防火墙出口部署下沉AD后面路由部署实操

一、现状：

       1、AF防火墙出口部署：配置有代理上网、端口映射、SSL VPN、IPSec VPN、GRE隧道功能。

       2、AF防火墙配置了两条外网线路、两条内网线路、一条专线链路。

       3、AF防火墙配置有策略路由、静态路由、用户认证等功能。

二、需求：

      1、客户由于双线路DNS解析问题，需要部署AD应用交付网关来解决此问题，实现出站及入站的负载问题。现客户购买了AD产品，需要部署上架。

三、方案规划：

       1、考虑到AD设备是不具备VPN功能及GRE隧道功能，所以这些功能不能从AF剔除，所以AF就还必需是路由部署，这就导致AD上架比较尴尬。

        2、通过初步设想，确认将AD路由部署在网络出口，将AF的两外网链路迁移到AD上，然后通过AD的网内口与AF的一个外网进行进行链接，AD与AF互联的IP地址采用内网不使用的IP地址进行互联。

        3、这样部署的话，AD需要做的动作就是配置网络接口、路由、代理上网、虚拟服务（代替端口映射，便于监控服务状态）。

        4、AF防火墙上修改外网接口IP、删除一个外网接口，然后删除代理上网及端口映射，修改默认路由到AD内网口，和更新安全防护策略。此处建立外网口不要使用新的区域，原因是后面更新策略的时候就不用那么麻烦了。

        5、由于VPN功能和GRE功能都还在防火墙，此时需要在AD上配置端口映射将对应的端口映射到防火墙上的外网接口上。此处端口映射需要映射IPSec VPN和SSL VPN的端口，需要注意不要和其他业务冲突。

四、具体实施：

       1、根据上述进行配置，设备上网可以正常，但最后还是遇到了问题，就是GRE隧道发现在无法实现互通。

       2、后面通过多次尝试后，防火墙上需要将隧道的源IP修改成防火墙的外网IP地址即可，AD上的端口映射都不需要做。

        3、AD其他的配置和正常配置一样。

五、建议：前期都是需要理论知识，到了真真实施时还是会遇到各种问题，在切割的时候还是需要多预留一些时间。

感谢楼主分享。
楼主的帖子虽然只有文字但是讲的很清楚，思路清晰明了。该案例涉及的功能较多，楼主能都讲解清楚，比较难得。

感谢您的分享，步骤很详细了，如果能配上相应的截图，就更好了！

社区技术博客征稿活动正在进行，只要符合内容要求，就有奖励，欢迎投稿~
了解奖励和投稿要求，请参考：https://bbs.sangfor.com.cn/forum ... read&tid=103115

赏个豆豆涨知识啦

感谢分享

这么好的帖子，倘若别人看不到，那么不是浪费楼主的心血吗? 经过痛苦的思想斗争，我终于下定决心，我要把这个帖子一直往上顶，往上顶到所有人都看到为止!

感谢分享

感谢分享

感谢分享,都是一线的点点滴滴

感谢分享

感谢分享。