记录一次用新架构防火墙单臂模式部署对接Sangfor vpn

项目目标

1. 公司目前部分分支场站由蒲公英VPN和其他场站分支对接VPN实现业务互访，根据需求增加深信服VPN设备，将数据中心服务器业务替换在深信服设备上，用于实现总部业务段172.16.4.0/24和各分支数据服务器实现互通。

规划

总部：

1.客户要求设备旁挂在核心交换机上，根据目前设备性能要求，总部和分支对接实现sangfor VPN组网方式，Sangfor vpn对接必须两个接口，最终讨论总部防火墙设备以路由模式一进一出逻辑串在核心交换机上。

2.根据组网要求，客户需配合在互联网出口映射TCP/UDP：4009,端口映射，并放通防火墙上网。核心交换机新增10.10.10.254/24网段用于和深信服设备部LAN口互联，核心交换机需引流到防火墙LAN口，下一跳地址为深信服防火墙LAN口地址10.10.10.253，防火墙写默认路由从WAN口出，隧道建立成功后和分支实现互联。

分支：

1.分支VPN（SDW-R）设备路由部署接入光猫/4G路由器底下，VPN WAN口DHCP，VPN LAN口接数据服务器，LAN口固定IP，地址配置如下，配置完成后将数据传输服务器接入深信服VPN设备

拓扑

总部配置

1. 登陆设备

2.配置接口信息

2. 配置ETH0口为带外管理地址为172.16.0.240/24，ETH1为WAN口地址为172.16.5.188/24

ETH2口为LAN口地址为10.10.10.253/24，如下图所示

3. 配置默认路由指向172.16.5.254

4. 配置VPN线路，新增线路

5. 填主接入地址和密钥

6.发布本地子网172.16.4.0/24（4段为服务器网段）

7. 新增各分支账户，用于对接总部

设置分支用户密码

8.分支连接成功后可在VPN运行状态看到连接状态

分支配置

1.只需要打通网络，根据配置向导配置分支

选择VPN-连接管理-开启VPN服务

填写接入名称，接入地址，接入账号即可

完成后即可在VPN运行状态看到连接成功

感谢楼主分享！文章详细介绍了AF单臂模式部署Sangfor VPN的配置，最后两张图应该和本次配置无关，建议重新排版，期待楼主有更加精彩的分享~

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

111111111111111111

感谢分享！！！学习一下！！！！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢楼主分享，学习一下

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。