学习签到!!
এ塔铃独语别黄昏এ 发表于 2024-5-29 20:53
  
一起来学习,一起来学习
এ塔铃独语别黄昏এ 发表于 2024-5-29 20:51
  
一起来学习,一起来学习
平凡的小网工 发表于 2023-4-7 10:30
  
我在社区摸爬滚打这么多年,所谓阅人无数,就算没有见过猪走路,也总明白猪肉是啥味道的。一看到楼主的气势,我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别,你一定就是传说中的最强技术牛。
新手160610 发表于 2023-3-21 18:28
  

感谢楼主分享,学习一下
火狐狸 发表于 2023-3-15 08:48
  

感谢楼主分享,努力学习中!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
干货满满
【 社区to talk】
每日一问
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
秒懂零信任
安装部署配置
功能体验
通用技术
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

121
315
351

发帖

粉丝

关注

本版达人

你咋不高兴

本周建议达人

壹加壹网络

本周分享达人