有些業(yè)務系統(tǒng)出于安全需要,會限制登錄的IP地址,比如只允許總公司的IP訪問。這種情況下,分公司如果想要訪問該業(yè)務系統(tǒng),也必須走總公司的寬帶才可以。要實現(xiàn)這個需求,一般有以下解決方案:
1). 方案一:分公司的電腦先撥入總公司的VPN,走總公司線路訪問外網(wǎng)。
2). 方案二:分公司和總公司之間組建site-to-site虛擬局域網(wǎng),分公司電腦通過總部的代理服務器訪問業(yè)務系統(tǒng)。
3). 方案三:分公司和總公司之間組建site-to-site虛擬局域網(wǎng),通過在分公司的網(wǎng)關上指定分流訪問。
方案一需要在每臺電腦上都撥入VPN,配置和維護都比較麻煩;方案二需要在總部搭建代理服務器;所以相對來說方案三最為方便快捷。本例中,我將結合WSG上網(wǎng)行為管理網(wǎng)關,介紹如何通過多線均衡和VPN客戶端來實現(xiàn)分公司走總部線路訪問業(yè)務系統(tǒng)(方案三)。
1. 總部開啟PPTP服務端
在總部的WSG上開啟PPTP服務端,啟用“本地驗證”。
在賬號管理中添加VPN用戶,如下圖:
在“網(wǎng)關模式”下,PPTP的客戶端會自動加入NAT轉換中,所以PPTP客戶端可以通過總部的PPTP服務訪問外網(wǎng)。
2. 在分公司的WSG上配置VPN客戶端
配置正確時,點擊狀態(tài)圖標即可聯(lián)通總部。
3. 在分公司的WSG上配置分流策略
還需要配置分流策略,指定流量走總部線路。具體配置如下圖:
經(jīng)過上述配置后,實現(xiàn)了以下功能:
1). 分公司的WSG網(wǎng)關通過PPTP和總部組建了site-to-site VPN。
2). 分公司配置了分流策略,使訪問業(yè)務系統(tǒng)的數(shù)據(jù)走總部VPN通道。
這樣就實現(xiàn)了分公司訪問指定地址的時候走總部流量的業(yè)務需求。
