旁路部署Panabit标准版,实现企业总部与分部组网
环境介绍
使用的系统是Panabit标准版(免费)
企业总部与分部都是虚拟化部署,并且旁路接入局域网
服务端配置在总部,分部通过UDP 8000端口连接
虚拟机部署
访问https://www.panabit.com/download
下载PanabitFREE开头的iso镜像
创建虚拟机,配置如下
CPU:2
内存:2G
硬盘:1G
网卡1:管理口
网卡2:WAN口
网卡3:桥接用,不连接
使用iso镜像按照提示安装,选择管理网卡并配置IP,完成后重启进入Panabit,使用浏览器访问https://管理IP,默认用户名admin,密码panabit
Panabit配置
总部
网口模式
进去后在系统概况-网络接口可以看到除管理口之外的两个网卡,eth1和eth2
eth1配置接入模式网桥1,方向接外,对端接口eth2;eth2配置为网桥1,对端接口eth1,方向不改
WAN口配置
应用路由-接口线路,选择WAN线路,添加
名称为WAN,线路类型静态IPv4,网卡eth1,配置IP、网关、DNS,克隆MAC输入在上一步网络接口看到的eth1的实际MAC地址,否则在虚拟化环境中WAN口网络会不通
配置账号
用户认证-账号管理,先选择组织架构,创建分组,输入分组名称和地址范围,这个地址是iWAN互通时,客户端接入分配的地址,例如172.16.100.100-172.16.100.200
接着切换到本地账号,为客户端创建账号,分组选择上一步创建的,输入账号密码,调整截止日期,绑定IP 172.16.100.101,如果总部需要访问分部的局域网,建议此处绑定IP,后面路由策略会用到
配置iWAN服务
应用路由-iWAN服务,选择服务列表,添加
服务名称随意输入,如iWAN,网关172.16.100.1,地址池选择前面创建的账号分组
进行端口映射
应用路由-iWAN服务,选择服务映射,映射线路WAN,端口默认8000,服务选择上一步创建的iWAN,然后在企业防火墙上创建公网地址映射,端口UDP 8000,映射到Panabit的WAN口IP
配置路由策略
对象管理-IP群组,创建群组,名称分部,添加总部需要访问的分部IP段,也可以添加分部的iWAN客户端IP 172.16.100.101,用于在总部进行连通性测试
应用路由-策略路由
创建总部到分部的路由,目标地址选择IP分组:分部,执行动作路由,路由线路选择iWAN服务,下一跳地址172.16.100.101
创建分部到总部的路由,源接口选择iWAN,执行动作选择路由,路由线路选择WAN
在企业内网的网关(一般为核心交换机)创建静态路由,目的地址为分部的IP段(也可以加上分部iWAN IP 172.16.100.101),下一跳地址为Panabit的WAN口IP,这一步为旁路部署所必须的,是分部访问总部的回程路由
至此总部配置完成
分部
网口模式
参照总部
WAN口配置
参照总部配置创建WAN口
再次创建接口,名称总部,线路类型iWAN,网卡WAN,输入总部公网映射iWAN服务的IP和端口,输入账号密码,开启加密,MTU与总部iWAN服务端保持一致,创建完成后正常是立即与总部建立连接,并获取IP 172.16.100.101
配置路由策略
对象管理-IP群组,创建群组,名称总部,添加分部需要访问的总部IP段,也可以添加总部的iWAN网关IP 172.16.100.1,用于在分部进行连通性测试
应用路由-策略路由
创建分部到总部的路由,目标地址选择IP分组:总部,执行动作路由,路由线路选择iWAN到总部的接口
创建总部到分部的路由,源接口选择iWAN到总部的接口,执行动作选择路由,路由线路选择WAN
在分部的网关创建静态路由,目的地址为总部的IP段(也可以加上总部iWAN IP 172.16.100.1),下一跳地址为Panabit的WAN口IP,这一步为旁路部署所必须的,是总部访问分部的回程路由
至此分部配置完成