×

Auto VPN基于BBC对总部AF与分支AF进行SANGFOR VPN组网
  

赵庆煜 148821人觉得有帮助

{{ttag.title}}
本帖最后由 赵庆煜 于 2024-4-25 09:34 编辑

一、功能概述
Auto VPN功能主要使用在多分支SANGFOR VPN组网场景,Auto VPN基于BBC对总部与分支设备的配置下发实现分支与总部的VPN自动连接组网,极大降低配置交互的复杂性,并能良好兼容老VPN客户升级和接入到BBC,实现VPN连接的统一配置管理。
BBC创建VPN拓扑后,会自动以设备网点名称+VPN拓扑名称的形式在VPN总部端的设备上生成VPN账号,同时在分支端使用相同的账号创建VPN连接,配置下发成功后,即可创建VPN连接拓扑。
VPN老客户新上BBC的场景,BBC会自动识别VPN总部端设备VPN基础设置中的webagent配置,生成一条VPN拓扑连接,同时识别所有连接上来的VPN网点连接管理配置中的webagent,如果与总部端一致,则加入该拓扑。
二、需求背景
如果有一个或几个分支,需要搭建SANGFOR VPN组网,可以一个一个配置,具体参照深信服下一代防火墙SANGFORVPN组网配置,如果分支数量很多,这种情况下可以根据BBC端下发的配置快速完成VPN组网,降低配置交互的复杂性,多分支组网的场景,不需要在总部端设备创建VPN账号,每个分支创建连接管理,只需要在BBC端创建对应的VPN拓扑配置总部webagent信息,选择对应的分支设备即可。减少了由于重复配置而引起的配置错误问题
三、网络拓扑

四、配置过程
1.配置总部AF与分支AF的接口,区域,路由,VPN线路,VPN内网接口,地址转换,应用控制等配置。
总部AF配置好LAN、WAN1、WAN2接口。

将LAN口、WAN1、WAN2、VPNTUN接口关联对应的区域,区域相关的配置会影响后续应用控制策略配置。

总部AF设备存在两条WAN线路,此时需要配置两条访问Internet的默认路由,
总部AF设备建立网络对象,将总部与分支内网用户IP地址段的相关对象提前定义出来,以供后续的安全策略引用。

总部AF设备查看VPN线路配置(需配置),将对应的WAN1、WAN2线路与VPN线路1、VPN线路2关联,以下图为例。
总部AF勾选VPN内网接口,如下图所示

总部AF设备配置源地址转换策略,点击[策略]-[地址转换],配置地址转换NAT,使内网用户IP地址段可正常访问互联网。

总部AF设备在[策略]-[地址转换],配置地址转换DNAT,使分支设备能通过互联网可接入到总部BBC。

总部AF设备需要配置应用控制控制策略,点击[策略]-[访问控制]-[应用控制策略],配置应用控制策略,使内网用户IP段可正常访问互联网相关应用,以及分支可通过VPN连接正常访问总部的业务内网。

分支AF设备配置好LAN、WAN1、WAN2接口。

分支AF设备完成区域配置,将LAN口、WAN1、WAN2、VPNTUN接口关联对应的区域,区域相关的配置会影响后续应用控制策略配置。

分支AF设备存在两条WAN线路,此时需要配置两条访问Internet的默认路由。
分支AF设备建立网络对象,将总部与分支内网用户IP地址段的相关对象提前定义出来,以供后续的安全策略引用。

分支AF设备查看VPN线路配置(需配置),将对应的WAN1、WAN2线路与VPN线路1、VPN线路2关联,以下图为例。
分支AF勾选VPN内网接口,如下图所示

分支AF设备配置源地址转换策略,点击[策略]-[地址转换],配置地址转换NAT,使内网用户IP地址段可正常访问互联网。
分支支AF设备需要配置应用控制控制策略,点击[策略]-[访问控制]-[应用控制策略],配置应用控制策略,使内网用户IP段可正常访问互联网相关应用,以及分支可通过VPN连接正常访问总部的业务内网。
2.总部AF与分支AF加入BBC。简略配置,具体参照深信服集中管理场景配置
总部BBC上创建总部AF与分支AF的接入账号。

总部AF和分支AF加入到BBC中成功的界面显示如下。
总部AF设备与分支AF设备均正常接入到BBC中。

3.VPN线路标签配置。
VPN线路标签描述,用于SD-WAN选路时可查看到对应的业务流量具体负载到对应的VPN 线路上。此配置在BBC的VPN线路管理中,进行VPN线路标签编辑。
配置总部与分支的VPN线路标签

4. Auto VPN配置
总部BBC上新建VPN拓扑,用于设置VPN总部端配置与选择VPN分支设备。

选择对应的VPN总部设备,并配置对应的认证方式、webagent信息、本地子网等配置;选择对应的VPN分支端设备。
配置完成之后,拓扑状态正常。
五、结果验证
登录总部与分支AF设备,点击[VPN运行状态],查看VPN隧道已成功建立。

BBC的VPN运维大屏即可查看到对应的设备状态与VPN连接状态。

分支内网PC通过ping访问总部用户内网,并通过tracert去查看路由路径如下图所示:

总部内网PC通过ping访问分支业务内网,并通过tracert去查看路由路径如下图所示:

六、注意事项
1. BBC会收集总部端、分支端的SANGFOR VPN配置信息,总部端设备与分支端设备接入BBC时需要VPN总部基本配置处设置的webagent与分支连接管理配置的webagent一致,BBC才能识别到拓扑。
2. 在BBC创建VPN拓扑时,总部配置中如果配置了本地子网并设置了下一跳路由,除了会给总部设备下发本地子网配置以外,还会下发静态路由配置。
3. 通过BBC新建拓扑下发的VPN用户,连接管理等配置,受控端网络中断等非正常离线的情况下,不会清除相关连接配置,但如果在BBC端删除拓扑以后,会自动清理受控端设备的相应配置。
4. 如果设备已配置VPN连接的状态下接入BBC,设备上报的拓扑不能删除,删除后会导致受控端原有的VPN配置丢失。
5. 通过BBC创建VPN拓扑时,一个网点只能被选为总部一次,再创建新的拓扑的时候,该网点将无法选择。

打赏鼓励作者,期待更多好文!

打赏
56人已打赏

七嘴八舌bar 发表于 2023-11-28 15:57
  
哈喽,宝子,把实验平台上的实验手册搬运过来了嘛?
一个无趣的人 发表于 2023-11-28 19:36
  
多谢楼主分享vpn的组网配置方法,学习了。
zjwshenxian 发表于 2023-11-28 20:53
  
多谢楼主分享vpn的组网配置方法,学习了。
嘀嘀柠柠 发表于 2023-11-28 22:46
  
每天坚持打卡学习!!
飞翔的苹果 发表于 2023-11-29 08:08
  
感谢分享,学习一下!
泽一信息张惠 发表于 2023-11-29 08:11
  

感谢分享,学习了!!!!!!!
科思哲 发表于 2023-11-29 08:22
  
感谢楼主分享,努力学习中!!!
韩_鹏 发表于 2023-11-29 08:50
  
感谢分享                                                               
高挑且气度不凡的向日葵 发表于 2023-11-29 09:08
  
感谢分享,学习一下!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人