上一篇分享了如何使用比扬云SD-WAN来访问飞牛,这一篇我们来实现一个真正的异地组网,把家里的网络和我公司的网络进行一个连通,让我在家里也能访问到公司的存储和代码仓库。
这里的场景只是一个示例,实际上它更普遍的说法是能通过SD-WAN打通多个网络,如果你是公司总部和分公司的,操作方法也完全一样。
这是这个系列文章的第三篇,全系列文章目前规划包括以下内容:
- 比扬云SD-WAN产品介绍
- 如何在飞牛中使用比扬云
- 如何使用比扬云的异地组网功能打通家里和公司的网络(本文)
- 如何用比扬云来打通远程桌面,抛掉向日葵和todesk,不需要安装其他软件也能远程桌面
- 付费流量包体验,感受一下付费带来的速度
- 搭建自建节点,只要10块钱,低配版的企业私有化部署,但是能满足小微企业的需求
为什么说访问飞牛不算真正的异地组网
访问飞牛大概的原型如下:
访问飞牛实际上只涉及客户端和SD-WAN站点两个东西,或者更通俗来说,如果你不需要通过飞牛访问内网设备,就只涉及客户端和飞牛的IP地址的打通
它更像是内网穿透,并没有涉及多个网络的打通,异地组网我个人理解是大于或等于两个网络的打通,假如是两个SD-WAN站点之间的打通,我才认为属于真正的异地组网,当然这属于我个人的理解,不一定对,只是叫法不一样而已。
开始使用
我们接下来开始使用,用的是比扬云SD-WAN的软件版,自己搭建,这里需要说明的是,软件版是需要自己找一台机器安装Linux操作系统进行操作的,有一定的技术门槛,即使你找官方帮你操作,前提你还是得自己会弄一台Linux系统的机器。,所以说还是需要一点门槛的,如果你完全没有门槛,最好的方式就是自己搞两台飞牛。
比扬云有自己的异地组网路由器,这个就省事很多,花钱立马变强。
这个是初始化网络,异地组网涉及两个网络信息:
家庭网络
- 网段是192.168.1.0/24,这个网段也就是我们连上家里WiFi时候的一个内网网段
- 家庭网络里面有一台电脑,IP是192.168.1.34,Mac系统
- 家庭网络里面有一个飞牛,运行比扬云SD-WAN站点,作为旁路由,IP是192.168.1.201
公司网络*
- 网段是192.168.37.0/24
- 主路由为192.168.37.1,运行比扬云SD-WAN站点
- 公司网络里面也有一台电脑,IP是192.168.37.167
这篇教程的目标是:我在家里能够通过192.168.37.167访问公司的一台电脑,我会通过使用这台电脑的远程桌面进行测试,这样我们下班回家之后可以继续当牛马耕耘。
和之前的教程一样,先配置,再说背后的逻辑和原理,如果你对背后的逻辑和原理不感兴趣,无脑跟着教程操作就完事了。
第一步:在比扬云控制台创建虚拟网络和站点
在之前的教程我已经提到怎么创建虚拟网络和站点了,这里不会再写的非常详细。
- 登录比扬云控制台: https://dash.beyondnetwork.cn。
- 进入SD-WAN组网菜单/虚拟网络菜单,点击创建虚拟网络按钮创建一个虚拟网络
- 点击创建好的虚拟网络,站点(在线/总数)这一列进入站点管理
站点管理我们需要创建家庭网络和公司网络的两个站点。
创建完之后我们会得到两个离线的站点,下一步的目标是让这两个离线的站点变成在线,也就是官方说的所谓的激活站点
第二步:激活站点
我们的激活站点跟在飞牛应用市场安装不太一样,虽然有飞牛在,但是这次不再使用飞牛应用市场进行安装,而是采用官方推荐的一键激活进行安装。,原因我们后面会说。
我们点击创建好的站点右边的激活站点的蓝色字体,就会弹出激活站点的对话框
一键激活是需要一定的linux操作基础的,你至少需要会ssh连进飞牛,切换成root账号,执行激活命令,如果这些都不懂还要搞异地组网,我推荐你乖乖买官方的路由器,因为即使你费劲弄好了,或者找官方技术帮你弄好了,以后出问题你也解决不了
我们进入到飞牛的系统之后,只需要粘贴激活命令就可以了,如果你之前已经通过应用中心安装过比扬云了,我个人是建议你可以先卸载,这样能减少一些影响因素
激活之后,刷新界面,会看到站点是在线的,那么家庭网络的站点我们就激活完成了。
同样的方式我们激活公司的站点。
第三步:测试站点间的连通性
站点激活之后我们先不要急着做下一步,我们先测试一下两个站点之间的网络能否畅通。
家里的站点(192.168.1.201)ping 公司的站点(192.168.37.1)是通的,网络质量还很好。
但是这时候从公司的站点(192.168.37.1)ping 家里的电脑(192.168.1.34)是不通的,这个是正常的,没有任何问题
我们接下来的步骤就是为了让上面不通的网络,变畅通。
第四步:配置访问非站点的设备
为了解决这个问题,有两种方式:
- 配置旁路由
- 配置源地址转换
这两种方式我都提供一下教程,他们本质上是为了让内网设备的流量经过站点发出去,只是手段有点不太一样。
方式1:配置旁路由
配置旁路由不涉及任何的命令操作,完全是网络配置,你可以:
- 通过家里的主路由的DHCP下发网关,地址是你的站点的内网IP,在我们这里是192.168.1.201
- 如果只是测试,你可以修改你家里电脑的网关为站点的内网IP
这是纯网络的配置,当然每个人的路由器型号都不太一样,这里也只是描述方法而已,我会给出我再Mac下手动修改电脑网关的截图作为参考。
![]()
方式2:配置SNAT
配置SNAT很简单,只需要在站点机器加入以下命令即可。
iptables -t nat -I POSTROUTING --src 192.168.37.0/24 -j MASQUERADE
这条命令大概的意思是将所有源ip在192.168.37.0/24网段的数据包,源IP修改为本机的默认ip,也就是192.168.1.201,如果还涉及其他网段的组网,我们还是要参照这个命令再写,总的来说,任何一个站点都要把其他站点的网段执行一个SNAT
配置完这个之后,我们再测试就通了。
官方建议是配置旁路由,说是这个是正规军,而配置SNAT不利于流量监管,因为所有流量的源IP都是站点IP,不知道是谁的,万一出事还不好追查。
但是如果你是自己用的,管他这么多呢,我就推荐基于SNAT的方式
第五步:测试
我们只需要在家里的Mac电脑(192.168.1.34)通过远程桌面访问公司的电脑(192.168.37.167)进行测试就可以了,在Mac下使用Windows应用来做远程桌面,体验好到爆炸。
背后的逻辑
现在是时候对上面的一些细节进行说明了:
1、首先关于站点
我们之前已经解释过了,把他当成快递驿站就行了,负责一个或者多个网络的访问
2、激活站点
激活站点有很多种方式,比如:
- 一键激活命令,这个是官方推荐的,也是我比较推荐的方式,原因是脚本里面做了很多网络配置和开机自启的操作,能够避免掉坑里
- Docker的方式,其实一键激活命令会内置Docker的方式,一般情况是不需要使用Docker的方式的,如果你用的是Docker的方式,那么你需要跟着官方的激活过程做一些网络配置
- 二进制文件的方式,大部分人是不会用到这种方式的,除非你是程序员
- Openwrt里面激活
- 飞牛应用中心激活,跟Docker激活是一样的
3、为什么激活两个站点之后不是自动就组好网络的,还需要额外配置
我们再第四步的时候进行了旁路由或者SNAT的配置才能完成整个组网,官方为什么不自动就做这个事情?
我的理解是用户的需求是不一样的,有的用户需要用的旁路由的方式,有的用户不需要旁路由的方式,干脆直接让你们自己选择。
举个例子,配置SNAT的方式,它是比较方便,但是唯一的弊端是所有内网设备看到的源IP都是一样的,不利于追溯到底是谁访问的,真正出现安全问题的时候完全抓不住,只能抓到是从站点发出来的流量。
而配置成旁路由的方式,这个东西比扬云根本就没有操作的点,都是用户的网络自己配置的,除非是用他们的路由器。
4、这个配置算复杂吗
我们总结了5个步骤,但是步骤3和步骤5是测试的,步骤1是纯网页操作,唯一有点操作复杂性的是步骤2和步骤3,但是如果你熟悉Linux的命令,这个操作就是非常简单的,如果你不熟悉,我建议你还是买他们的路由器去做,省心,也不容易出问题。
关于用比扬云来实现异地组网的教程我就分享这么多,异地组网是个非常专业的东西,如果你觉得本文有一定的难度,而又有需求,我建议是购买他们的路由器来做。
PS:非常感谢官方技术人员的耐心指导,给我提供了很多信息和内容的纠正。
浙公网安备 33010602011771号