Auto VPN基于BBC对总部AF与分支AF进行SANGFOR VPN组网

只看该作者 · 发表于 2023-11-28 15:08

本帖最后由赵庆煜于 2024-4-25 09:34 编辑

一、功能概述

Auto VPN功能主要使用在多分支SANGFOR VPN组网场景，Auto VPN基于BBC对总部与分支设备的配置下发实现分支与总部的VPN自动连接组网，极大降低配置交互的复杂性，并能良好兼容老VPN客户升级和接入到BBC，实现VPN连接的统一配置管理。

BBC创建VPN拓扑后，会自动以设备网点名称+VPN拓扑名称的形式在VPN总部端的设备上生成VPN账号，同时在分支端使用相同的账号创建VPN连接，配置下发成功后，即可创建VPN连接拓扑。

VPN老客户新上BBC的场景，BBC会自动识别VPN总部端设备VPN基础设置中的webagent配置，生成一条VPN拓扑连接，同时识别所有连接上来的VPN网点连接管理配置中的webagent，如果与总部端一致，则加入该拓扑。

二、需求背景

如果有一个或几个分支，需要搭建SANGFOR VPN组网，可以一个一个配置，具体参照深信服下一代防火墙SANGFORVPN组网配置，如果分支数量很多，这种情况下可以根据BBC端下发的配置快速完成VPN组网，降低配置交互的复杂性，多分支组网的场景，不需要在总部端设备创建VPN账号，每个分支创建连接管理，只需要在BBC端创建对应的VPN拓扑配置总部webagent信息，选择对应的分支设备即可。减少了由于重复配置而引起的配置错误问题。

三、网络拓扑

四、配置过程

1.配置总部AF与分支AF的接口，区域，路由，VPN线路，VPN内网接口，地址转换，应用控制等配置。

总部AF配置好LAN、WAN1、WAN2接口。

将LAN口、WAN1、WAN2、VPNTUN接口关联对应的区域，区域相关的配置会影响后续应用控制策略配置。

总部AF设备存在两条WAN线路，此时需要配置两条访问Internet的默认路由，

总部AF设备建立网络对象，将总部与分支内网用户IP地址段的相关对象提前定义出来，以供后续的安全策略引用。

总部AF设备查看VPN线路配置（需配置），将对应的WAN1、WAN2线路与VPN线路1、VPN线路2关联，以下图为例。

总部AF勾选VPN内网接口，如下图所示

总部AF设备配置源地址转换策略，点击[策略]-[地址转换]，配置地址转换NAT，使内网用户IP地址段可正常访问互联网。

总部AF设备在[策略]-[地址转换]，配置地址转换DNAT，使分支设备能通过互联网可接入到总部BBC。

总部AF设备需要配置应用控制控制策略，点击[策略]-[访问控制]-[应用控制策略]，配置应用控制策略，使内网用户IP段可正常访问互联网相关应用，以及分支可通过VPN连接正常访问总部的业务内网。

分支AF设备配置好LAN、WAN1、WAN2接口。

分支AF设备完成区域配置，将LAN口、WAN1、WAN2、VPNTUN接口关联对应的区域，区域相关的配置会影响后续应用控制策略配置。

分支AF设备存在两条WAN线路，此时需要配置两条访问Internet的默认路由。

分支AF设备建立网络对象，将总部与分支内网用户IP地址段的相关对象提前定义出来，以供后续的安全策略引用。

分支AF设备查看VPN线路配置（需配置），将对应的WAN1、WAN2线路与VPN线路1、VPN线路2关联，以下图为例。

分支AF勾选VPN内网接口，如下图所示

分支AF设备配置源地址转换策略，点击[策略]-[地址转换]，配置地址转换NAT，使内网用户IP地址段可正常访问互联网。

分支支AF设备需要配置应用控制控制策略，点击[策略]-[访问控制]-[应用控制策略]，配置应用控制策略，使内网用户IP段可正常访问互联网相关应用，以及分支可通过VPN连接正常访问总部的业务内网。

2.总部AF与分支AF加入BBC。简略配置，具体参照深信服集中管理场景配置。

总部BBC上创建总部AF与分支AF的接入账号。

总部AF和分支AF加入到BBC中成功的界面显示如下。

总部AF设备与分支AF设备均正常接入到BBC中。

3.VPN线路标签配置。

VPN线路标签描述，用于SD-WAN选路时可查看到对应的业务流量具体负载到对应的VPN 线路上。此配置在BBC的VPN线路管理中，进行VPN线路标签编辑。

配置总部与分支的VPN线路标签

4. Auto VPN配置

总部BBC上新建VPN拓扑，用于设置VPN总部端配置与选择VPN分支设备。

选择对应的VPN总部设备，并配置对应的认证方式、webagent信息、本地子网等配置；选择对应的VPN分支端设备。

配置完成之后，拓扑状态正常。

五、结果验证

登录总部与分支AF设备，点击[VPN运行状态]，查看VPN隧道已成功建立。

BBC的VPN运维大屏即可查看到对应的设备状态与VPN连接状态。

分支内网PC通过ping访问总部用户内网，并通过tracert去查看路由路径如下图所示：

总部内网PC通过ping访问分支业务内网，并通过tracert去查看路由路径如下图所示：

六、注意事项

1. BBC会收集总部端、分支端的SANGFOR VPN配置信息，总部端设备与分支端设备接入BBC时需要VPN总部基本配置处设置的webagent与分支连接管理配置的webagent一致，BBC才能识别到拓扑。

2. 在BBC创建VPN拓扑时，总部配置中如果配置了本地子网并设置了下一跳路由，除了会给总部设备下发本地子网配置以外，还会下发静态路由配置。

3. 通过BBC新建拓扑下发的VPN用户，连接管理等配置，受控端网络中断等非正常离线的情况下，不会清除相关连接配置，但如果在BBC端删除拓扑以后，会自动清理受控端设备的相应配置。

4. 如果设备已配置VPN连接的状态下接入BBC，设备上报的拓扑不能删除，删除后会导致受控端原有的VPN配置丢失。

5. 通过BBC创建VPN拓扑时，一个网点只能被选为总部一次，再创建新的拓扑的时候，该网点将无法选择。

只看该作者 · 发表于 2024-11-22 09:26