分享新架构防火墙场景配置部署内容(需求配置排障处理)

由项目内容配置，分享新架构防火墙场景配置问题处理：

1、双向地址转换不生效(出口多运营商场景:策略路由+默认路由)

2、出口防火墙内网口为聚合口，VPN无法引用网口作为vpn接口

3、SSL vpn客户端接入后，ping测试不通

确认双向地址转换策略配置，外网访问做目的地址转换，内网访问公网业务地址做双向地址转换，测试可看到匹配数，但仍访问不通。经二线同事抓包排查，确认网口均可接收到ping包，去3个包回4个包，在防火墙上进行路由测试，第一条匹配为运营商静态路由，第二条为策略路由。

此时进行防火墙"系统-网络参数"中路由优先级设置，可查看到默认的设置为从上往下匹配，策略路由优先级高于目的路由(静态路由、动态路由)，使用自定义设置，将目的路由(静态路由、动态路由)优先级调整到策略路由之上。再次进行测试，可看到公网业务地址+端口能够正常在内网进行测试联通。

此场景使用VPN通过单臂接入，由于VPN接口只能选择单独的非WAN网口，因此另外选择一个接口配置IP连到交换机(无需此IP与其他主机通讯),之后即可正常使用SSLvpn和SANGFOR VPN

防火墙发布SSL vpn资源，发布堡垒机资源和内网主机资源，发现ping主机和堡垒机都不通，经排查后与第一条问题一致，为路由优先级问题，可通过将SSL vpn路由优先级提至策略路由之上，修改完成后即可正常访问。

感谢楼主分享！文章对解决新架构双机地址转换问题很有帮助，如增加更多网络拓扑分解，原理分析步骤讲解会更好，期待楼主带来更多有价值的分享

感谢楼主分享！文章主要介绍了新架构AF的一些常见配置及排错思路，新架构AF路由模式部署的情况下，如果外网是多条链路需要注意开启逆向路由，否则可能会因为路由优先级不同导致业务转发异常，期待楼主带来更多有价值的内容分享。

坚持学习，坚持打卡。。。。。。。。。。。。

坚持打卡。。。。。。。。。。。。

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

坚持学习，坚持打卡。。。。。。。。。。。。

楼主，是你让我深深地理解了‘人外有人，天外有天’这句话。谢谢你!在看完这帖子以后，我没有立即回复，因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了，因为觉得如果不能在如此精彩的帖子后面留下自己的网名，那我会遗憾终生的!

坚持学习，坚持打卡。。。。。

感谢楼主分享，努力学习中！！！！

坚持学习，坚持打卡。。。。。

坚持学习，坚持打卡。。。。。