网络结构拓扑图:
如果用sdwan的方式,不需要手工f12抓域名和ip,手动配置vpn隧道,sdwan可以直接自动识别。目前采用传统vpn方式
访问范围:分部用户访问指定网站
出口要求:必须通过总部专线出口访问
原因:网站启用了 IP 白名单,总部专线的公网 IP 已在白名单内,分部由于无固定公网 IP,无法直接加入白名单
1.总部与分部建立vpn隧道:总部建立vpn服务器,分部建立vpn客户端,选择相同的vpn协议,如l2tp、pptp,建立好vpn隧道,设置用用户名密码。
2.总部访问指定网站获取域名和ip:先用总部电脑访问目标网站aaa.com,按f12进入网络选项,查看所有域名,包括因cdn加速出现的cdn域名,登录账号密码后ctrl+r刷新后页面,继续查看补充域名。然后进入分部电脑查看是否有加载失败的红色的域名,如果有把这个域名在电脑做tracert查看具体ip,并把这个ip加入分部的静态路由列表,路由到vpn隧道。
3.配置分部路由策略:记录的所有域名加入域名分流,分流到vpn隧道,记录的所有ip地址加入静态路由,路由到vpn隧道。
4.设置多线路dns:为分部路由wan口设置dns,为vpn设置dns,保证分流规则可以正确解析到指定出口。
5.测试:分部电脑访问目标网站,确认所有页面和验证码可以正常加载,如果有加载失败的,重复F12查看失败的域名和对应ip,加入到域名策略和静态路由
发表回复