配置出口双机设备(深信服厂商举例)
项目背景:
某单位出口设备均采用深信服设备,因为三级等保要求核心设备冗余,所以出口设备和各区域AF都采用双机部署,下面给出各个设备部署方式及配置
网络拓扑:
设备部署情况
AD:
部署模式:路由部署/双机热备
出口加两个傻瓜交换机,外网先接入交换机再接入AD,外网不直接入AD,否则无法做双机
1、接口配置
接口IP配置
配置接口的健康检查
2、内网地址段回包路由,指向出口AF
3、业务地址段NAT配置
业务地址段在此出网
地址转换处无法修改源IP地址配置,需要在“资源管理”—“规则地址库”处修改
4、配置主备信息
故障切换条件设置的内网故障时切换、或者两条外网线路同时故障时切换
出口AF:
部署模式:路由模式/双机热备
1、接口配置
配置相应接口及区域
2、路由设置
由于业务和办公都在出口AF上,所以需要通过源地址策略路由将业务和办公分别指向下一跳
业务地址段策略路由
办公地址段策略路由
3、地址转换
办公地址段在AF上做NAT转换,都代理为AF接口IP访问互联网,而业务地址段NAT在AD上做,无需在此配置
4、策略配置
访问外网均为全放通策略
5、双机配置
基本心跳信息配置
双机热备
配置同步配置,按需选择
AC
部署模式:网桥部署/主主模式
1、双网桥配置,勾选“双网桥链路同步”
2、用户及策略配置
新增用户
配置认证策略
上网权限策略
3、双机主主配置
办公AF
部署模式:路由部署/双机热备
1、接口配置
2、路由配置
因为要上公网,所以需要将默认路由指向出口AF
3、策略配置
4、双机配置
双机配置和出口AF一致,不在赘述了,主要主要需要修改网口监控和链路监控的配置
业务AF
部署模式:透明部署/双机热备
业务交换机和核心交换机直接对接,业务交换机默认路由指向核心交换机,AF做透明部署安全防护
1、接口配置
2、策略配置
3、双机配置
双机配置如上AF一致,透明部署的双机热备无需配置接口链路监控