本帖最后由 钉子户 于 2022-9-20 10:59 编辑
项目背景:
某个项目中需要使用AF替换客户原有topsec防火墙,和客户了解具体需求和现有网络结构,现有网络是由防火墙做SNAT代理用户上网,dmz区使用端口映射方式提供外网服务。 设备版本:AF 8.0.59版本。
网络拓扑:
实施过程: 网络结构和需求都比较明确,根据规划配置好相应的内外网线路ip、静态路由、出外网策略路由、nat、安全防护策略等配置好即可。唯一需要注意就是原有设备的配置翻译到现有设备,以及配置不要遗漏,歘歘歘一顿操作猛如虎,检查没有问题后协商客户进行割接。上线之后检查互联接口正常,客户端能正常上网,外网的端口映射也正常访问,接下来测试内网到dmz区服务器的访问,浏览器输入对应地址后提示网络无法访问。。。。,Duang,老司机翻车了。 接下来检查网络配置、安全策略,开启直通没有拦截。终端开启路由追踪大法 tracert -d 查看路由走向,发现路由到AF后直接转到公网去了,路由没有走到DMZ区,正常情况应该是到AF后再转DMZ路由。肯定是某个路由策略导致,咨询小伙伴,得到结果是59版本策略路由优先级最高。调整后到DMZ区路由恢复正常。配置位置如下图,把静态路由优先级调整到比策略路由高即可。
总结: 新架构版本如果有配置策略路由和多区域的情况,需要调整路由优先级。
以下是引用AF不同版本路由优先级的描述 截止标准版本AF8.0.48,AF路由默认的优先级是:【直连路由】>【VPN路由】>【静态路由/动态路由】>【策略路由】>【默认路由】 从标准版本AF8.0.51版本开始,AF路由默认的优先级是:【直连路由】>【策略路由】>【VPN路由】>【静态路由/动态路由】>【默认路由】 另外:新架构版本AF8.0.51开始支持自定义路由优先级 修改路径如下: 【系统】-【通用设置】-【网络参数】里的路由优先级设置里自定 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-9-21 11:56
技术员3级 
