手把手教程：用公有云白嫖资源搭建10Mbps跨境专线 - 铁军哥

铁军哥

√ 已认证公众号

高级网络规划设计师（副高级），原中国电信高级技术规划工程师，天翼云认证高级解决方案架构师、高级运维工程师，H3C认证网络工程师。 退役军人。「网络安全\x26amp;云计算\x26amp;人工智能」关注我，用技术武装自己！

扫码关注公众号

https://mp.weixin.qq.com/mp/profile_ext?action=home&__biz=MzI4NjAzMTk3MA==&scene=117#wechat_redirect

+ 关注公众号

我们前面介绍了如何白嫖国内某公有云的云上资源（粉丝福利：白嫖天翼云免费的VPN网关及1000块钱），有不少小伙伴问能不能拿来做一些特殊用途，当然没问题。

今天给大家分享一个方案，以在上海7资源池部署山石VPN网关，在香港1资源池部署代理为例，演示部署一条10兆SD-WAN的相关操作。

1、创建香港云主机

在香港1云主机上部署vCPE，用作跨境访问境外站点的代理。主机配置2核CPU、4GB内存、40GB系统硬盘，15Mbps公网带宽，镜像选择【公共镜像】→【Linux】→【CentOS7.6】。

开通完成之后，使用账号测试登录情况，确认系统版本是否为CentOS 7.6；并记录云主机登录方式和内网网段反馈给装维人员用于部署vCPE。

2、配置上海共享带宽及弹性公网IP

购买一条共享带宽，带宽15 Mbps。

申请公网IP地址，付费方式选择【按量付费】，带宽类型选择【共享带宽】，并选择到刚才创建的共享带宽。

3、创建上海VPC子网

注意：需要检查是否存在默认VPC和默认子网网段均为24位掩码的情况，如果是，需要提工单解决。

新建一个192.168.11.0/24的子网1绑定VPN网关公网接口，以提供服务。

再新建一个192.168.12.0/24的子网2，供VPN网关和vCPE主机进行互通，并提供访问互联网的能力。

4、配置上海vCPE云主机

在上海7开通2台云主机，其中一台用于部署vCPE云主机。主机配置为：2核CPU、4 GB内存、40 GB系统磁盘，镜像选择【公共镜像】→【Linux】→【CentOS7.6】。

网络配置中，虚拟私有云及网卡选择到新建的子网2，不使用弹性公网IP。

开通完成之后，查看主机状态，记录主机IP地址。

记录vCPE云主机登录方式，反馈给装维人员用于部署vCPE。

5、配置上海VPN网关

另一台云主机用于部署VPN网关，主机配置为：2核CPU、4 GB内存、40 GB系统磁盘，镜像选择【安全产品镜像】→【云下一代防火墙】。

网络配置中，主网卡选择到新建的子网1，扩展网卡选择到新建的子网2，不使用弹性公网IP。

开通完成之后，查看主机状态，记录主机IP地址。

在主机安全组中放行TCP 10443端口，用于防火墙的HTTPS页面登录。

放行TCP 4433端口和UDP 4433端口，用于建立SSL VPN的隧道连接；放行TCP 2212端口，用于登录防火墙命令行。

6、创建上海NAT网关

在上海7创建一个NAT网关，使vCPE主机通过共享带宽访问互联网，避免公网IP直连的安全风险，注意绑定正确的VPC。

开通成功之后，点击名称进入NAT网关配置。

点击【添加SNAT规则】，确认子网信息和弹性公网IP信息。

7、给VPN网关添加第二块网卡

给防火墙添加第二块网卡，子网选择新建的VPC子网，用于和vCPE通信。

8、登录VPN网关网管

登录防火墙管理页面，默认登录地址为：https://弹性IP:10443，默认登录账号密码为ecfwadmin/ecfw189@#! 。

登录之后会要求修改默认密码。新密码需要满足密码策略要求：最小长度为8，最大长度为31。包含至少1个大写字母，1个小写字母，1个数字，1个特殊字符。

密码修改完成之后重新登录，确认设备正常。

9、配置VPN网关的网卡和路由

在【网络】→【接口】下面，可以看到网卡信息，其中ethernet0/0是绑定公网IP地址的网卡，ethernet0/1是和vCPE通信的网卡。

修改ethernet0/1接口配置，绑定到【三层安全域-trust】，关闭【HA同步】，并配置分配的IP地址信息。

在接口的【高级配置】下面，【逆向路由】设置为【关闭】，这样，用户的VPN访问流量就可以从入接口原路返回给网关，而不是vCPE。

在【系统→诊断工具→测试工具】下，Ping测试到vCPE主机的内网IP地址的可达性。

确认可达之后，在【网络→路由→目的路由】中添加一条默认路由，下一跳指向vCPE的互联地址。

新建一个隧道接口，作为SSL VPN的网关。

10、配置VPN网关的SSL VPN

防火墙导入授权成功之后，进入【网络→VPN→SSL VPN】页面，点击【新建】，开始配置SSL VPN。

【名称/接入用户】配置中，配置一个VPN名称，接入用户AAA服务器选择local。

【接入接口/隧道接口】配置中，出接口选择绑定了公网IP地址的Ethernet0/0，服务端口使用4433，隧道接口使用刚才创建的tunnel1，地址池使用新建的地址池。

新建的地址池配置如下：

【隧道路由配置】中，点击【添加默认路由】，当用户拨号成功后，为用户下发默认路由。

【绑定资源】配置留空，不做调整。点击确定，完成配置。

11、配置SSL VPN用户

在【对象→用户→本地用户】中，点击创建，新增用户。

配置用户的名称和密码信息，视情况配置【账户到期日】，如果配置了账户到期日，则在账户到期日之后。账户将变成锁定状态，无法登录。

12、登录SSL VPN