SD-WAN即軟件定義廣域網(wǎng)，可以實(shí)現(xiàn)異地智能組網(wǎng)，遠(yuǎn)程辦公撥入。和傳統(tǒng)的VPN相比，SD-WAN有如下優(yōu)勢(shì)：

• 自動(dòng)尋址，無需公網(wǎng)IP。

• 點(diǎn)對(duì)點(diǎn)加密傳輸，無需通過服務(wù)器轉(zhuǎn)發(fā)，傳輸安全性高。

• 多平臺(tái)支持。有windows，安卓客戶端。

• 既能實(shí)現(xiàn)多地異地組網(wǎng)，又可以實(shí)現(xiàn)遠(yuǎn)程辦公撥入。

本文中，我將介紹如何用WSG自帶的SD-WAN來實(shí)現(xiàn)多地異地虛擬組網(wǎng)。

1. 網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)絡(luò)拓?fù)鋱D如上圖所示：

• 每個(gè)局域網(wǎng)都用了一臺(tái)WSG做網(wǎng)關(guān)。

• 總部A的內(nèi)網(wǎng)網(wǎng)段是192.168.10.x

• 分支B的內(nèi)網(wǎng)網(wǎng)段是192.168.30.x

• 分支C的內(nèi)網(wǎng)網(wǎng)段是172.16.1.x

• 每個(gè)局域網(wǎng)都沒有固定的公網(wǎng)IP

傳統(tǒng)的虛擬組網(wǎng)至少需要有一個(gè)或者多個(gè)固定公網(wǎng)IP，企業(yè)必須租用價(jià)格高昂的專線才可以部署。采用SD-WAN方案后，就不需要用專線了，SD-WAN可以自動(dòng)尋址智能組網(wǎng)。

2. 創(chuàng)建SD-WAN網(wǎng)絡(luò)

關(guān)注“笨驢信息”的公眾號(hào)，然后在菜單中點(diǎn)擊“SD-WAN”進(jìn)入SD-WAN的配置功能。

添加網(wǎng)絡(luò)，定義網(wǎng)絡(luò)參數(shù)。

3. WSG中的SD-WAN配置

在WSG的界面中，需要把每一臺(tái)WSG都加入添加的SD-WAN網(wǎng)絡(luò)。

3. 允許設(shè)備加入SD-WAN網(wǎng)絡(luò)

在“SD-WAN”平臺(tái)的“終端”中，需要授權(quán)允許這三臺(tái)WSG加入，并且指定每臺(tái)WSG的IP地址。

本例中，我們指定WSG-A為“10.188.188.1”，WSG-B為“10.188.188.2”，WSG-C為“10.188.188.3”。如下圖：

4. 配置路由規(guī)則

經(jīng)過上述配置后，這三臺(tái)WSG之間已經(jīng)可以互通了，如果要讓網(wǎng)段互訪，我們還需要進(jìn)一步配置路由規(guī)則。如下圖，在SD-WAN中設(shè)置如下的路由規(guī)則：

• 目的網(wǎng)段是192.168.10.0/24，下一跳是10.188.188.1

• 目的網(wǎng)段是192.168.30.0/24，下一跳是10.188.188.2

• 目的網(wǎng)段是172.16.1.0/24，下一跳是10.188.188.3

這樣就可以讓不同分支機(jī)構(gòu)之間的網(wǎng)段互通。路由規(guī)則如下圖：

5. 防火墻策略

SD-WAN對(duì)WSG內(nèi)網(wǎng)的訪問權(quán)限，取決于SD-WAN所屬的防火墻區(qū)域。

• 內(nèi)網(wǎng)區(qū)域：SD-WAN當(dāng)做內(nèi)網(wǎng)訪問，受到“內(nèi)網(wǎng)-轉(zhuǎn)發(fā)方向”的防火墻策略控制。而內(nèi)網(wǎng)的訪問默認(rèn)是允許的。換句話說，默認(rèn)配置下，SD-WAN屬于內(nèi)網(wǎng)區(qū)域可以訪問所有的內(nèi)網(wǎng)資源。

• 外網(wǎng)區(qū)域：SD-WAN當(dāng)做外網(wǎng)訪問，受到“外網(wǎng)-轉(zhuǎn)發(fā)方向”的防火墻策略控制。而外網(wǎng)的訪問默認(rèn)是阻止的。換句話說，默認(rèn)配置下，SD-WAN屬于外網(wǎng)區(qū)域不能訪問任何內(nèi)網(wǎng)資源。

所以，如果你想控制對(duì)端的訪問權(quán)限，需要把SD-WAN設(shè)置為“外網(wǎng)區(qū)域”，然后通過防火墻策略來管控。如下圖：