#原创分享#零信任aTrust系统部署最佳实践之aTrust初始化网络配置

序言：

        随着aTrust零信任产品和idTrust统一身份认证系统的不断更新迭代，并逐渐承载客户的网络访问和业务应用，大家在日常的工作中也会经常遇到aTrust和idTrust的使用场景，如何高效快速的进行安全部署和功能应用上线呢？本着学习交流的心态，在此立贴记录，将逐步更新aTrust和idTrust新产品相关知识，从入门级安装部署，到基础功能业务配置，再到常见问题排错。欢迎大家发帖交流。

———————————————————第二章aTrust初始化网络配置———————————————

零信任aTrust部署——aTrust初始化网络配置

一、网络环境准备

1.1网络环境准备

当前零信任部署主要为旁路模式部署，每台设备仅需1个IP地址即可，具体网络环境描述如下：

aTrust控制中心网络部署：

控制中心放置在运维区，可与aTrust代理网关网络互通，可与内网办公区或外网办公区网络互通（一般由外网防火墙做NAT，例如开放443端口）

aTrust代理网关网络部署：

aTrust代理网关前置于业务服务器，可与业务服务器网络互通、可与aTrust控制中心网络互通、可与内外网办公区网络互通（一般由外网防火墙做NAT，例如开放441端口）。

1.2业务域名调整

应用服务器的域名 -->aTrust代理网关（将用户访问的前端web地址解析到代理网关上）

在内网域名服务器，将之前业务系统的域名指向aTrust代理网关的IP地址。通过DNS服务器，将业务服务器的域名流量指向到aTrust代理网关。

aTrust控制中心域名 -->aTrust控制中心（使aTrust代理网关能解析web应用后端真实地址）

在控制中心的域名，将业务系统的域名指向内网服务器真实的IP地址。可通过控制中心设备（配置HOSTS），将业务系统的域名指向内网服务器真实的IP地址，或配置内网域名服务器，实现解析到服务器真实IP。

需开放的端口：

4433：aTrust控制中心登录端口，不可更改

443：用户登录接入端口，可更改

441：aTrust客户端隧道端口，不可更改

2.4示例参考：

域名配置调整主要针对web应用，主要作用是将用户访问业务系统的流量指向代理网关，然后使代理网关能访问到后端真实的业务系统。

举例说明：

零信任控制中心：10.*.*.1，零信任代理网关：10.*.*.2，OA业务系统：10.1*.*.1。

使用零信任之前：用户访问www.oa.com，直接解析到业务服务器10.1*.*2.1，做到直接的访问。

使用零信任之后：用户访问www.oa.com，需要在内网DNS服务器，将www.oa.com解析到10.1.4.2的代理网关。同时在控制中心配置host记录，让代理网关访问www.oa.com时解析到后端真实的地址。

在实际测试中，客户一般不会修改内网DNS服务器，此时可以配置PC的host文件来解决，或者新起一个域名解析www.oa.atrust.com。例如：

二、aTrust系统初始化网络配置

aTrust后台配置信息说明：

1.aTrust设备控制台登录地址。https://10.254.*.*:4433  账户** 密码Sa*******

2.后台SSH登录账户和地址。账户 quic***rt 密码 sangf*****

3.后台SFTP登录。账户 quick*** 密码 sangfor*****

4. 若登录设备之后，修改了atrust控制台的密码，那么后台的账号密码就会变成： qui***rt/adm****

初始化网络方式一：

配置10.254.254.0/24同网段的IP地址，需要使用直连的方式进行设备连接，然后登陆https://10.254.*.*:4433管理页面，修改网络配置。需要注意控制中心设备和代理网关设备不要同时开启，因为其设备内置的IP为同一个（10.254.*.*），会产生冲突。

初始化网络方式二：

在虚拟化平台直接修改网络后台IP地址，使用ssh工具登录到控制中心设备和代理网关后台，修改设备的IP地址

登录设备后台账号密码：qu****art/ad****

使用ifconfig命令配置临时IP：ifconfig eth0 10.*.*.1/24

再使用route命令添加eth0的直连路由（必做）：route add -net 10.*.*.0/24 eth0  

最后再添加默认路由指向网关：route add default gw 10.*.*.254

检验方式：可在cmd中使用telnet + 虚拟机IP + 4433端口，检查网络连通性

注：

后台的网络配置为临时配置，重启后会失效。需配置完后登录web平台修改网卡信息，使其永久生效

后台修改IP后会导致路由全部丢失，使用route -n命令确认，然后根据需求添加路由

三、web平台配置网络

1.登录aTrust控制中心的WEB UI【登录方式：https://控制中心 ip或域名:4433，默认用户名** 密码Sa***】。

2.配置aTrust控制中心的路由。进入【系统管理】-【网络部署】-【路由设置】，点击按钮新增，添加默认路由，如下图所示

3.配置aTrust控制中心的网口IP。进入【系统管理】-【网络部署】-【网络接口】，点击按钮修改，修改为指定IP地址，如下图所示

4.配置代理网关proxy的基本网络。登录代理网关proxy的web UI【登录方式：https://proxy ip或域名:4433，默认用户名** 密码San****】

5.配置代理网关proxy的路由。进入【系统管理】-【网络部署】-【路由设置】，点击按钮新增，添加默认路由，如下图所示

6.配置代理网关proxy的网口IP。进入【系统管理】-【网络部署】-【网络接口】，点击按钮修改，修改为指定IP地址，如下图所示

四、代理网关加入控制中心

1、在代理网关上配置加入到控制中心

2、在控制中心新增一个网络区域，如北京区，并配置局域网和互联网地址

3、激活代理网关，并选择对于的分组区域

五、零信任设备升级

1、开启设备SSH

2、通过SFTP上传升级包，两个升级包文件都要上传

3、进入ssh受限命令行，执行atrust_uclt upgrade选择升级包进行升级

备注：升级过程大概十几分钟，升级完成后，需要导出设备信息，然后申请对应的功能序列号。

感谢楼主分享，每日学习打卡

感谢分享，有助于工作，学习

果然是高手在民间，楼主帖子写的不错，很有参考价值，还想看更多精彩分享，期待楼主下一篇好帖！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

感谢楼主精彩的分享，为新人学习atrust提供了很大的帮助，特别说明了初始化网络的时候，需要注意控制中心设备和代理网关设备不要同时开启，因为其设备内置的IP为同一个（10.254.254.254），会产生冲突，期待楼主下次的分享:感恩: