一、网络拓扑
原天融信串在上级单位的交换机和本级单位的核心交换机中间。
二、原网络配置
1、天融信Topsec配置
a.接口配置
上联接口为Eth1,trunk口,允许vlan 10、20通过,native vlan 10。
下联接口为Eth2,trunk口,允许vlan 10、20通过,native vlan 1。
vlan 10管理IP为192.168.10.2。
vlan 20管理IP为192.168.20.2。
b.路由配置
配置了一条默认路由指向192.168.10.1。
c.地址转换
将192.168.20.0/24网段转换为192.168.10.2。
d.安全策略配置
2、路由交换机配置
a.VLAN 20的网关指向了与AF互联的核心交换机上,网关为192.168.20.1。
b.VLAN 10的网关指向了与AF互联的核心交换机上,网关为192.168.10.4。
c.核心交换机上联口为trunk口,两个下联口为access口。
三、AF配置
1、区域
路径:【网络】--【接口/区域】--【区域】
创建WAN和LAN两个区域。
2、接口
路径:【网络】--【接口/区域】--【物理接口】
3、VLAN接口
路径:【网络】--【接口/区域】--【VLAN接口】
4、静态路由
路径:【网络】--【路由】--【静态路由】
5、网络对象
路径:【对象】--【网络对象】
6、源地址转换
路径:【策略】--【地址转换】
7、应用控制策略
路径:【策略】--【访问控制】--【应用控制策略】
配置一条内网访问外网动作为允许的策略。
四、排障
1、配置完成后,进行测试。
VLAN10的数据访问外网正常,但VLAN20的数据却访问不通。
数据可以到达AF,但再往外走就中断了。
2、AF故障排查
原因:VLAN20的PC将网关指向了核心交换机,即192.168.20.1,核心交换机起了默认路由指向192.168.10.1,数据在AF没有进行中转,导致无法匹配SNAT策略。
3、解决办法
a.将VLAN20的PC的网关指向接入交换机,即192.168.20.3。
b.在该接入交换机配置一条默认路由,下一跳指向AF的VLAN20的管理IP192.168.20.2;添加一条静态路由,目的地址是192.168.10.0/24下一跳交给192.168.20.1。
五、总结
1、二层环境不支持做地址转换。
2、地址转换是三层的概念,AF要做地址转换,设备本身需要参与数据转发过程,不能是纯透明、纯过滤部署。
3、其他注意事项
a.AF控制台可以限制登录IP。【网络】--【接口/区域】--【区域】进行配置。
b.AF开启异常包检测功能会丢弃不符合正常状态的TCP报文,如果有业务使用非正常状态的TCP协议,建议关闭对应的异常包检测选项。
c.AF的TCP Reset功能是指当设备检测到异常的数据包时,通过设备伪造Reset数据包去断开现有的连接。设备旁路部署时,勾选旁路Reset功能,将允许设备发出TCP Reset报文,从而实现部分安全防护功能。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-5-31 17:57
技术专家4级 
