在“如何用SD-WAN实现多地组网?”一文中,我们介绍了如何用SD-WAN来实现多地组网。实际上SD-WAN不仅可以用于多地组网,而且可以用于远程办公拨入。
和传统的远程办公方案相比,SD-WAN有如下优势:
自动寻址,无需公网IP。
点对点加密传输,无需通过服务器转发,传输安全性高。
多平台支持。有windows,安卓客户端。
本文中,我将介绍如何用SD-WAN实现远程办公拨入。
1. 网络拓扑图
SD-WAN不需要固定公网IP也可以实现远程办公拨入。如下图,该局域网通过一台WSG网关连接外网,内网网段是192.168.10.0/24。
2. 首先定义SD-WAN网络
关注“笨驴信息”的公众号,然后在菜单中点击“SD-WAN”进入SD-WAN的配置功能。
添加远程办公的网络,远程办公和组网一般不要共用同一个网络,分开两个网络便于管理。
3. 配置WSG加入该网络
配置WSG的SD-WAN模块,加入该网络。如图:
SD-WAN平台的“终端”中可以看到WSG,修改配置,授权并分配固定IP 10.188.189.1。
4. 配置路由表
要让外网终端可以访问内网,还需要添加路由规则,使内网的访问通过WSG转发。如下图:
5. 防火墙策略
SD-WAN对WSG内网的访问权限,取决于SD-WAN所属的防火墙区域。
内网区域:SD-WAN当做内网访问,受到“内网-转发方向”的防火墙策略控制。而内网的访问默认是允许的。换句话说,默认配置下,SD-WAN属于内网区域可以访问所有的内网资源。
外网区域:SD-WAN当做外网访问,受到“外网-转发方向”的防火墙策略控制。而外网的访问默认是阻止的。换句话说,默认配置下,SD-WAN属于外网区域不能访问任何内网资源。
所以,如果你想控制对端的访问权限,需要把SD-WAN设置为“外网区域”,然后通过防火墙策略来管控。如下图:
6. 外网终端的配置
外网电脑访问sd-wan,需要安装sd-wan客户端并加入sd-wan网络后,并且需要等待管理员授权后才可以接入。如下图:
