【AF】防火墙配置云端加速节点实战案例

一、AF105版本

客户需求：

现客户在香港和北京都有业务需要互访，通过创建IPSec VPN隧道实现联通延迟太高造成访问业务卡慢，现需要通过用云端加速节点访问业务使双方业务再通过云端加速节点隧道进行互访时延迟不是太高

二、环境：

采购两台设备，一台AF、一台SDW-R，SDW-R作为总部部署在北京，AF作为分支部署在香港

三、配置

云端加速通道配置

1、首先登录“云图”（地址为https://x.sangfor.com.cn），然后在云图首页中的资产概览中点击“云安全访问服务 SASE”进入控制台

2、在SASE 全球加速控制台页面，选择一组需要加速节点，用于创建加速线路；进入[策略/全球加速服务/加速线路]，选择需要离总部和分支最近的一组加速节点。

3、绑定总部VPN线路

进入[策略/全球加速服务/加速通道/固定分支组网/总部VPN线路]，点击<新增>，配置总部VPN线路的公网地址和端口。

4、配置加速线路

进入[策略/全球加速服务/加速通道/固定分支组网/通道配置]，点击<新增>，配置一条绑定总部VPN线路的加速通道。

5、查看并记录加速线路生成的映射端口（注：此处真实端口是1001端口，1008端口是扣的图不要在意）

6、如上图发现系统自动分批的映射端口为1001，而总部的VPN端口为4009，两端不一致的情况会导致无法同时通过互联网和加速线路建立加速线路，因此需要删除通道配置，并把总部VPN接口也配置为1001

7、重复步骤2操作，重新创建加速线路

检查生成的加速线路状态是否正常及端口映射关系是否一致，一致则SASE全球加速控制台配置完结

总部SDW-R配置

1、修改总部SDW-R设备的VPN服务端口为1001（此处的端口与上一阶段加速线路配置生成的端口一致）

进入SDW-R设备控制台，在[VPN/【SangforVPN】/Sangfor VPN配置/基本配置/高级设置]，修改[VPN监听端口]为1001.(注意：修改VPN服务接口会重启VPN服务，若此设备作为其他VPN设备的总部，且有正常运行的VPN连接，修改VPN服务端口后会导致隧道中断)

2、为加速线路创建VPN多线路

1、在【VPN/【SangforVPN】/通用配置/VPN线路配置]，在需要通过加速线路建立隧道的WAN线路勾选线路复用，并新增骨干网线路的VPN线路，接口与上一步互联网线路的接口一致

2、创建Sangfor vpn接入账号

在[网络/【SangforVPN】/Sangfor VPN配置/接入账号管理]，创建Sangfor vpn接入账号，并在“展开高级配置”页面创建加速线路的接入地址（注：此处图片为扣图参考即可 按照真实总部设备配置，真实SDW-R设备为总部，实际效果一样）

分支AF配置

1、配置Sangfor VPN连接管理

进入AF设备控制台，在[网络/【Sangfor/IPSecVPN】/连接管理]，配置Sangfor VPN的连接，此处的接入IP需要配置总部互联网公网地址及加速线路的接入地址。（注：图二为示例）

选路配置

1、在总部AF设备上配置SD-WAN选路配置，确保总部访问分支的流量优先走到加速线路（注：此图为示例，可按照真实设备配置）

2、在分支AF设备上配置SD-WAN选路配置，确保分支访问总部的流量优先走到加速线路

四、验证

不加速状态

加速状态