SDW-R结合BBC、云图实现分支的快速部署上线,减轻分支端设备的运维成本。
根据分支SDW-R上线获取内网地址段的方式分为两种场景:
分支从全局地址池获取内网网段
客户划分分支内网时,全国分支内网从BBC中DHCP地址池中获取IP地址段。BBC对DHCP地址池中的IP地址段统一管理和下发,当分配出去DHCP地址池不再使用时,BBC可自动回收地址池,保证地址池的可持续使用性。适用于各分支内网用户数量差别不大的场景。
分支从指定地址池获取内网网段
客户划分分支内网时,可指定区域获取指定的IP地址段。区域分支内网从BBC的区域DHCP地址池中获取IP地址段。BBC把全局DHCP地址池划分为各个小的区域DHCP地址池,最后区域中上线的分支从区域DHCP地址池中获取IP地址段。实现DHCP地址池合理分配,满足客户各分支内网IP数量不一致的问题。例如:北京区域中分支内网用户约为500,那么分支内网可设置获取的是10.1.0.x/22中的地址段,湖南省区域中分支内网用户约200个,那么分支内网可设置获取的是10.2.0.x/24中的地址段等。
SDW-R设备需是出厂状态,如不是出厂状态请通过设备前面板的RESET键进行恢复出厂设置。
使用SDW-R4.0.14版本时,建议配合BBC版本在2.5.24及以上。
中心端互联网出口网关映射TCP5000、TCP5001。
测试云图账号的自注册,通过访问https://x.sangfor.com.cn实现云图账号自注册。
需保证SDW-R和BBC可访问互联网,确保能与云图通信。
云端易部署需要确保设备访问地址是正确的,否则分支设备无法接入BBC。这里的地址必须是分支可以访问到的地址,BBC单臂部署在内网,通过出口网关映射进来的话,这里应该配置映射的公网IP。
BBC放置在纯内网环境时,无法使用云端易部署功能。
云端易部署设备清单:需将SDW-R设备的SN码,网关序列号(授权ID或者设备SKU值)记录下来,可预配置分支的DHCP IP地址范围、分支名称,方便导入BBC中。设备清单信息如下图所示。
其中SN码与网关系列号为必填项设置,网关ID、DHCP IP地址范围、分支名称为可选项设置,如果配置了DHCP IP地址范围,则所有设备清单中的都要配置,且掩码一致。分支名称若不填写,SDW-R会已xxxx+SN码的名称上线,后续修改SDW-R的分支名称步骤繁琐。
网关序列号,可使用授权ID或者设备SKU值,新发货设备会自带SKU值,可在设备控制台序列号页面或者订单系统导出序列号中查看。
分支设备通过4G方式进行云端易部署的时候,可以通过使用笔记本或者移动终端等设备连接SDW-R设备的WIFI,来确认分支设备是否部署成功。若WIFI名称已经修改为BBC端配置的WIFI名称,则说明分支设备已经通过4G完成易部署;若WIFI名称还是默认设备型号+网关ID,那么此时可通过WIFI方式继续进行完成分支设备的易部署配置。
云端易部署时,可以对WIFI信息进行设置。当勾选策略模板时,BBC会自动下发策略模板中的WIFI配置到设备上,此时设备上的WIFI信息会与策略模板上的配置保持一致。若未关联策略模板,则使用云端易部署中设置的WIFI信息。
配置思路:
在[管理/云端易部署]页面下,点击<启用云端易部署并进行配置>。
导入设备信息,点击<导入设备信息>。
点击<浏览>,从本地选取设备信息文件,点击<开始导入>。
:
测试设备需下载示例文件手动填写设备的SN码与网关序列号等信息。
示例文件如下图所示,其中SN码与网关序列号为必填项,若此处填写了DHCP IP地址范围,则分支设备不会将不会从BBC[地址池集中管理]处获取DHCP地址池。
设备信息导入完毕后,点击<下一步>,进行接入云图配置。
设备信息列表获取
以上是针对客户已经有了部署SDW-R 设备的信息列表,如果客户还没有拿到信息列表,可以进行申请设备信息表,再导入,具体步骤如下。
拿到设备信息列表后导入设备信息,继续下一步。
BBC接入云图。
填写接入云图信息配置:企业ID和密钥,可点击<前往页面>进入云图获取。
在云图界面复制企业ID和密钥,回到BBC云端易部署初始配置第二步填写。
接入云图信息配置填写完毕后,可选择修改设备接入BBC地址与端口。然后点击<下一步>。
:
这里的地址必须是分支可以访问到的地址,BBC单臂在内网,通过出口网关映射进来的话,这里应该配置映射的公网IP。
VPN和策略模版配置。
勾选[通过云端易部署接入的设备自动加入默认VPN拓扑],然后勾选已有的VPN拓扑或新增。
勾选[通过云端易部署接入的设备自动关联策略模板],然后勾选已有的策略模板或创建。完成后点击<下一步>。
分支设备内网设置。
分支从全局地址池获取内网网段
启用分支设备内网配置,并设置相应的全局DHCP的配置。
可设置区域DHCP地址池的掩码长度与分支设备所获取到的DHCP地址池的掩码长度、设置子网自动回收的相关设置。
设置WIFI相关的配置。
分支从指定地址池获取内网网段场景
按上述方式配置完成全局DHCP地址池。
设置区域DHCP地址池配置。
配置完分支的DNS配置之后,选择区域可使用的子网,并设置区域中每个分支设备能分配到的地址池的掩码长度。最后保存该区域配置,点击<完成>即可。
确认配置信息。
查看配置完成的相关配置项信息,包括云图接入配置、设备信息导入、关联策略模板配置等。
查看配置完成的全局DHCP地址池相关配置,在BBC的[管理/地址池集中管理]配置处查看相关配置。
查看配置完成的区域DHCP地址池相关配置,在BBC的[管理/地址池集中管理]配置处查看相关配置。
:
分支从指定地址池获取内网网段场景还需要配置SDW-R的SN码关联分支信息,配置参考7、8、9步骤。
BBC上手动创建分支设备接入名称,关联对应SDW-R的SN码、策略模板、组织架构。配置与云端易部署设备清单中的设备SN码一致,并选择与DHCP地址池中配置的组织架构也保持一致。保证SDW-R通过云端易部署时,通过SN码绑定的分支名称进行接入。
:
该关联SN码的操作需要在导入设备信息之后再进行配置。
若分支数量比较多,可在BBC上导入分支信息表格模板,在信息模板中填写对应的分支信息,比如分支名称、设备类型、设备名称、接入密码、SN码、组织架构的信息。填写完成之后选择上传文件,将对应的分支信息表格导入到BBC中,如下图。
填写完成之后,将对应表格导入到BBC中,确认分支信息无误之后点击<确定>,导入分支信息。
SDW-R的SN码关联BBC的分支信息之后,分支端即可进行部署上线。
分支部署人员通过扫描设备面板上二维码观看云端易部署教学视频,根据教学视频里面的操作步骤,给设备插电,接线。
将深信服设备接上电源线,如下图所示。
将运营商网线插入深信服设备的 GE3 口(4G设备可插入4G卡),如下图所示。
分支设备上线有三种方式,分别时标准版设备、WIFI版设备、4G版设备,下面一一进行介绍。
标准版SDW-R设备上线(无WIFI无4G模块设备)
PC拿一根网线接入到SDW-R设备的GE0口,共享网络中心IP获取方式为DHCP方式。
设置成功之后输入https://ztp.sanfor.com或者输入10.111.222.33,进入易部署页面,如下图所示。
点击<高级>,继续前往,进入到设备界面进行外网互联配置。
点击<开始配置>,配置外网连接,选择上网线路类型,设置完成之后,点击<开始设备联网>,即可完成配置。
等待SDW-R设备自动连接BBC,并且展示连接BBC和获取配置的过程。
连接BBC成功,并且会自动进行在线授权,授权的结果会在云端易部署完成后进行提示,如果激活失败,可到设备控制台页面手动进行在线授权。
WIFI版SDW-R设备设置(有WIFI模块的设备)
连接SDW-R设备WIFI,默认WIFI名:SDW-R加上网关序列号。连接成功后,会自动弹出首页,点击<开始配置>,选择上网线路类型。
配置SDW-R设备上网线路类型和参数,点击<开始设备联网>,分支设备联网并自动接入BBC,接收BBC下发到分支的配置。
等待1-2分钟同步完成BBC下发的配置之后,分支设备即可完成上线。注:需要查看该界面的WIFI名称与密码,易部署完成之后,WIFI相关的配置也会同步BBC上的配置。
4G版SDW-R设备设置
在设备的旁侧插入4G上网卡,设备自动组网上线并将自动接入集中管理平台。
设备自动组网上线,并自动接入集中管理平台,过程需1~2分钟,请耐心等待。
DHCP线路云端易部署设置
确认外网线路可以自动获取IP上网,将可以上网的外网线路接入SDW-R的GE3口,然后静等5-8分钟左右等待设备自动上线。
查看分支设备上线情况
通过以上四种方式完成云端部署之后,分支设备自动加入BBC的集中管理。
4G易部署时插入4G卡之后等待3-5分钟之后,设备的4G指示灯正常闪烁,在BBC端可看到SDW-R正常上线。
DHCP线路云端易部署时约5-8分钟之后,总部端可以在BBC端查看SDW-R接入状态,分支端可以通过手机查看SDW-R对应的WiFi设置,确认分支SDW-R成功上线。
分支端WIFI版设备部署完成之后,可以使用手机查找到相应的WiFi名称。通过笔记本或者其它移动终端开启WIFI搜索相关WIFI名称,检查WIFI名称已修改为BBC上配置的WIFI名称。
建议使用Chrome浏览器访问!
