【原创分享】Xsec等保一体机AC组件旁路部署问题及解决方案

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与分享，共计发放奖励60000+“

---

用户需求：

用户购买我们Xsec主要需求是做审计。数据库审计、日志审计、上网审计等。因此需要采用旁路镜像部署方式部署再网络中。且用户希望能通过管理网络直接登陆组件，不通过Xsec平台进行跳转。

部署场景：

AC组件旁路镜像部署，审计上网流量。Xsec总共接了3根线，一根是平台管理口，一个是组件管理口，一个是镜像口。

Xsec隐藏管理网络拓扑：

我们Xsec平台中存在一个8.8.0.0的平台内置管理网段，所有组件被创建都会默认配置一个8.8.0.0段的管理IP地址。用来作为Xsec平台管理组件使用。平时是隐藏的，可以点击显示管理网络显示出来

Xsec显示管理网络拓扑：

我们Xsec平台中的AC为了适配此管理网段，强制将DMZ口做了限制，配置AC部署策略时，若修改默认管理口会提示以下报错，无法定义组件带外管理口。AC的管理口被CSSP强制定义，无法自定义修改：

因此，下图标出的配置无法自定义修改

由于带外AC默认的管理口受到Xsec平台限制，只能配置系统默认地址。因此只能新增一个接口，作为AC组件的带外管理口使用

并且添加默认路由：

问题现象：

用户经常无法连接AC的带外管理IP

原因分析：

但由于Xsec平台中的AC组件部署过程中，强制了一条网关配置：

加上用户配置的默认路由，会出现两条默认路由，且这2条默认路由的优先级会经常变化，

当用户配置的AC带外管理段的默认路由生效时，用户可正常通过网络访问到AC

当Xsec平台强制的默认路由生效时，用户的从带外管理口发来的请求会被AC扔到Xsec某公司网段，无法正常回包，导致客户无法正常访问AC组件带外管理IP

解决方法：

将默认路由修改为静态路由，目的地址为需要登陆AC带外管理口的用户IP段，下一条为管理网段网关即可，避免默认路由冲突。

PS：之前想过很多花里胡哨的解决办法，什么修改AC默认路由规则，修改Xsec平台限制。Xsec新建路由器写策略路由……

最后发现还是直接写静态路由好用

感谢您的分享，xsec平台和组件通信是通过8.8.x.x网段进行的。此为内部通信网段，配置明细路由是比较简单的方式，同时调整AC部署模式来修改默认路由会导致无法单点登录，可以通过HCI登录设备，还原8.8.x.x的配置恢复单点登录。期待您更多的分享

您好，您的文章已被收录到原创分享计划并放到技术博客中，以便让更多的小伙伴们关注和学习，文章将交由专家评审小组评审，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！
发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=120679

学习学习。。。。。

不错不错，挺详细 的

给力给力

不错不错，挺详细 的

不错，详细 的，学习

学习了，谢谢分享！

感谢分享，学习。

感谢分享