網(wǎng)管在做遠(yuǎn)程技術(shù)支持的時(shí)候，需要連接到客戶(hù)的內(nèi)網(wǎng)或者路由器。對(duì)于有公網(wǎng)IP的網(wǎng)絡(luò)，可以直接通過(guò)公網(wǎng)IP或者動(dòng)態(tài)域名去訪(fǎng)問(wèn)。由于現(xiàn)在運(yùn)營(yíng)商很多都只給內(nèi)網(wǎng)IP，使得遠(yuǎn)程技術(shù)支持必須要做內(nèi)網(wǎng)穿透才可以。所以很多網(wǎng)管在做網(wǎng)絡(luò)維護(hù)的時(shí)候，還需要給用戶(hù)安裝FRP或者NPS的內(nèi)網(wǎng)穿透服務(wù)，增加了維護(hù)的成本和復(fù)雜性。

在本文中，我將介紹如何通過(guò)SD-WAN的方式來(lái)給客戶(hù)提供遠(yuǎn)程網(wǎng)管服務(wù)。SD-WAN和其他方式相比，可以自動(dòng)尋址穿透，無(wú)需公網(wǎng)IP，也無(wú)需云主機(jī)轉(zhuǎn)發(fā)。具體步驟如下：

1. 創(chuàng)建SD-WAN網(wǎng)絡(luò)

關(guān)注“笨驢信息”的公眾號(hào)，然后在菜單中點(diǎn)擊“SD-WAN”進(jìn)入SD-WAN的配置功能。

添加技術(shù)支持的網(wǎng)絡(luò)。

2. 把客戶(hù)端加入SD-WAN網(wǎng)絡(luò)

需要配置客戶(hù)的網(wǎng)關(guān)設(shè)備，把其加入到上一步中創(chuàng)建的“網(wǎng)管技術(shù)支持”網(wǎng)段。如圖：

3. 遠(yuǎn)程維護(hù)終端

網(wǎng)管用來(lái)做遠(yuǎn)程維護(hù)的終端電腦、手機(jī)，也需要添加到該網(wǎng)絡(luò)中。

通過(guò)上述步驟，網(wǎng)管人員就可以從外網(wǎng)直接訪(fǎng)問(wèn)客戶(hù)的網(wǎng)關(guān)了。

4. 配置防火墻規(guī)則

默認(rèn)設(shè)置下，各個(gè)SD-WAN終端之間是可以互通的。多個(gè)客戶(hù)時(shí)，我們還需要配置SD-WAN的防火墻規(guī)則，只允許網(wǎng)管去訪(fǎng)問(wèn)客戶(hù)，而不允許客戶(hù)之間的互訪(fǎng)。

首先要合理規(guī)劃客戶(hù)的網(wǎng)段，舉例來(lái)說(shuō)：

1. 假設(shè)SD-WAN的網(wǎng)段是10.188.190.0/24（10.188.190.1-10.188.190.254）

2. 我們可以把10.188.190.129/25（10.188.190.129-10.188.190.254）分給客戶(hù)（SD-WAN平臺(tái)中手動(dòng)給客戶(hù)分配這個(gè)范圍的IP地址）。

3. 把10.188.190.1/25（10.188.190.1-10.188.190.127）分給維護(hù)終端（SD-WAN平臺(tái)中手動(dòng)給網(wǎng)管分配這個(gè)范圍的IP地址）。

然后就可以通過(guò)防火墻規(guī)則來(lái)禁止客戶(hù)之間的互訪(fǎng)。如下圖：

規(guī)則的內(nèi)容是：

[{"ip":"10.188.190.128/25","not":false,"or":false,"type":"MATCH_IPV4_SOURCE"},{"ip":"10.188.190.128/25","not":false,"or":false,"type":"MATCH_IPV4_DEST"},{"type":"ACTION_DROP"},{"type":"ACTION_ACCEPT"}]

含義是阻止從"10.188.190.128/25"到"10.188.190.128/25"的通訊。從而就禁止了客戶(hù)之間的互訪(fǎng)，只有從網(wǎng)管網(wǎng)段才可以訪(fǎng)問(wèn)到客戶(hù)網(wǎng)段。