网络架构: BBC单臂部署在内网和分支对接,统一管理全国各分公司的AC设备,实现分支集中管理、状态查看、配置下发等需求.前置防火墙管控内网,客户网络建构清晰,管理比较严格,出口F5负载设备映射tcp/udp5000端口(不采用易部署不需要5001).然后在防火墙上只做了放通5000端口策略 拓扑图如下:
问题: 1.因为采用在线授权的授权方式,在测试时突然出现掉授权功能不可用问题 排错: 经过测试排查后,发现是只在防火墙放通5000端口,设备无法访问深信服授权服务器导致 解决: 联系400沟通后,获取深信服授权服务器域名:vls.sangfor.com.cn,在防火墙上做放通策略.测试后授权正常
2.分支接入后无法通过远程接入管理分支设备 排错: BBC远程管理分支需要使用5530端口,由于设备内网部署,导致总部BBC无法和分支AC进行5530端口通信. 解决: 在出口设备上做端口映射,把5530端口映射在分支对接地址上,映射后正常
|