本帖最后由 贝叶枫影 于 2019-8-22 12:05 编辑
一、客户需求
某某客户出口使用的是SSL VPN,目前通过拨入Easyconnect,然后打开OA系统APP,实现数据加密传输;但是针对这种操作,客户认为过程比较繁琐,希望能够打开OA系统APP时能够自动拉起VPN,以实现数据的加密传输。 二、某公司 根据客户需求,向客户推荐使用EMM应用封装功能,封装OA系统的原始的APK文件,实现打开封装后的APP,自动拉起VPN,进行数据加密传输。 三、配置步骤 1、对EMM设备进行单臂模式不是,实现其基本上网功能(插曲:为什么一定要满足EMM设备上网功能呢???因为EMM应用封装APK文件时需要上传到sangfor云端服务器进行证书封装,所以需要联网才能完成封装过程。) 3、在EMM--应用封装中进行“新建”操作,选择原生态的apk文件(一般在应用宝等下载就可以)(这里忘记做截图了,所以借用了文档截图)。 4、应用商店发布APP(这里也借用了文档图片,当时激动的只记得配置,忘记截图了) 5、配置应用商店模块(继续借用) 6、VPN基础配置 包含用户组及用户的创建、资源的发布及角色的关联(注意:资源发布,截止当前最新标准版本M7.6.6R1,只能发布TCP资源)。 7、结果测试 用户通过网页输入公网映射地址,拨入VPN,下载aWORK,输入对应的用户名和密码,然后到应用商店下载封装过的APP,实现打开APP自动拉起VPN功能。(此处不再截图)
四、跳坑大分析 1、关于EMM应用封装问题 客户网络分为内部网络和公网网络,EMM最终要部署到内部网络,不能上网又该如何实现应用封装呢(因为应用封装需要跟云端服务器联动才可以)??? 机智如我,果断选择在公网网络先进行应用封装,然后再把已经通过封装的EMM设备部署到内网网络。 2、关于EMM部署问题 上节讲到EMM已经在公网环境进行了应用封装,本想这下直接单臂部署到内部网络就可以打完收工了,结果,结果部署之后发现外网手机死活都是无法拨入VPN的,这又是个什么情况呢? 首先,确定手机外网与客户内部网络的外网是否可通,因为本身客户这个网络出口就是SSL VPN设备,所以外网网络连通性是完全没有问题的; 其次,怀疑是不是EMM到出口的数据被中间某公司的防火墙给阻断了,特意查看了防火墙日志,显示确实有对EMM访问数据的阻断,惊喜,问题这么容易就找到了,于是高高兴兴做了一条EMM与外网之间的全放通测试,结果,结果依然无法通过外网访问EMM,怎么办,继续排查吧。。。 再次,既然测试手机网络与外网是连通的,那有没有可能是端口映射或者EMM设备路由配置问题呢,由于都是某公司的SSL VPN设备,保证配置没有问题这点,还是有足够信息的,不过保险期间还是反复核对了两遍确定没有问题,至此,有点小崩溃了。。。 最后,从内到外排查个遍了,怎么办,只能从出口下手,会不会是端口没有开放呢,外网测试了一下,还真就没有开放,又是一阵小窃喜,于是联系运营商,结果,结果人家说没有禁我映射的9999端口,怎么办,再次崩溃。。。 此时,我应该冷静,于是我来到了厕所,冷静冷静,突然发现还有一个点没查,如何实现内部网络不能上网的呢。 经确认,客户是在核心上没有配置默认路由来实现不能上网的,那么问题就一目了然了,外网拨入VPN数据到不了EMM设备或者数据根本回不去呀,问题算是找到了,那就找解决方案呗。 出口与核心之间启用的三层,那没办法只能在中间加个交换机,跳出核心交换机这个网络咯,于是客户也就真的这么干了,于是EMM就这么正常的拨入并且正常下载封装的APP了。 3、Easyconnet和aWORK客户端之选择问题 原本认为二者不会有太大差别,于是就建议客户下载了Easyconnet,结果坑又来了,使用之后发现封装的APP无法下载,只能通过资源列表打开应用,期间还咨询了400,可能也是遇到了新手,他居然也不知道如何处理,还反馈了一大圈,最后还是联系了某公司人员,下载了aWORK使用,满足客户需求,正常下载封装APP。 4、下载新封装APP之后,客户测试又现大坑 本以为这样就一切正常了,结果客户测试发现同事之间通过APP互传的pdf文档打不开,这又是什么鬼呢,一通查看各种策略,发现并无限制,最终经过原厂和400的多方协助,确认这种尝试发布了个WPS解决问题。 至此,基本能够满足客户先前需求,过程多艰辛,泪洒满长江呀。。。 | 
发表于 2019-8-22 12:05
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员2级 
