在“如何用SD-WAN实现多地组网？”一文中，我们介绍了如何用SD-WAN来实现多地组网。实际上SD-WAN不仅可以用于多地组网，而且可以用于远程办公拨入。

和传统的远程办公方案相比，SD-WAN有如下优势：

• 自动寻址，无需公网IP。

• 点对点加密传输，无需通过服务器转发，传输安全性高。

• 多平台支持。有windows，安卓客户端。

本文中，我将介绍如何用SD-WAN实现远程办公拨入。

1. 网络拓扑图

SD-WAN不需要固定公网IP也可以实现远程办公拨入。如下图，该局域网通过一台WSG网关连接外网，内网网段是192.168.10.0/24。

2. 首先定义SD-WAN网络

关注“笨驴信息”的公众号，然后在菜单中点击“SD-WAN”进入SD-WAN的配置功能。

添加远程办公的网络，远程办公和组网一般不要共用同一个网络，分开两个网络便于管理。

3. 配置WSG加入该网络

SD-WAN平台的“终端”中可以看到WSG，修改配置，授权并分配固定IP 10.188.189.1。

4. 配置路由表

要让外网终端可以访问内网，还需要添加路由规则，使内网的访问通过WSG转发。如下图：

5. 防火墙策略

SD-WAN对WSG内网的访问权限，取决于SD-WAN所属的防火墙区域。

• 内网区域：SD-WAN当做内网访问，受到“内网-转发方向”的防火墙策略控制。而内网的访问默认是允许的。换句话说，默认配置下，SD-WAN属于内网区域可以访问所有的内网资源。

• 外网区域：SD-WAN当做外网访问，受到“外网-转发方向”的防火墙策略控制。而外网的访问默认是阻止的。换句话说，默认配置下，SD-WAN属于外网区域不能访问任何内网资源。

所以，如果你想控制对端的访问权限，需要把SD-WAN设置为“外网区域”，然后通过防火墙策略来管控。如下图：

6. 外网终端的配置

外网电脑访问sd-wan，需要安装sd-wan客户端并加入sd-wan网络后，并且需要等待管理员授权后才可以接入。如下图：