网管在做远程技术支持的时候，需要连接到客户的内网或者路由器。对于有公网IP的网络，可以直接通过公网IP或者动态域名去访问。由于现在运营商很多都只给内网IP，使得远程技术支持必须要做内网穿透才可以。所以很多网管在做网络维护的时候，还需要给用户安装FRP或者NPS的内网穿透服务，增加了维护的成本和复杂性。

在本文中，我将介绍如何通过SD-WAN的方式来给客户提供远程网管服务。SD-WAN和其他方式相比，可以自动寻址穿透，无需公网IP，也无需云主机转发。具体步骤如下：

1. 创建SD-WAN网络

关注“笨驴信息”的公众号，然后在菜单中点击“SD-WAN”进入SD-WAN的配置功能。

添加技术支持的网络。

2. 把客户端加入SD-WAN网络

需要配置客户的网关设备，把其加入到上一步中创建的“网管技术支持”网段。如图：

3. 远程维护终端

网管用来做远程维护的终端电脑、手机，也需要添加到该网络中。

通过上述步骤，网管人员就可以从外网直接访问客户的网关了。

4. 配置防火墙规则

默认设置下，各个SD-WAN终端之间是可以互通的。多个客户时，我们还需要配置SD-WAN的防火墙规则，只允许网管去访问客户，而不允许客户之间的互访。

首先要合理规划客户的网段，举例来说：

1. 假设SD-WAN的网段是10.188.190.0/24（10.188.190.1-10.188.190.254）

2. 我们可以把10.188.190.129/25（10.188.190.129-10.188.190.254）分给客户（SD-WAN平台中手动给客户分配这个范围的IP地址）。

3. 把10.188.190.1/25（10.188.190.1-10.188.190.127）分给维护终端（SD-WAN平台中手动给网管分配这个范围的IP地址）。

然后就可以通过防火墙规则来禁止客户之间的互访。如下图：

规则的内容是：

[{"ip":"10.188.190.128/25","not":false,"or":false,"type":"MATCH_IPV4_SOURCE"},{"ip":"10.188.190.128/25","not":false,"or":false,"type":"MATCH_IPV4_DEST"},{"type":"ACTION_DROP"},{"type":"ACTION_ACCEPT"}]

含义是阻止从"10.188.190.128/25"到"10.188.190.128/25"的通讯。从而就禁止了客户之间的互访，只有从网管网段才可以访问到客户网段。