在“如何用SD-WAN實現多地組網？”一文中，我們介紹了如何用SD-WAN來實現多地組網。實際上SD-WAN不僅可以用于多地組網，而且可以用于遠程辦公撥入。

和傳統的遠程辦公方案相比，SD-WAN有如下優勢：

• 自動尋址，無需公網IP。

• 點對點加密傳輸，無需通過服務器轉發，傳輸安全性高。

• 多平臺支持。有windows，安卓客戶端。

本文中，我將介紹如何用SD-WAN實現遠程辦公撥入。

1. 網絡拓撲圖

SD-WAN不需要固定公網IP也可以實現遠程辦公撥入。如下圖，該局域網通過一臺WSG網關連接外網，內網網段是192.168.10.0/24。

2. 首先定義SD-WAN網絡

關注“笨驢信息”的公眾號，然后在菜單中點擊“SD-WAN”進入SD-WAN的配置功能。

添加遠程辦公的網絡，遠程辦公和組網一般不要共用同一個網絡，分開兩個網絡便于管理。

3. 配置WSG加入該網絡

SD-WAN平臺的“終端”中可以看到WSG，修改配置，授權并分配固定IP 10.188.189.1。

4. 配置路由表

要讓外網終端可以訪問內網，還需要添加路由規則，使內網的訪問通過WSG轉發。如下圖：

5. 防火墻策略

SD-WAN對WSG內網的訪問權限，取決于SD-WAN所屬的防火墻區域。

• 內網區域：SD-WAN當做內網訪問，受到“內網-轉發方向”的防火墻策略控制。而內網的訪問默認是允許的。換句話說，默認配置下，SD-WAN屬于內網區域可以訪問所有的內網資源。

• 外網區域：SD-WAN當做外網訪問，受到“外網-轉發方向”的防火墻策略控制。而外網的訪問默認是阻止的。換句話說，默認配置下，SD-WAN屬于外網區域不能訪問任何內網資源。

所以，如果你想控制對端的訪問權限，需要把SD-WAN設置為“外網區域”，然后通過防火墻策略來管控。如下圖：

6. 外網終端的配置

外網電腦訪問sd-wan，需要安裝sd-wan客戶端并加入sd-wan網絡后，并且需要等待管理員授權后才可以接入。如下圖：