现有两台深信服防火墙,部署在公网出口,做HA,有电信、联通两条运营商线路,拓扑大概如下:
用户为了防止单台接入交换机故障,所以增加一台接入交换机,并且这两台接入交换机做堆叠。
交换机1的1口接电信线路,2口和3口做聚合,配置trunk,仅允许vlan100、vlan200通过,2口连接主防火墙的1口,3口连接备防火墙的1口。交换机2的1口接联通线路,2口和3口做聚合,配置trunk,仅允许vlan100、vlan200通过,2口连接主防火墙的5口,3口连备防火墙的5口。
主防火墙的1口和5口配置聚合口,二层透明口,新建vlan100配置电信公网IP地址,vlan200配置联通公网IP地址。2口、3口做聚合分别接下面两台核心交换机,4口为HA口连接备防火墙,备防火墙也做相同的连线方法。
下面两台核心交换机做堆叠,聚合模式要与防火墙的接口聚合模式一致。
防火墙上配置策略路由,第一条电信走电信,第二条联通走联通,第三条轮询,也可再配置一条走电信的默认路由,以防止策略路由失效。再配置代理上网,做放通策略,再配置用户防护策略和业务防护策略,再开启相关日志。
现有两台深信服防火墙,部署在公网出口,做HA,有电信、联通两条运营商线路,拓扑大概如下:
接入交换机上1口接电信线路,2口接联通线路,3口接主防火墙的1口,4口接主防火墙的2口,5口接备防火墙的1口,6口接备防火墙的2口。交换机的1口、3口、5口属于vlan100,2口、4口、6口属于vlan200。
主防火墙1口配置电信公网IP,2口配置联通公网IP,3口和4口做聚合,分别接下面两台交换机,5口为HA口连接备防火墙,备防火墙的网口也做相同的接线方法。
下面两台核心交换机做堆叠,聚合模式要与防火墙的接口聚合模式一致。
防火墙上配置策略路由,也可再配置一条走电信的默认路由,以防止策略路由失效。
一、现有网络情况
目前深信服AC部署于外网出口处,设备直连一条有固定公网IP的电信线路。有线PC和无线用户都通过该设备访问公网。网络拓扑如下:
二、本次需求
现在增加一条千兆拨号外网线路,希望让部分用户专用的无线网段上网流量从新增的拨号线路出去。新拓扑如下:
三、配置步骤
1、修改深信服AC部署模式,增加WAN2接口的拨号配置
修改模式会导致设备重启
2、配置策略路由
先新增一条源地址为全部、目的地址为全部、目标线路为线路1(固定公网IP的线路)的的策略路由,再新增一条源地址为领导专用的无线网段、目的地址为全部、目标线路为线路2(拨号的线路)的策略路由,将此条策略路由放置在最上面即可。
