本帖最后由 阿翔 于 2023-1-9 15:33 编辑
今天给带来最近实施上线的网闸路由部署,主要是设备的配置和实施过程中遇到的问题及解决方式。 客户的需求: 1.外网的192.168.18-20网段(简称外网)需要访问内网的OSM堡垒机10.96.197.x/27的设备,通过堡垒机跳转访问业务服务器。 2.外网需要访问内网专线上云的业务,其中需要将外网过来的地址转换成内网地址。 3.外网还需要访问内网的设备网,设备网主要是哑终端的服务器,获取服务器的数据。 4.客户这边没有提供目的地址的端口,也不知道需要放通哪里端口,这里是tcp/upd全放通。 接下来提供截图,并根据客户的需求,一步步讲解: 一、客户整体网络拓补图
二、GAP部署基础配置
网闸模式设置-选择路由部署
GAP内外网络接口配置-内外网接口ip地址配置
开启多接口管理,方便内网中可以管理到网闸设备
三、网闸功能配置
网络对象配置,并将网络创建成对象组
应用配置,并创建应用组,这里客户没有相关的端口信息,因此全放通,icmp是必须配置,否则无法进行ping测试,对后期的排障无法进行。
设置网闸策略运行时间
配置网闸安全通道,根据接的外网口和内网口,设置相应的安全通道
配置相关的规则策略,只有放行的ip才能通过网闸
配置完成,查看相关的放通策略
四、网闸配置上线完成后,还需要在相关的设备上写回包路由,指向相关的接口。
内网的访问需要在核心设备上写目的ip的路由指向防火墙内网接口,防火墙在写路由指向网闸的内网接口。
外网的访问需要在核心设备上写相同目的ip指向网闸外网接口,没有添加路由,则无法访问。
五、需求中还有还有一个外网访问他们云专线的需要将外网ip转换成内网ip。
在这里遇到一个问题,就是由于配置的过程中勾选了隐藏源ip,导致这条策略一直匹配不到,后来通过,设备上的抓包分析,发现都是1.0.0.254这个ip地址,后来问了小助手,说这个ip是网闸内部的地址,然后查看接口配置时,发现这个隐藏源ip的选择,去掉了这个选择后,就能正常匹配相关的策略。
六、测试
数据包已经走向云专线,由于云上也有相关的acl控制,需要放通相关的ip,才能继续访问到,此权限客户申请后,测试链接,能正常获取到相关到的数据。 到这里,整体部署完成。 |