本帖最后由 匆匆丶匆匆 于 2021-1-5 10:03 编辑
原有网络
客户原来网络是路由下联口和二层交换机上联口做单臂路由模式部署,路由器同时还有无线管理功能。 防火墙想实现和其他分支做sangforvpn,并且此处为总部,并且做sslvpn,发布业务方便出差登录 ,做安全策略实现防护。原来规划把防火墙替换掉原来的路由器,但是原来的路由器做了无线的认证,可以做单臂但是原路由器厂家不做支持,变改变方式,想着把防火墙串在网络中做虚拟网线,同时启另一个口做管理口和sangforvpn、sslvpn的接口。 接下来就是配置了: 先解决sangforvpn的 问题,都知道防火墙只有在做路由模式的时候才能 用sangforvpn,所以要给防火墙起个(伪)路由模式。并在出口路由器映射 防火墙单臂接口地址的 udp和tcp4009端口。 一、为防火墙做路由模式 : 1、设置伪wan口 2、设置内网口(也就是单臂口)
3、设置路由 4、vpn内网接口 5、本地子网列表 6、基本设置 7、接下来建vpn和其他一样。
二、做sslvpn 正常部署。 部署完成之后发现可以连通sslvpn但是访问不了资源,经过排查发现是数据流 多次经过防火墙,出现多次穿越的问题, 解决办法:
三、虚拟网线 找一对bypass口做虚拟网线,即可。 四、根据需要发布资源,以及做策略等。
小结: 因为对原来客户的设备不熟悉,改变客户网络环境需要断网的时间和重新配置所需的时间都未知,故改用此模式不改变网络环境,给客户做好vpn和防护,可以维持客户原有的网络环境,也是因为此客户网络比较特殊,路由器给无线做认证,又没人清楚具体的网络环境。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-1-5 10:17
发表于 2021-1-10 22:31
