本文将指导您AF硬件引流设备在网桥模式或网关模式下快速接入云安全访问服务。
1、正常上架部署 AF。
2、在AF控制台启用引流授权。
3、配置线路,选择出接口和对应运营商。
4、配置引流策略。
5、配置排流策略。
6、在 PC 查看上网 IP 是否为云端 IP 或者在云安全访问服务平台查看用户状态是否在线验证引流是否成功。
在云安全访问服务平台,管理>接入管理>第三方设备获取引流接入码。
注:
1、AF 部署完成后,若需要实现企业 IM 审计,解密 https 加密流量和外设审计与管控,需要在终端 PC 单独安装准入插件(软件客户端安装时自动安装准入插件,无需再次安装)
准入插件下载路径:云安全访问服务平台>接入管理>客户端>下载中心
1、PC 直连 AF 设备的 manage(eth 0)口
2、PC 的 ip 配置为10.251.251.X/24这个网段,可以不用配置网关和 dns
3、在 PC 上的浏览器上输入https://10.251.251.251,进行登录
4、输入用户名和密码即可
1、正常部署上架 AF。
AF网关模式和网桥模式均支持 SASE 引流,且两种部署模式均支持单线路和多线路引流。
注:
需保证 AF 设备能正常访问互联网,与云端通信。
2、在 AF填入云安全访问服务平台获取的引流接入码,启用授权。
3、配置线路。选择出接口和对应运营商。
POP 服务器地址由云端自动下发,并展示在线路配置上。
4、配置引流策略。
策略名称:自定义
源区域:选择内网口所属区域
源地址:配置内网需引流网段
目的地址:选 All
服务:选 any
选路类型:按需选择
选择线路:根据第 3 步创建的线路按需选择
5、配置排流策略。
策略名称:自定义
源区域:选择内网口所属区域
源地址:选 All
目的地址:
内网 IP(必须配置):内网服务器 IP 和内网网段如10.0.0.0/8、172.16.0.0/12、192.168.0.0/16
外网 IP(可选配置):不需要引流的目的公网 IP
服务:选 any
注:
排流策略优先级高于引流策略,一个流量同时匹配到引流、排流策略,最终流量不被引流。排流策略对不引流的流量无影响。
6、验证是否引流成功。
方式一:引流 PC 的上网 IP 变成深信服云节点 IP
方式二:在云安全访问服务平台,接入中心>接入分析>用户状态查看终端在线状态
AF引流不成功排查:
1、查看AF设备接线和配置是否一致。
2、参考上文检查AF配置是否正确。
3、检查AF的下联设备是否有做NAT。
4、检查AF的上联设备是否有UDP泛洪和DDOS策略。
5、检查AF是否开启DDOS、IPS或UDP flood等拦截策略。可在AF开直通测试。
一、AF引流想要做绑定MAC免认证需要注意:
1、截止到24年5月10日,AF只有90版本定制的包才支持跨三层取MAC(高版本需要降版本才支持打定制包)。
2、未来AF95版本会把AF所有功能全部合入(95及以后版本默认支持跨三层取MAC);
3、95版本5月30日K开始灰度,正式版本上线可关注【深信服社区:https://support.sangfor.com.cn/productSoftware/list?product_id=13)
建议使用Chrome浏览器访问!
