【2022争霸赛*干货满满】BBC VPN拓扑管理AF与SDW-R组网

一、项目背景。

某公司在全国各地存在多个门店或办公地点；以往门店访问总部应用资源，是通过AF的SSL VPN访问，但VPN用户授权有限，访问也不方便。现通过SDW-R与AF组sangfor vpn实现全国各地门店能简单访问总部应用。

二、需求分析。

1.     分支访问总部网络。

2.     分支可以通过域名访问总部内网应用。

3.     实现分支集中管控。

三、实施拓扑。

四、设备清单

设备	版本	数量
BBC	2.5.40	1
SDW-R	4.0.40	14
本地授权KEY	BBC本地授权使用	1

五、BBC配置步骤。

1. BBC上架单臂部署在总部核心，配置管理网络、默认路由路由。

2.BBC授权-本地授权-需要插入本地授权KEY。

         3.新建分支设备接入账号-分支账号多的可以选择文件导入。文件导入填好分支名称、设备类型、接入密码即可，其余可选择性填写。

六、出口AF配置步骤。

         1.BBC单臂在内网，出口AF映射TCP 5530、TCP 5501、5500的TCP跟UDP等端口到公网，如需公网管理BBC，可以把TCP 443也映射出来。

七、SDW-R配置步骤

SDW-R部署模式，由于各门店情况不一样，一部分门店是替换原有路由网关部署，一部分门店单臂接入。前期已经收集好各分支的IP网段、拨号账号、部署模式；基于门店实际情况，此次SDW-R实施先在总部进行设备预配置，然后派送给各门店接入。

1.笔记本电脑配置10.254.254.100/24，直连SDW-R的0口，浏览器访问https://10.254.254.254.

       2.配置SDW-R网络接口模式，NAT、路由；单臂不需要配置NAT。

        3.配置SDW-R的DHCP,分支DNS使用总部的内网DNS，总部应用基于域名访问。

         4.加入集中管理，前面已经在BBC新建好分支账号。

八、VPN 组网步骤

         1.BBC新增VPN 拓扑。

         2.选择VPN总部设备、填写总部子网。

         3.选择分支设备

         4.下发VPN配置，会自动在总部生成分支账号，分支自动连接总部。

         5.总部AF查看分支用户，这种SDW-R_topology就是BBC下发新建的用户。

         6.AF查看VPN连接状态。

         7.BBC查看VPN连接状态。

九、VPN组网中遇到的问题

问题1：分支IP冲突

         各分支原有出口设备差不多都是家用路由，使用的都是192.168.0.0网段；总部网段也是192.168.0.0/24。分支与分支间冲突。

     分支与分支网段冲突解决方法：总部AF分支账号中启用隧道间NAT。

         先建立虚拟IP地址池

         在分支IP有冲突的账号开启隧道NAT

问题2：SDW-R单臂部署，VPN隧道建立后，分支PING不通总部，网关回包路由已经写了。

排查过程：

1.分支PC 长ping总部192.168.9.210，在SDW-R设备上捉包；发现包都是网关192.168.1.1的广播包。（192.168.0.0/24、192.168.9.0/24是总部网段）

ping 192.168.0.254 也只到网关192.168.1.1就断了。

2.PC手动加静态路由，192.168.0.254 指向SDW-R的内网口192.168.1.49，重新ping总部192.168.0.254发现能这能正常通讯。

  经过以上排查，初步断定是出口TP-link的路由不生效；百度看到有说明TP-link不支持wan-lan的路由。后续部署模式改成替换出口路由才解决这个问题。

专家点评：感谢楼主分享！文章介绍了一例通过BBC给AF和SDW-R下发建立Sangfor VPN的案例，整体描述比较清晰流畅，也记录了分支间网段冲突、TP-Link路由器的坑点排障过程，比较有参考价值。期待楼主带来更多有价值的案例分享！

好好学习，天天向上！！

好好学习，天天向上！

感谢楼主分享，努力学习中！

666，很详细，学习了

感谢楼主分享，努力学习中！

受益匪浅，深信服yyds。

好好学习，天天向上！

感谢分享