NAC接入点VPN适用于远程部署场景,分支(AP端)下的用户需要访问总部内网资源或分支和总部资源互访的场景。
NAC3.13.0
一、接入点单向VPN
1、在控制器配置虚拟IP池,用于分支用户访问总部资源的源IP
2、在控制器配置目的子网,该子网为总部资源的IP范围
二、接入点双向VPN
1、分支AP设置为网关模式,在子网创建一个和分支、总部都不冲突的IP段并勾选AP双向VPN
2、控制器上选择需要使用接入点VPN的AP
3、在控制器配置目的子网,该子网为分支访问总部资源的IP范围
配置双向接入点VPN的时候,需要把AP转换为网关模式,AP会重启。
1、接入点单向 VPN,虚拟 IP 池不能和控制器内网和 AP 内网地址冲突。
2、使用接入点单向VPN时,瘦AP不需要使用网关模式,普通模式的瘦AP结合NAC/XMG即可支持接入点单向VPN;使用接入点双向VPN时,AP必须是网关模式的瘦AP。
3、在使用接入点双向 VPN 时,要注意网段的划分,不能让 AP 的子网和控制器内网的网段冲突。
AP跨公网在控制器上线,本地转发AP分支用户通过AP访问控制器内网资源。总部控制器和内部设备路由可达,并且内部设备访问192.200.254.0/24网段的路由指向总部控制器。
1、【更多】-【系统管理】-【VPN 配置】-【接入点 VPN】勾选上启用接入点 VPN,在接入点单向 VPN 中勾选上相应的AP并填写虚拟IP池。
“注意:虚拟IP池中的地址是终端通过AP在访问内网资源时使用的地址,该网段不能和控制器内网和 AP 内网地址冲突。”
2、【VPN 配置】-【目的子网】中添加分支端要访问总部的网段,配置好目的子网,终端即可在AP内网内连上无线访问总部的资源。
AP跨公网在控制器上线,本地转发,分支用户和总部可以互访资源。总部控制器和内部设备路由可达,并且内部设备访问192.168.250.0/24网段的路由指向总部控制器。
1、【接入点管理】-【接入点】-【接入点管理】选择对应 AP,将AP切换成网关模式
2、【参数配置】-【网关接入点】中新增子网,配置子网地址并勾选AP双向VPN
3、【系统管理】-【VPN 配置】-【接入点 VPN】勾选上启用接入点 VPN,在接入点双向VPN中勾选上相应的AP。
4、【VPN 配置】->【目的子网】中添加分支端要访问总部的网段,配置好目的子网,终端即可在AP内网内连上无线访问总部的资源。
接入点单向VPN
分支PC 192.200.246.175可正常访问总部的192.200.25.25终端
