使用Panabit的iWAN技术组建企业广域网

使用Panabit的iWAN技术组建企业广域网

使用Panabit的iWAN技术组建企业广域网

本文介绍使用Panabit的iWAN技术组建广域网的方法，比较详细的介绍了用户现状、用户需求、产品选择和组网步骤。关于对Panabit硬件产品的选择，如果你是对小企业用户组建广域网，使用Panabit的免费产品就可以。如果中小企业、中大企业，以及需要使用Web路由功能，则需要使用Panabit的专业版，此时可以采购1U或2U的Panabit硬件设备。

对于小企业或个人用户，可以采购Intel J4125的CPU的4个千兆端口的迷你主机（如图所示），配置2G内存、8GB的电子硬盘即可。如果你有ESXi的虚拟化环境，创建一个虚拟机，虚拟机具有2个vCPU、2GB内存、16GB硬盘，3个网卡即可。

如果使用Panabit的免费版，可以使用Linux系统的一键安装镜像，文件名称为PanabitFREE_TANGr1_20220601_Linux.iso。如果使用基于FreeBSD的一键安装镜像，文件名称为PanabitFREE_FreeBSD9.2_20170204.iso。使用哪一个版本都是可以的。安装完成后，升级到最新的版本。

作者采用了图1的设备，安装了Panabit的免费版。使用iWAN连接到各地不同的Panabit的网络，对于没有Panabit的地方则是在虚拟机中安装Panabit免费版，连接之后以相当于局域网的方式管理各地网络。

正文

企业组建广域网一般是通过专线或VPN技术。随着5G、AI、物联网等新兴技术与云紧密结合，企业业务智能化和云化加速。企业分支WAN流量激增，传统以MPLS专线为主的广域互联网络难以支撑业务发展。SD-WAN成为应对云时代的必然选择。SD-WAN将企业的分支、总部和多云之间互联起来，应用在不同混合链路（MPLS、Internet、5G和LTE等）之间选择最优的线路进行传输，提供优质的上云体验。通过部署SD-WAN提高了企业分支网络的可靠性、灵活性和运维效率，确保分支网络一直在线，保证业务的连续和稳定。现在国内厂商例如华为、华三、天融信、山石网科、深信服、Panabit等都推出了自己的SD-WAN解决方案。

本文介绍基于Panabit的SD-WAN解决方案。

Panabit的SD-WAN称为iWAN。iWan与专线、IPSec与L2TP VPN的对比如表1所列。

表1 Panabit的iWAN与专线、IPSec、L2TP VPN对比

iWAN优势如下。

（1）重连速度快。iWAN重连速度比L2TP的重连速度要快一个数量级，L2TP重连需要有几十次交互，而iWAN只需要一次即可。

（2）iWAN客户端不受底层承载线路IP变化影响：当底层承载线路（比如PPPOE拨号线路）的IP地址发生变化时，不会影响iWAN隧道，iWAN隧道不会中断，保证通信正常进行；因为很多用户是通过PPPOE拨号线路出去的，PPPOE拨号线路重拨时一般会改变IP地址，如果用L2TP的话，那么这个L2TP会话就要重建；而用iWAN的话，现有的会话可以照常使用，不需要做任何改变。

（3）传输效率高：iWAN的包头很小，只有8个字节，而且在后续版本里，厂商还会压缩IP报文头，这样可以继续减少额外报文头的大小，所以能大幅度提升传输效率。

（4）抗干扰性强： L2TP中间人可以直接发包TERMINATE，iWAN控制命令有完整性检查，可以避免中间人gong击。

【说明】物理专线在企业之间使用专用线路连接，所以效果较好但费用较高（专线专用），只有对数据的安全性、稳定性有极高要求的单位，例如金融、保险、税务、电力、军事、党政等行业才会使用物理专线。

大多数企业组建广域网，对网间的互访速度、互连延迟并没有特别高的要求，一般是通过公用网络主要是单位的Internet出口，使用VPN技术或SD-WAN技术实现互连。

1 网络拓扑与用户需求

iWAN的服务器端可以是动态或静态公网IP地址，如果没有公网地址，从出口路由器或防火墙映射一个UDP的端口分配给iWAN服务即可。iWAN客户端要求更低，只要能访问Internet即可。使用iWAN组网时，只要从一方到另一方建立iWAN连接，双方就可以建立单向或双向局域网的路由访问。为了让读者快速掌握Panabit的iWAN组网方法，本文通过图1的案例进行介绍。

图1 使用Panabit的iWAN组网拓扑图

1.1 总公司网络

在图1的拓扑中，公司总部有3条都有固定IP地址的企业专线连接到Internet，总部使用Panabit PA520做为出口网关（如图2所示），为局域网提供Internet接入和上网行为管理功能。在公司总部中，Panabit PA520使用了5个端口，各个端口使用情况如下（如无特殊说明，子网掩码都是255.255.255.0）。

图2 PA520正面图

管理端口（MGT接口）：设置192.168.1.168的管理IP地址，在局域网中使用此IP地址管理PA520。

EM0端口（本项目中配置为LAN接口）：设置192.168.250.3的IP地址，另一端连接到企业核心交换机，交换机一端的IP地址是192.168.250.1。如图3所示。

图3 PA520的管理地址和LAN接口地址

EM1端口（配置为WAN1）：第一条Internet企业专线，出口IP地址为61.x1.x2.83，子网掩码为255.255.255.248，网关地址为61.x1.x2.81。

EM2端口（配置为WAN2）：第二条Internet企业专线，出口IP地址为61.x3.x4.107，子网掩码为255.255.255.192，网关地址为61.x3.x4.65。

EM3端口（配置为WAN3）：第三条Internet企业专线，出口IP地址为61.x5.x6.109, 子网掩码为255.255.255.192，网关地址为61.x5.x6.65。如图4所示。

图4 WAN线路和接口地址

总公司局域网使用了192.168.1.0/24、192.168.16.0/24、192.168.17.0/24、192.168.21.0/24至192.168.26.0/24、192.168.64.0/24至192.168.74.0/24的网段。

1.2 分公司1网络

分公司1使用中国电信的企业ADSL线路，动态（公网）IP地址接入。到Internet的线路使用一台电信天翼网关设备，后端接一台Panabit PA520（网关方式接入）。在当前的案例中，电信天翼网关每次断电或重启后自动拨号将获得一个动态的公网IP地址（当前示例是113.z1.z2.134）。天翼网关LAN端口设置192.168.1.1的IP地址，如图5所示。

图5 电信天翼网关设备

分公司1的PA520使用了3个端口。

管理端口：设置172.16.12.248的IP地址，在局域网中使用此IP地址管理PA520。

EM0端口（定义为LAN接口），设置10.10.0.1的IP地址，另一端连接到企业核心交换机，交换机一端的IP地址是10.10.0.254。如图6所示。

图6 LAN接口地址

EM1端口（定义为WAN线路），连接到电信天翼网关LAN端口，设置192.168.1.2的IP地址，网关地址为192.168.1.1，如图7所示。

【说明】在当前的案值中，分公司1与总公司都使用了192.168.1.0/24的网段。在后期的应用中，可以将分公司1使用的192.168.1.0/24的网段用其他的地址段替换。在当前的测试中，分公司1不需要访问总公司192.168.1.0/24的网段，所以也就没有对分公司1使用的192.168.1.0/24的网段进行替换。对于分公司1来说，只有电信天翼网关LAN端口和Panabit PA520的WAN端口使用了192.168.1.0/24的网段，替换起来相对简单。

图7 分公司1的WAN线路

分公司局域网使用了172.16.12.0/24、172.16.13.0/24、172.16.22.0/24、172.16.23.0/24的网段。

1.3 分公司2网络

分公司2使用联通专线接入，配置了一台H3C SecPath F1000-C-G2的防火墙（如图8所示）接入。

图8 H3C F1000-C-G2

H3C F1000的配置为WAN的端口连接到联通专线，设置IP地址为110.y1.y2.115，子网掩码为255.255.255.192，网关为110.y1.y2.126。LAN端口设置的IP地址为172.20.1.254，如图9所示。

图9 H3C F100防火墙的LAN与WAN端口IP地址配置

分公司2局域网使用了172.20.1.0/24的网段，网关地址为172.20.1.254。

1.4 外地办事处网络

外地办事处通过电信ADSL接入到Internet，使用宽带路由器拨号上外网。该路由器LAN设置172.28.1.1的地址，wan拨号获得的是10.x.y.z的私网IP地址，如图10所示。该办事处的局域网的IP地址使用172.28.1.0/24的地址段，网关地址为172.28.1.1。

图10 路由器拨号获得的上网信息

1.5 企业组网需求与规划

在当前的案例中，企业需要在总公司与各分公司和办事处之间实现互联。分公司和办事处需要访问总公司的OA、ERP等系统。总公司需要访问分公司部分车间的监控。所以，这需要双向互访。综合考虑，决定使用Panabit的iwan技术组网。因为总公司和分公司1使用Panabit，Panabit已经集成了iwan功能。所以总公司与分公司1不需要添加设备。分公司2因为有虚拟化的环境，部署一个虚拟机，在虚拟机中安装Panabit标准版，实现与总公司的互通。办事处用户较少，配置一个Panabit Mini版，实现与总公司的互联。

使用iWAN组网比较简单，主要过程和VPN组网类似。主要步骤如下：

（1）iWAN分服务器端和客户端。iWAN服务器端提供接入服务。在iWAN服务器端需要创建拨入账号。

（2）iWAN服务器端需要规划一个独立的子网，用于iWAN服务器端与客户端互连，iWAN使用的网络与现有网络不能冲突。

（3）iWAN客户端与iWAN服务器端连接成功后，双方创建访问规则或路由策略，即可实现双方局域网的互连。

在本案例中，规划172.30.0.0/16的地址段作为iWAN的地址。在当前的案例中，总公司使用3条Internet出口的2条作为iWAN的线路（一主一备），规划iWAN地址与Internet出口、使用的端口对应关系如表2所列。

表2 总公司iWAN线路、IP地址与所使用的端口对应关系

接下来介绍使用iWAN组网实现不同分支互联互通的方法。

2 使用iwan实现总公司到分公司1的互联

使用iWAN组网实现不同分支互联互通的主要内容如下。

在iWAN服务器端，创建iWAN使用的地址池和iWAN用户账号。在iWAN服务器端添加iWAN服务并关联到上一步创建的用户组，然后映射到出口线路。在分支机构创建到iWAN服务器端的连接。连接成功之后，创建到iWAN服务器端的路由。在iWAN服务器端创建到分支机构（iWAN客户端）的路由。

下面详细介绍这一过程。

2.1 iWAN服务器端配置

在iWAN服务器端，创建iWAN互连的地址池、iWAN登录账号，并启用iWAN服务。主要步骤如下。

（1）在服务器端，登录Panabit管理地址，当前示例为添加用户组

（2）参照第（1）步的操作，再创建一个名称为pool32的用户组，地址范围为172.30.32.10-172.30.32.20，添加完成之后如图2-2所示。

图2-2 创建用户组

（3）在“账号管理→本地账号”中，单击右上角的“添加→批量添加”链接，弹出批量添加本地账号的对话框，在“用户组”中选择第（1）或第（2）步添加的用户组，本示例选择pool32。账号前缀设置为iwan32_，密码设置一个较为复杂的密码。截止日期设置一个时间（配置完成后可以修改），例如2025-03-20，添加数量本示例选择5（表示创建5个账号），单击“提交到待添加列表”，然后单击“确定”按钮，完成5个账号的添加，如图2-3所示。

图2-3 批量在pool32中创建5个账号

【说明】在当前的案例中，总公司连接2个分公司和1个办事处，实际上每个用户组中创建3个用户即可满足需要。创建5个账号是给以后其他的分公司预留。

（4）参照第（3）步的操作，在pool31用户组中再创建5个账号，添加完成之后如图2-4所示。

图2-4 添加了10个账号

图2-5 为iWAN账号分配固定的IP地址

（6）参照第（5）步的操作，将剩余的9个账号指定IP地址和其他信息，配置之后如图2-6所示。

图2-6 为每个iWAN账号指定IP地址

（7）在“应用路由→iWAN服务”的“服务列表”中单击“添加”链接，在弹出的“添加iWAN服务”对话框中，添加一个新的iWAN服务名称，在当前的示例中，服务器名称为iwan31，服务器网关为172.30.31.254，MTU设置为1436，认证方式为本地认证，地址池选择pool31，如图2-7所示。

图2-7 添加IWAN服务

（8）然后参照第（7）步的操作，创建服务名称为iwan32、服务器网关为172.30.32.254、MTU设置为1436、地址池为pool32的服务名称，创建之后如图2-8所示。

图2-8 创建iWAN服务

（9）在“服务映射”选项卡中，为iwan31选择WAN1线路，映射端口为6000，将其添加到服务列表。然后再为iwan32选择WAN2线路，映射端口为6000。添加之后如图2-9所示。说明，iWAN使用UDP协议创建连接。如果Panabit没有直接连接到Internet，在出口防火墙或路由器需要映射UDP的端口到Panabit的wan出口。

图2-9 添加服务映射

经过上述配置，iWAN服务器端配置完成。下面将在分公司和办事处使用iWAN连接到总公司。

2.2 分公司1的iWAN客户端配置

在分公司1的网络中，登录Panabit管理界面，配置到总公司的iWAN连接，主要步骤如下。

（1）在分公司1，登录Panabit管理地址，当前是172.16.12.248。以管理员账号登录后，在“接线线路→WAN线路”中查看当前的出口线路。在当前的示例中，出口线路命名为“电信1000M”，如图2-10所示。单击左侧右上角的“添加”链接，选择“单个添加”。

图2-10 WAN线路

（2）在“添加”对话框中，添加WAN线路。在当前的示例中，名称中输入iwan31；连接类型下拉列表中选择iWAN；网卡选择图2-10中的出口线路，当前是“电信1000M”；在“服务器/域名”中添加总公司第1条iWAN服务器端的IP地址，当前是61.x1.x2.83；服务器端口为6000；iWAN账号和密码处输入总公司为分公司1创建的账号，当前示例为iwan31_1；MTU设置为1436。配置之后单击“确定”按钮，如图2-11所示。

【说明】iWAN服务器端支持IP地址和域名，并且支持动态域名。

图2-11 添加第一条iWAN线路

（3）参照第（2）步的内容，添加第2条到总公司的iWAN连接。设置连接名称为iwan32，连接地址为61.x3.x4.107，端口为6000，账号为iwan32_1，MTU设置为1436。新添加的线路会显示在“WAN线路”中。在配置无误的前提下，到总公司的iWAN连接将很快成功建立，如图2-12所示。此时在IP地址一列中显示的是iWAN客户端的IP地址，在“线路网关”一列中显示的是iWAN服务器端的地址。

图2-12 iWAN线路建立连接

（4）切换到到总公司的Panabit管理界面，在“应用路由→iWAN服务→iWAN用户”选项中，将会显示成功建立连接的iWAN客户端，并显示客户端IP地址、iWAN服务器端的IP地址。在“连接信息”一栏中显示iWAN客户端的出口地址和到本地iWAN服务器端的连接地址和端口，如图2-13所示。

图2-13 总公司Panabit显示的在线iWAN客户端

（5）切换到分公司1的Panabit管理界面，在“对象管理→IP群组”中添加一个名称为“总公司lan”的组，然后向“总公司lan”群组中，添加总公司局域网的IP地址和iWAN Server的IP地址，在当前的示例中，分别是（每一行添加一个或一段的IP地址）：

192.168.64.0-192.168.74.254

192.168.21.0-192.168.26.254

172.30.32.254

172.30.31.254

192.168.16.0/24

192.168.17.0/24

添加之后如图2-14所示。

图2-14 添加IP群组

【说明】当前没有向总公司lan添加192.168.1.0/24的网段，是因为分公司1的电信天翼网关与分公司1的Panabit的wan出口使用了192.168.1.0/24的地址段。

（6）在“应用路由→策略路由→IPv4路由”中，添加2条策略路由。在Panabit中，策略路由的序号范围是1至65535，策略路由根据序号从小到大执行，如果有相同或冲突的策略，将执行序号最小的策略。在Panabit中，可以根据用户的需求，添加多条不同的策略，并通过修改策略序号来调整策略的执行顺序。在当前的示例中，添加2条策略，第1条策略序号为111，策略时段为任意，目标地址为IP群组→总公司lan，执行动作为路由，路由线路为iwan31，如图2-15所示。

（7）参照经（6）步的操作，添加策略序号为112的策略，目标地址仍然为IP群组→总公司lan，执行动作为路由，路由线路为iwan32，如图2-16所示。

图2-15 添加到iwan31的策略路由 图2-16 添加到iwan32的策略路由。

（8）添加之后如图2-17所示。在当前的项目中，动作为“路由”的策略一般设置相对较小的序号，动作为“NAT”的策略一般设置相对较大的序号。

图2-17 策略路由

在当前的策略中，如果当前的局域网访问“总公司lan”群组中的IP地址，默认将使用序号为111的策略并使用iwan31的线路。如果iwan31线路断开，则会使用iwan32的线路。这样到总公司将有2条iWAN线路连接，形成一主一备的策略。在当前的策略iwan31线路为主，iwan32线路为备。

（9）接下来在分公司1中测试能否访问总公司的局域网。当前测试使用的计算机的IP地址为172.16.12.123，该计算机分别ping 172.30.31.254和192.168.16.11，并且tracert -d 192.168.16.11，测试结果是可以PING通和跟踪到的，表示从分公司1到总公司的访问正常，如图2-18所示。

图2-18 测试能否访问到总公司局域网

2.3 在总公司添加到分公司1的策略路由

经过上述设置，分公司1到总公司局域网访问正常。但是，此时总公司是无法访问分公司局域网的，需要在总公司Panabit上添加到分公司局域网的路由。

（1）登录到总公司Panabit管理界面，在“对象管理→IP群组”中添加一个名称为“分公司1-lan”的组，然后向“分公司1-lan”群组中添加分公司1局域网的IP地址和iWAN 客户端的IP地址，在当前的示例中，分公司1-lan群组包括以下地址。

172.30.31.1

172.30.32.1

172.16.12.0/24

172.16.13.0/24

172.16.22.0/24

172.16.23.0/24

添加之后如图2-19所示。

图2-19 添加分公司IP群组

（2）在“应用路由→策略路由→IPv4路由”中，添加2条策略路由。在当前的示例中，添加2条策略，第1条策略序号为6011，策略时段为任意，目标地址为IP群组→分公司1-lan，执行动作为路由，路由线路为iwan31，下一跳为iwan客户端的IP地址172.30.31.1,如图2-20所示。

（3）然后再添加策略序号为6012的策略，目标地址仍然为IP群组→分公司1-lan，执行动作为路由，路由线路为iwan32，下一跳为iwan客户端的IP地址172.30.32.1,如图2-21所示。

图2-20 添加到iwan31的策略路由 图2-21 添加到iwan32的策略路由。

（4）添加之后如图2-22所示。

图2-22 策略路由

在当前的策略中，如果当前的局域网访问“分公司1-lan”群组中的IP地址，默认将使用序号为6011的策略并使用iwan31的线路。如果iwan31线路断开，则会使用序号为6012的策略，使用iwan32的线路。在当前的策略iwan31线路为主，iwan32线路为备。

（5）接下来，在总公司中测试能否访问到分公司1的局域网。在当前的测试中，有一台计算机的IP地址为192.168.1.5，使用这台计算机ping 172.16.12.9，tracert -d 172.16.22.2，是可以PING通和跟踪到的，如图2-23所示。

图2-23 测试能否访问到分公司1局域网

3 实现总公司与分公司2的互连

下面介绍总公司与分公司2的互连。与分公司1的连接方式不同，分公司2使用了一台Panabit标准版，并且是旁路的方式进行部署。下面看配置方法。

3.1 为分公司2配置Panabit标准版

在分公司2配置了一台Panabit标准版，这个Panabit标准版安装在一台ESXi的虚拟机中，在创建该虚拟机时，操作系统选择“Linux → Debian GNU/Linux 9（64位）”，为虚拟机分配4个vCPU、4GB内存、16GB硬盘，为虚拟机分配3块网卡，如图3-1所示。

图3-1 将Panabit标准版安装在虚拟机中

在ESXi虚拟交换机中为Panabit的虚拟机创建了一个名称为panabit的端口组，该端口组使用172.20.1.0/24的网段，该端口组安全设置中启用“混杂模式”，如图3-2所示。

图3-2 混杂模式

创建Panabit虚拟机之后，为虚拟机安装Panabit标准版并升级到最新版本。在当前的应用中，为Panabit标准版设置管理地址为172.20.1.58（使用em0接口），网关设置为防火墙LAN端口地址172.20.1.254，如图3-3所示。

图3-3 标准版管理地址

在“应用路由→接口线路”中，LAN接口不需要配置，如图3-4所示。

图3-4 不需要配置LAN接口

在“接口线路→WAN线路”中，添加名称为wan的出口线路，选择使用em1网卡。wan出口的IP地址为172.20.1.59，网关地址为172.20.1.254，MTU为1500，如图3-5所示。

图3-5 WAN线路配置

3.2 分公司2的iWAN客户端配置

参考第2.2“分公司1的iWAN客户端配置”中的内容，为分公司2添加到总公司的iWAN连接。在当前添加的iWAN连接中，总公司分配给分公司2的用户名为iwan31_2和iwan32_2。其他配置相同。

（1）在“应用路由→接口线路→WAN线路”中，添加名称为iwan31和iwan32的iWAN连接，iWAN账号分别为iwan31_2和iwan32_2，如图3-6和图3-7所示。

图3-6 添加iwan31连接 图3-7 添加iwan32连接

（2）添加之后如图3-8所示，正常情况下应该很快拨号成功并建议连接。

图3-8 创建到总公司的iWAN连接

（3）在“对象管理→IP群组”中添加名称为“总公司lan”的组，并添加总公司的局域网的IP地址，如图3-9所示。

图3-9 添加总公司IP群组

【说明】相比分公司1添加的“总公司lan”群组，当前添加了192.168.1.0/24的地址段。这要根据不同分公司需要访问的总公司局域网的地址段进行添加。

（6）在“应用路由→策略路由→IPv4路由”中，添加5条策略路由。如图3-10所示。

图3-10 策略路由

在图3-10中，序号为1501和1502的2条策略路由，是访问“总公司lan”群组中的IP地址时，使用iwan31或iwan32的线路。

序号为1504和1504的2条策略路由，是总公司网络访问到分公司2的iwan线路时，继续访问分公司局域网时所使用的目标线路，该出口是wan。

序号为3000的策略路由，是wan出口访问分公司2-lan地址时，目标线路为wan。

在当前的策略中，如果当前的局域网访问“总公司lan”群组中的IP地址，默认将使用序号为1501的策略并使用iwan31的线路。如果iwan31线路断开，则会使用iwan32的线路。在当前的策略iwan31线路为主，iwan32线路为备。

（7）因为当前Panabit标准版是“旁路”方式部署，所以需要在当前局域网的核心交换机或防火墙上配置静态路由，让当前局域网的计算机访问“总公司lan”地址时，通过Panabit出口线路wan的IP地址172.20.1.59访问。在当前的案例中，防火墙出口地址是172.20.1.254，在该防火墙上添加到总公司局域网IP地址的静态路由。登录到防火墙的管理界面（当前防火墙是H3C F100-A-G2），在“网络→路由→静态路由”中，单击“新建”按钮，一一添加到总公司局域网的静态路由。在当前的图中，已经添加了192.168.1.0/24和192.168.16.0/24的地址，当前正在添加的是192.168.17.0/24，出口地址为172.20.1.59，如图3-11所示。应根据需要添加静态路由。

图3-11 添加静态路由

（8）最后在分公司2中找台计算机测试能否访问到总公司的局域网。测试机的IP地址为172.20.1.10，使用该计算机ping 192.168.16.11，并且tracert -d 192.168.17.254，是可以PING通和跟踪到的，如图3-12所示。

图3-12 测试能否访问到总公司局域网

3.3 在总公司添加到分公司2的策略路由

参考第2.3“在总公司添加到分公司1的策略路由”中的内容，在总公司Panabit上添加到分公司2的策略路由。

（1）登录到总公司Panabit管理界面，在“对象管理→IP群组”中添加名称为“分公司2-lan”的组，然后向“分公司2-lan”群组中，添加分公司2局域网的IP地址和iWAN 客户端的IP地址，在当前的示例中，分别是（每一行添加一个或一段的IP地址）：

172.30.31.2

172.30.32.2

172.20.1.0/24

添加之后如图3-13所示。

图3-13 添加分公司IP群组

（2）在“应用路由→策略路由→IPv4路由”中，添加2条策略路由。在当前的示例中，添加的第1条策略序号为6021，策略时段为任意，目标地址为IP群组→分公司2-lan，执行动作为路由，路由线路为iwan31，下一跳为iwan客户端的IP地址172.30.31.2。新添加的第2条策略序号为6022，目标地址仍然为IP群组→分公司2-lan，执行动作为路由，路由线路为iwan32，下一跳为iwan客户端的IP地址172.30.32.2。添加之后如图3-14所示。

图3-14 策略路由

在当前的策略中，如果当前的局域网访问“分公司2-lan”群组中的IP地址，默认将使用序号为6021的策略并使用iwan31的线路。如果iwan31线路断开，则会使用序号为6022的策略并使用iwan32的线路。在当前的策略iwan31线路为主，iwan32线路为备。

（3）最后进行测试。在总公司中测试能否访问到分公司2的局域网。测试机的IP地址为192.168.1.3，使用这台计算机ping 172.20.1.20，tracert -d 172.20.1.1，是可以PING通和跟踪到的，如图3-15所示。

图3-15 测试能否访问到分公司1局域网

4 实现总公司与办事处的互连

总公司与办事处的互连的安装配置与第3节“实现总公司与分公司2的互连”类似，因为在分公司2与办事处中，都是使用了Panabit的旁路部署方式。只是分公司2采用虚拟机安装了Panabit标准版，而在办事处采用了一台Panabit Mini设备，这台设备最多可以支持200个用户。Panabit Mini外形如图4-1所示。

图4-1 Panabit Mini正面图

在当前的应用中，Panabit Mini使用了MGT（管理端口，设置管理IP地址为172.28.1.225）和PA1端口，其中PA1配置为wan端口，设置IP地址为172.28.1.210，出口地址为172.28.1.1，如图4-2所示。

图4-2 接口线路

在当前的示例中，办事处除了实现到总公司的连接外（名称为iwan31和iwan32），还实现了到分公司1（图4-2中名称为i分公司1）、分公司2（图4-2中名称为i分公司2)的连接。另外在图4-2中还有一个到分公司3（图4-2中名称为i分公司3）的连接，这个连接在图1的拓扑中没有体现。

【说明】办事处连接分公司1时，因为分公司1是动态IP地址，需要在分公司1配置一个动态域名解析软件或程序，每次出口IP地址变化时，在域名中动态更新。在创建iWAN的连接时，除了使用IP地址，还可以使用域名。所以，分公司1对外提供iWAN连接时，客户端使用动态域名解析获得分公司1的公网IP地址即可。同时，Panabit支持动态域名解析，这需要在Panabit的应用商店中安装DDNS服务。

因为前面的内容中已经介绍了Panabit使用iWAN连接实现不同分支局域网互连的内容，所以在本节内容中，将不再详细介绍具体添加步骤，只是介绍配置之后的截图。

在“对象管理”中添加了总公司lan、分公司1-lan、分公司2-lan和办事处lan，如图4-3所示。

图4-3 IP群组

在“应用路由→策略路由”中，添加了到总公司和不同分公司的策略路由，如图4-4所示。

图4-4 策略路由

在图4-4中，序号为200的策略路由，表示当前的网络在访问特定的应用时，使用到分公司3的iWAN连接。

【说明】Panabit标准版可以免费使用，但标准版不支持Web路由。需要需要根据协议或目标URL进行分流时，需要使用Panabit专业版。

序号为800的策略路由显示当前网络单向访问分公司1的局域网地址使用目标线路（i分公司1）。

序号为1010和1020的策略路由显示当前网络可以单向访问总公司地局域网的地址使用的目标线路（iwan31和iwan32）。

序号为2000策略路由显示当前网络访问分公司2的局域网地址时使用的目标线路(i分公司2)。配合序号为2020的策略路由，显示了分公司2的网络回访办事处局域网的出口线路。

在办事处的出口宽带路由器上，添加到总公司和各分公司局域网IP地址的静态路由，并指向172.28.1.220，这些不再介绍。

5 使用云平台管理Panabit

在总公司配置了一台虚拟机，在当前的示例中，虚拟机名称为PanabitCloud-1.169，在创建该虚拟机时，操作系统选择“其他→FreeBSD 11（64位）”，为虚拟机分配4个vCPU、16GB内存、80GB硬盘，为虚拟机分配1块网卡，如图5-1所示。

图5-1 创建Panabit云平台虚拟机

创建虚拟机之后，在虚拟机中安装Panalog 64位11.1操作系统，然后升级Panabit云平台管理升级包，当前最新升级包文件名称为PanabitCloudServerFreeBSD_20220321115614.tar.gz，这是Panabit公司2022年3月21日发布的版本，升级后版本号为1.2.0 20220321115614，如图5-2所示。在当前的示例中，Panabit云平台的管理地址设置为192.168.1.169。

图5-2 Panabit云平台版本

Panabit云平台服务需要使用TCP的22端口、TCP的24565-24567端口和UDP的24568-34567端口。在总公司Panabit的“应用路由→端口映射”中，将WAN1线路的CP的22端口、TCP的24565-24567端口和UDP的24568-34567端口映射到192.168.1.169，如图5-3所示。

图5-3 端口映射

Panabit云平台基本上不需要设置，只需要将需要管理的Panabit客户端设备添加到Panabit云平台的管理地址，在当前的设置中，云平台的管理地址是WAN1出口线路的地址61.x1.x2.83。下面以办事处的Panabit配置为例。

（1）登录办事处的Panabit，在Panabit的应用商店中添加并启用“云服务”，如图5-4所示。

图5-4 启用云服务

（2）在“云服务”对话框中的“云服务器IP”地址栏中，输入61.x2.x3.83，在“是否加入云”下拉列表中选择“加入”，选中“允许SSH远程管理时自动打开已关闭的SSH、允许执行云平台下发的任务、允许云平台免认证登录Web管理页面”，在“系统名称（云）”中输入当前设备添加到总公司Panabit云平台的名称，当前设置为“办事处”，单击“保存”按钮完成设置，如图5-5所示。

图5-5 添加云服务

（3）参照第（1）至（2）步的操作，将分公司1和分公司2的Panabit添加到Panabit云平台中，添加地址为61.x1.x2.83。将总公司Panabit添加到云平台中，添加地址为192.168.1.169。

（4）在总公司登录Panabit云平台管理地址，当前为显示可管理的Panabit设备

（5）在Panabit设备列表中单击设备名称，弹出新的窗口并进入对应设备的管理界面，如图5-7所示。在此可以实现对单台设备的管理，这些不一一介绍。

图5-7 管理单台设备

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。