項目背景：

某單位出口設(shè)備均采用深信服設(shè)備，因為三級等保要求核心設(shè)備冗余，所以出口設(shè)備和各區(qū)域AF都采用雙機部署，下面給出各個設(shè)備部署方式及配置

網(wǎng)絡(luò)拓?fù)?

設(shè)備部署情況

AD：

部署模式：路由部署/雙機熱備

出口加兩個傻瓜交換機，外網(wǎng)先接入交換機再接入AD，外網(wǎng)不直接入AD，否則無法做雙機

1、接口配置

接口IP配置

配置接口的健康檢查

2、內(nèi)網(wǎng)地址段回包路由，指向出口AF

3、業(yè)務(wù)地址段NAT配置

業(yè)務(wù)地址段在此出網(wǎng)

地址轉(zhuǎn)換處無法修改源IP地址配置，需要在“資源管理”—“規(guī)則地址庫”處修改

4、配置主備信息

故障切換條件設(shè)置的內(nèi)網(wǎng)故障時切換、或者兩條外網(wǎng)線路同時故障時切換

出口AF：

部署模式：路由模式/雙機熱備

1、接口配置

配置相應(yīng)接口及區(qū)域

2、路由設(shè)置

由于業(yè)務(wù)和辦公都在出口AF上，所以需要通過源地址策略路由將業(yè)務(wù)和辦公分別指向下一跳

業(yè)務(wù)地址段策略路由

辦公地址段策略路由

3、地址轉(zhuǎn)換

辦公地址段在AF上做NAT轉(zhuǎn)換，都代理為AF接口IP訪問互聯(lián)網(wǎng)，而業(yè)務(wù)地址段NAT在AD上做，無需在此配置

4、策略配置

訪問外網(wǎng)均為全放通策略

5、雙機配置

基本心跳信息配置

雙機熱備

配置同步配置，按需選擇

AC

部署模式：網(wǎng)橋部署/主主模式

1、雙網(wǎng)橋配置，勾選“雙網(wǎng)橋鏈路同步”

2、用戶及策略配置

新增用戶

配置認(rèn)證策略

上網(wǎng)權(quán)限策略

3、雙機主主配置

辦公AF

部署模式：路由部署/雙機熱備

1、接口配置

2、路由配置

因為要上公網(wǎng)，所以需要將默認(rèn)路由指向出口AF

3、策略配置

4、雙機配置

雙機配置和出口AF一致，不在贅述了，主要主要需要修改網(wǎng)口監(jiān)控和鏈路監(jiān)控的配置

業(yè)務(wù)AF

部署模式：透明部署/雙機熱備

業(yè)務(wù)交換機和核心交換機直接對接，業(yè)務(wù)交換機默認(rèn)路由指向核心交換機，AF做透明部署安全防護(hù)

1、接口配置

2、策略配置

3、雙機配置

雙機配置如上AF一致，透明部署的雙機熱備無需配置接口鏈路監(jiān)控