配置出口双机设备(深信服厂商举例)

项目背景:

某单位出口设备均采用深信服设备,因为三级等保要求核心设备冗余,所以出口设备和各区域AF都采用双机部署,下面给出各个设备部署方式及配置

网络拓扑:

图片[1]-配置出口双机设备(深信服厂商举例)-云计算运维

设备部署情况

AD:

部署模式:路由部署/双机热备

出口加两个傻瓜交换机,外网先接入交换机再接入AD,外网不直接入AD,否则无法做双机

1、接口配置
图片[2]-配置出口双机设备(深信服厂商举例)-云计算运维

接口IP配置

图片[3]-配置出口双机设备(深信服厂商举例)-云计算运维

配置接口的健康检查

2、内网地址段回包路由,指向出口AF
图片[4]-配置出口双机设备(深信服厂商举例)-云计算运维
3、业务地址段NAT配置

业务地址段在此出网

图片[5]-配置出口双机设备(深信服厂商举例)-云计算运维

地址转换处无法修改源IP地址配置,需要在“资源管理”—“规则地址库”处修改

图片[6]-配置出口双机设备(深信服厂商举例)-云计算运维
4、配置主备信息

故障切换条件设置的内网故障时切换、或者两条外网线路同时故障时切换

图片[7]-配置出口双机设备(深信服厂商举例)-云计算运维

出口AF:

部署模式:路由模式/双机热备

1、接口配置

配置相应接口及区域

图片[8]-配置出口双机设备(深信服厂商举例)-云计算运维
2、路由设置

由于业务和办公都在出口AF上,所以需要通过源地址策略路由将业务和办公分别指向下一跳

图片[9]-配置出口双机设备(深信服厂商举例)-云计算运维

业务地址段策略路由

图片[10]-配置出口双机设备(深信服厂商举例)-云计算运维

办公地址段策略路由

3、地址转换

办公地址段在AF上做NAT转换,都代理为AF接口IP访问互联网,而业务地址段NAT在AD上做,无需在此配置

图片[11]-配置出口双机设备(深信服厂商举例)-云计算运维
4、策略配置

访问外网均为全放通策略

图片[12]-配置出口双机设备(深信服厂商举例)-云计算运维
5、双机配置
图片[13]-配置出口双机设备(深信服厂商举例)-云计算运维

基本心跳信息配置

图片[14]-配置出口双机设备(深信服厂商举例)-云计算运维

双机热备

图片[15]-配置出口双机设备(深信服厂商举例)-云计算运维

配置同步配置,按需选择

AC

部署模式:网桥部署/主主模式

1、双网桥配置,勾选“双网桥链路同步”
图片[16]-配置出口双机设备(深信服厂商举例)-云计算运维
2、用户及策略配置
图片[17]-配置出口双机设备(深信服厂商举例)-云计算运维

新增用户

图片[18]-配置出口双机设备(深信服厂商举例)-云计算运维

配置认证策略

图片[19]-配置出口双机设备(深信服厂商举例)-云计算运维

上网权限策略

3、双机主主配置
图片[20]-配置出口双机设备(深信服厂商举例)-云计算运维

办公AF

部署模式:路由部署/双机热备

1、接口配置
图片[21]-配置出口双机设备(深信服厂商举例)-云计算运维
2、路由配置
图片[22]-配置出口双机设备(深信服厂商举例)-云计算运维

因为要上公网,所以需要将默认路由指向出口AF

3、策略配置
图片[23]-配置出口双机设备(深信服厂商举例)-云计算运维
4、双机配置

双机配置和出口AF一致,不在赘述了,主要主要需要修改网口监控和链路监控的配置

业务AF

部署模式:透明部署/双机热备

业务交换机和核心交换机直接对接,业务交换机默认路由指向核心交换机,AF做透明部署安全防护

1、接口配置
图片[24]-配置出口双机设备(深信服厂商举例)-云计算运维
2、策略配置
图片[25]-配置出口双机设备(深信服厂商举例)-云计算运维
3、双机配置

双机配置如上AF一致,透明部署的双机热备无需配置接口链路监控

图片[26]-配置出口双机设备(深信服厂商举例)-云计算运维
© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容