【CSSP】发布类组件SSL VPN不同网络平面映射方案

一、网络拓扑

二、方案简述

当前网络平面为internet平面，安全资源池和资源池内组件网络均处于internet网络平面，由于该网络平面不具备Dnat映射能力；所以在该方案的基础上，新增vpn网络平面，利用bleaf旁挂的防火墙提供Dnat映射能力。

该方案，需要在bleaf和安全接入交换机间新起一个vrf，暂命名为zh_vpn;并且防火墙到安全资源池中的vpn组件需要进行路由打通，由于涉及不同的网络平面，需要进行vrf路由引入到public；其中安全接入交换机的路由，需要配置vpn路由引入到public，public路由引入到vpn中。

三、方案测试

本次测试需要在bleaf上配置地址，由于已经交维，先使用ensp进行模拟测试，模拟为单边使用静态路由进行测试；

网络拓扑：

实现目标：bleaf中的vrf_vpn-172.40.3.9可以和public平面的172.40.0.1互访；

1、Bleaf配置：

2、安全接入配置：

3、租户安全资源池配置

4、测试PC：

5、Bleaf和PC互访效果：

四、方案可行性

1、根据三中测试结果，安全接入中引入vrf，将vrf中路由引入public可行；

2、由于实际环境，bleaf和安全接入之间需要使用ospf，可使用ospf over mlag进行对接；

学到了学到了