#原创分享#AF混合模式部署
  

adds 25022人觉得有帮助

{{ttag.title}}
本帖最后由 adds 于 2020-5-31 13:47 编辑

    需求:替换故障的天融信防火墙。

    332485e93106f19cbd.png

     一、网络拓扑
     原天融信串在上级单位的交换机和本级单位的核心交换机中间。
      82335ed328b2cdf8b.png

    二、原网络配置
    1、天融信Topsec配置
    a.接口配置
    上联接口为Eth1,trunk口,允许vlan 10、20通过,native vlan 10。
    下联接口为Eth2,trunk口,允许vlan 10、20通过,native vlan 1。
    vlan 10管理IP为192.168.10.2。
    vlan 20管理IP为192.168.20.2。
    b.路由配置
     配置了一条默认路由指向192.168.10.1。
    c.地址转换
    将192.168.20.0/24网段转换为192.168.10.2。
    d.安全策略配置

    2、路由交换机配置
    a.VLAN 20的网关指向了与AF互联的核心交换机上,网关为192.168.20.1。
    b.VLAN 10的网关指向了与AF互联的核心交换机上,网关为192.168.10.4。
    c.核心交换机上联口为trunk口,两个下联口为access口。

    三、AF配置
    1、区域
    路径:【网络】--【接口/区域】--【区域】
    创建WAN和LAN两个区域。
    301455ed3302dcfa43.png

    2、接口
    路径:【网络】--【接口/区域】--【物理接口】
    813805ed32fccb1522.png

    3、VLAN接口
    路径:【网络】--【接口/区域】--【VLAN接口】
    8025ed33081dbe8b.png

    4、静态路由
    路径:【网络】--【路由】--【静态路由】
    635105ed330ac19845.png

    5、网络对象
    路径:【对象】--【网络对象】
    8265ed3315578914.png

    6、源地址转换
    路径:【策略】--【地址转换】
    915315ed331be52b0b.png

    7、应用控制策略
    路径:【策略】--【访问控制】--【应用控制策略】
    配置一条内网访问外网动作为允许的策略。
    754715ed33270ea7b1.png

    四、排障
    1、配置完成后,进行测试。
    VLAN10的数据访问外网正常,但VLAN20的数据却访问不通。
    数据可以到达AF,但再往外走就中断了。

    2、AF故障排查
    原因:VLAN20的PC将网关指向了核心交换机,即192.168.20.1,核心交换机起了默认路由指向192.168.10.1,数据在AF没有进行中转,导致无法匹配SNAT策略。

    3、解决办法
    a.将VLAN20的PC的网关指向接入交换机,即192.168.20.3。
    b.在该接入交换机配置一条默认路由,下一跳指向AF的VLAN20的管理IP192.168.20.2;添加一条静态路由,目的地址是192.168.10.0/24下一跳交给192.168.20.1。

    五、总结
    1、二层环境不支持做地址转换。
    2、地址转换是三层的概念,AF要做地址转换,设备本身需要参与数据转发过程,不能是纯透明、纯过滤部署。
    3、其他注意事项
     a.AF控制台可以限制登录IP。【网络】--【接口/区域】--【区域】进行配置。
     b.AF开启异常包检测功能会丢弃不符合正常状态的TCP报文,如果有业务使用非正常状态的TCP协议,建议关闭对应的异常包检测选项。
     c.AF的TCP Reset功能是指当设备检测到异常的数据包时,通过设备伪造Reset数据包去断开现有的连接。设备旁路部署时,勾选旁路Reset功能,将允许设备发出TCP Reset报文,从而实现部分安全防护功能。

   

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

沧海 发表于 2020-5-31 17:57
  
学习一下
新手780102 发表于 2020-5-31 20:58
  
感谢分享
新手612152 发表于 2020-5-31 21:08
  
感谢分享
司马缸砸了光 发表于 2020-5-31 21:20
  
感谢分享
JM 发表于 2020-5-31 21:35
  

感谢分享
gqce 发表于 2020-6-1 10:20
  
感谢分享
新手727241 发表于 2020-6-2 09:27
  
感谢分享
一条软白鲨 发表于 2020-6-3 10:17
  
图文并茂可以说是很棒了,画的拓扑可以再清楚一下哈哈
Running_Monkey 发表于 2020-6-3 15:22
  
已学习。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
标准化排查
秒懂零信任
自助服务平台操作指引
信服课堂视频
新版本体验
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人