项目背景：

某单位出口设备均采用深信服设备，因为三级等保要求核心设备冗余，所以出口设备和各区域AF都采用双机部署，下面给出各个设备部署方式及配置

网络拓扑:

设备部署情况

AD：

部署模式：路由部署/双机热备

出口加两个傻瓜交换机，外网先接入交换机再接入AD，外网不直接入AD，否则无法做双机

1、接口配置

接口IP配置

配置接口的健康检查

2、内网地址段回包路由，指向出口AF

3、业务地址段NAT配置

业务地址段在此出网

地址转换处无法修改源IP地址配置，需要在“资源管理”—“规则地址库”处修改

4、配置主备信息

故障切换条件设置的内网故障时切换、或者两条外网线路同时故障时切换

出口AF：

部署模式：路由模式/双机热备

1、接口配置

配置相应接口及区域

2、路由设置

由于业务和办公都在出口AF上，所以需要通过源地址策略路由将业务和办公分别指向下一跳

业务地址段策略路由

办公地址段策略路由

3、地址转换

办公地址段在AF上做NAT转换，都代理为AF接口IP访问互联网，而业务地址段NAT在AD上做，无需在此配置

4、策略配置

访问外网均为全放通策略

5、双机配置

基本心跳信息配置

双机热备

配置同步配置，按需选择

AC

部署模式：网桥部署/主主模式

1、双网桥配置，勾选“双网桥链路同步”

2、用户及策略配置

新增用户

配置认证策略

上网权限策略

3、双机主主配置

办公AF

部署模式：路由部署/双机热备

1、接口配置

2、路由配置

因为要上公网，所以需要将默认路由指向出口AF

3、策略配置

4、双机配置

双机配置和出口AF一致，不在赘述了，主要主要需要修改网口监控和链路监控的配置

业务AF

部署模式：透明部署/双机热备

业务交换机和核心交换机直接对接，业务交换机默认路由指向核心交换机，AF做透明部署安全防护

1、接口配置

2、策略配置

3、双机配置

双机配置如上AF一致，透明部署的双机热备无需配置接口链路监控