【2022争霸赛*干货满满】BBC VPN拓扑管理AF与SDW-R组网
  

峰尚 183517人觉得有帮助

{{ttag.title}}
本帖最后由 峰尚 于 2022-9-21 20:42 编辑

一、项目背景。
某公司在全国各地存在多个门店或办公地点;以往门店访问总部应用资源,是通过AF的SSL VPN访问,但VPN用户授权有限,访问也不方便。现通过SDW-R与AF组sangfor vpn实现全国各地门店能简单访问总部应用。


二、需求分析。
1.     分支访问总部网络。
2.     分支可以通过域名访问总部内网应用。
3.     实现分支集中管控。


三、实施拓扑。

四、设备清单
  
设备
  
版本
数量
BBC
2.5.40
1
SDW-R
4.0.40
14
本地授权KEY
BBC本地授权使用
1


五、BBC配置步骤。
1. BBC上架单臂部署在总部核心,配置管理网络、默认路由路由。

2.BBC授权-本地授权-需要插入本地授权KEY。
         3.新建分支设备接入账号-分支账号多的可以选择文件导入。文件导入填好分支名称、设备类型、接入密码即可,其余可选择性填写。

六、出口AF配置步骤。
         1.BBC单臂在内网,出口AF映射TCP 5530TCP 55015500TCPUDP等端口到公网,如需公网管理BBC,可以把TCP 443也映射出来。

七、SDW-R配置步骤
SDW-R部署模式,由于各门店情况不一样,一部分门店是替换原有路由网关部署,一部分门店单臂接入。前期已经收集好各分支的IP网段、拨号账号、部署模式;基于门店实际情况,此次SDW-R实施先在总部进行设备预配置,然后派送给各门店接入。

1.笔记本电脑配置10.254.254.100/24,直连SDW-R的0口,浏览器访问https://10.254.254.254.
       2.配置SDW-R网络接口模式,NAT、路由;单臂不需要配置NAT

        3.配置SDW-RDHCP,分支DNS使用总部的内网DNS,总部应用基于域名访问。

         4.加入集中管理,前面已经在BBC新建好分支账号。


八、VPN 组网步骤
         1.BBC新增VPN 拓扑。
         2.选择VPN总部设备、填写总部子网。

         3.选择分支设备

         4.下发VPN配置,会自动在总部生成分支账号,分支自动连接总部。

         5.总部AF查看分支用户,这种SDW-R_topology就是BBC下发新建的用户。

         6.AF查看VPN连接状态。

         7.BBC查看VPN连接状态。


九、VPN组网中遇到的问题

问题1:分支IP冲突
         各分支原有出口设备差不多都是家用路由,使用的都是192.168.0.0网段;总部网段也是192.168.0.0/24。分支与分支间冲突。

     分支与分支网段冲突解决方法:总部AF分支账号中启用隧道间NAT。

         先建立虚拟IP地址池
         在分支IP有冲突的账号开启隧道NAT


问题2:SDW-R单臂部署,VPN隧道建立后,分支PING不通总部,网关回包路由已经写了。
排查过程:
1.分支PC 长ping总部192.168.9.210,在SDW-R设备上捉包;发现包都是网关192.168.1.1的广播包。(192.168.0.0/24、192.168.9.0/24是总部网段)
ping 192.168.0.254 也只到网关192.168.1.1就断了。

2.PC手动加静态路由,192.168.0.254 指向SDW-R的内网口192.168.1.49,重新ping总部192.168.0.254发现能这能正常通讯。

  经过以上排查,初步断定是出口TP-link的路由不生效;百度看到有说明TP-link不支持wan-lan的路由。后续部署模式改成替换出口路由才解决这个问题。



62191632aeaa4194f7.png (144.05 KB, 下载次数: 544)

62191632aeaa4194f7.png

605632aeb9e21cc5.png (139.63 KB, 下载次数: 495)

605632aeb9e21cc5.png

87658632aebf525898.png (57.81 KB, 下载次数: 733)

87658632aebf525898.png

打赏鼓励作者,期待更多好文!

打赏
80人已打赏

七嘴八舌bar 发表于 2022-9-28 11:02
  
专家点评:感谢楼主分享!文章介绍了一例通过BBC给AF和SDW-R下发建立Sangfor VPN的案例,整体描述比较清晰流畅,也记录了分支间网段冲突、TP-Link路由器的坑点排障过程,比较有参考价值。期待楼主带来更多有价值的案例分享!
白鹭先生 发表于 2022-9-21 19:25
  
好好学习,天天向上!!
新手309365 发表于 2022-9-21 23:12
  
好好学习,天天向上!
原鹏程 发表于 2022-9-21 23:39
  
感谢楼主分享,努力学习中!
新手225945 发表于 2022-9-22 00:01
  
666,很详细,学习了
Mr程 发表于 2022-9-22 00:01
  

感谢楼主分享,努力学习中!
新手286360 发表于 2022-9-22 00:10
  
受益匪浅,深信服yyds。
怪兽君 发表于 2022-9-22 08:16
  
好好学习,天天向上!
韩_鹏 发表于 2022-9-22 08:44
  
感谢分享                                                                        
头像被屏蔽
小高菜奈 发表于 2022-9-22 08:59
  
提示: 作者被禁止或删除 内容自动屏蔽
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

121
314
351

发帖

粉丝

关注

本版达人

你咋不高兴

本周建议达人

壹加壹网络

本周分享达人