典型场景:50家分支机构访问总部ERP
某连锁服务企业,总部在广州,50家分支遍布全国。核心需求:
- 所有分支能访问总部的ERP系统(用友U8,TCP 1433)
- 所有分支能访问总部的OA系统(泛微OA,TCP 8080)
- 所有分支能访问总部的CRM系统(Salesforce,HTTPS)
- 分支之间禁止互访(避免横向渗透风险)
图1:YSKJ Hub-Spoke 组网架构
网络拓扑设计
| 节点角色 | 网段规划 | 说明 |
|---|---|---|
| 总部核心网关 | 168.168.168.0/24 | 部署在总部机房,双线路热备 |
| 广州分公司 | 168.168.10.0/24 | 直连总部,访问ERP延迟 < 5ms |
| 北京分公司 | 168.168.20.0/24 | 通过SD-WAN隧道,延迟 ~35ms |
| 成都分公司 | 168.168.30.0/24 | 通过SD-WAN隧道,延迟 ~55ms |
| 移动办公用户 | 168.168.100.0/24 | 安装YSKJ客户端,自动接入 |
ACL访问控制策略配置
在YSKJ控制台配置访问控制规则(ACL),实现精细化权限管理:
# 允许所有分支访问总部ERP(TCP 1433) ALLOW 168.168.0.0/16 → 168.168.168.10:1433 TCP # 允许所有分支访问总部OA(TCP 8080) ALLOW 168.168.0.0/16 → 168.168.168.11:8080 TCP # 允许所有分支访问总部CRM(TCP 443) ALLOW 168.168.0.0/16 → 168.168.168.12:443 TCP # 禁止分支之间互访(Hub-Spoke架构) DENY 168.168.10.0/24 ↔ 168.168.20.0/24 DENY 168.168.10.0/24 ↔ 168.168.30.0/24
ERP系统跨网段访问实战配置
- 在YSKJ控制台创建网络
HQ-ERP-Network,网段168.168.168.0/24 - 总部网关加入网络,获得固定IP
168.168.168.1 - 各分支网关加入同一网络,自动获得IP(如
168.168.168.10) - 分支用户访问ERP时,流量通过WireGuard加密隧道直达总部
- 总部防火墙只需放行
UDP 10001(STUN)和UDP 10004(WG中继)
性能实测:ERP报表生成速度对比
| 场景 | 传统VPN | YSKJ SD-WAN | 提升 |
|---|---|---|---|
| 生成月报表(50MB数据) | 42秒 | 11秒 | ⬆ 73% |
| OA附件上传(100MB) | 3分20秒 | 48秒 | ⬆ 76% |
| CRM批量导入(5000条) | 经常超时 | 2分15秒 | ✅ 稳定 |
✅ 该方案已服务于200+家连锁企业,平均降低IT运维成本72%。