SIG部署在分支出口,利旧现有出口线路,与总部防火墙组建VPN。SIG、AP、交换机等设备通过VPN,访问总部NMC内网地址上线。部分内网业务也通过VPN访问至总部数据中心,分支其余互联网流量则经由本地出口直接访问。
1、总部部署NMC,配置基础网络,使其能正常访问外网,出口设备做好端口映射;
2、网点SIG调试,跨公网上线到总部NMC,开启DHCP并配置option 43字段;
3、在总部NMC上配置分支SIG的VPN,使其分支网段能正常访问总部网段;
4、总部NMC上启用SIG分支云发现功能,配置为NMC内网地址,使其通过本地子网上线到总部NMC;
5、在总部NMC上激活分支AP/交换机。
1、中心端NMC配置基础网络,此处不再赘述,可参考信锐Support平台链接:
https://support.sundray.com/productDocument/read?product_id=16&version_id=1081&category_id=4896
2、在总部出口设备上映射NMC以下端口:
TCP 5000,控制隧道端口,用于中心端下发命令到分支端
UDP 5000,数据隧道端口,用于中心端下发配置到分支端
UDP 7777,用于发现AP
TCP 7778,用于发现AP
UDP 7779, 用于SIG发现nmc的端口
UDP 7077、5246、5247,数据隧道端口,用于web认证弹Portal页面
TCP 7070,控制隧道端口,用于AP和控制器建立控制隧道
TCP 800,用于AP从NAC上下载img镜像文件升级
TCP 443映射到TCP44345,NMC管理页面
TCP 22345映射到TCP22345,NMC后台
1、开局部署场景选择“分支机构/连锁门店”,然后点击下一步;
2、网络拓扑选择“出口模式”,然后点击下一步;
注意:如果选择旁路模式,SIG的本地子网、NAT、VPN等功能会失效,只能配置一个WAN口的管理IP。
3、上网方式根据实际分支场景配置,然后点击下一步;
此处为测试环境,选择了“手动设置”,并固定了SIG的WAN口地址;
4、【配置中心端地址】,为总部NMC的出口公网地址,提交后点击【开始体验】。
5、在总部NMC上审核分支SIG,可以看到SIG以公网地址上线到NMC。
1、在总部NMC上配置分支SIG的本地子网,新增vlan666,开启DHCP服务,并配置option 43字段为NMC的内网地址;
1、在【SD-WAN】-【网关 VPN】里,点击“新增”按钮,输入以下必填字段:
相关字段说明如下:
【名称】:必填,VPN对端名称(本地有效),设备对接多个VPN时用做区分;
【适用网关】:必填,选择分支端的SIG;
【地址类型】:必填,根据VPN对端设备选择,可以配置“对端是固定IP”,或者“对端是固定域名”,以及“对端是动态IP”;
【IP地址】:当【地址类型】选择“对端是固定IP”时必填,此处填写VPN对端公网地址。当【地址类型】选择“对端时固定域名”时,此处填写VPN对端域名。当【地址类型】选择“对端是动态IP”时,此处无需填写,自动隐藏;
【共享密钥】:必填,必须和VPN对端保持一致;
在【本/对端网段】里,点击“添加”按钮,输入本端网段与对端网段,确保和对端VPN设备配置相反。
2、IKE与IPSec配置里的内容,需要和对端VPN设备配置保持一致。
注意:当两端设备之间存在NAT设备时(如家用路由器),必须启用NATT穿透(通常使用UDP 4500端口)。
3、IPSec配置,需要和对端VPN设备配置保持一致。
4、在【灵眸驾驶舱】-【网络】-【VPN状态】里,可以查看刚创建的VPN策略变为“已连接”。
1、在NMC平台里,选中对应分支SIG,勾选“启用分支云发现”,配置IP为总部NMC的内网IP地址。
2、并在总部出口防火墙上,关掉NMC的端口映射,SIG短暂离线1分钟左右后,可以通过VPN隧道,使用本地子网内的地址与NMC恢复通信。
3、此时在NMC上能看到SIG的地址是本地子网地址,而非分支出口公网地址。
1、VPN组网成功后,在总部NMC上可以自动发现分支SIG下的AP、交换机,点击激活上线即可。
1、前期需要注意设备选型:设备VPN吞吐要大于网点出口带宽、总部可创建的VPN条目数需要大于分支总数;
2、提前规划各分支的IP地址段,确保各分支端走VPN隧道的本地网段不存在重叠。
3、IPSec会增加报文长度,若超过中间网络的MTU,可能导致协商异常,需调整MTU或启用分片;
4、当VPN协商失败时,重点查看对应日志,因为日志通常会明确提示阶段1或阶段2协商失败的原因。