行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.18
{{sendMatomoQuery("行为管理AC","路由模式选路")}}

路由模式选路

更新时间:2022-01-18

用户分公司在地市出口使用AC,分公司内网员工有访问省公司内网应用的需求,分公司AC和总部省公司出口设备连接了VPN,同时分公司和省公司连接了专线,现希望专线正常时分公司访问省公司应用走专线,当专线断开的时候,分公司访问总公司应用自动切换到VPN线路。

设备路由模式部署,有两条外网线路一条外网线路用于连接VPN,另外一条专线连接总部。

前置条件

  1. AC最少有两条外网线路,一条用于连接VPN,一条用于连接专线。
  2. 分支内网的网段,以及需要访问的总部内网网段要了解,清楚分支和总部的整体部署,总部哪台设备用来提供VPN对接,专线连接总部哪台设备哪个网口。
  3. 确认总部VPN设备是我们公司自己的VPN设备还是第三方VPN设备,如果是我们自己的VPN设备总部要事先创建好VPN账号供分支VPN连接;如果总部是第三方VPN要知道第三方VPN第一阶段第二阶段对接的相关参数。

预期效果

专线和VPN连接正常时,分支访问总部应用优先走专线,专线断切换走VPN线路。

操作步骤

  1. 将部署模式配置为路由模式,并且配置好内外网口,以及两条外网线路的地址。

2.静态路由配置。如果分支内网是三层环境,还需要添加内网的回包路由网关指向内网的三层交换机。此环境中内网是二层环境无需添加静态路由。

3.配置VPN连接管理连接总部VPN设备。

4.配置完成VPN连接成功可以看到VPN连接成功,总部内网网段的路由指向VPNTUN口。

说明:如果总部VPN设备是第三方VPN产品,非我们自己公司的VPN设备同样是支持的,但是此时配置VPN时要配置第三方VPN对接,并且总部VPN设备或者总部网络要支持分支内网访问总部应用走专线时,总部要从专线回包到分支内网;分支内网访问总部应用走VPN时,总部要从VPN回包到分支内网。

5.配置链路负载,在[对象定义/IP组/IP组列表]栏中定义分支AC内网的IP范围段以及总部的范围段。

6.在[流量管理/链路负载]新增VPN专线备份的多线路负载均衡路由。

7.配置两条外网线路的线路故障检测。

说明:线路故障检测,有DNS解析和ping两种链路状态监测方法,可以自行选择:
1.Ping和DNS检测任意一个不通了,则认为不通了。
2.Ping和DNS里可以填多个地址;多个地址之间是或的关系有一个成功即成功。
3.自动检测,表示是否开启了自动检测。如果不开启自动检测,那么只要网口有电,就认为网络是通的。

8.配置总部VPN。总部VPN设备一般事先已经上架好了、部署设置和路由都是配置好的这里以AC的设备来截图配置。

9.检查部署模式,部署模式配置网关模式,有两条外网线路。线路2是专线,连接分支AC。

10.由于此处AC为内网二层环境,没有配置静态路由。配置总部VPN服务端监听的地址和端口并创建账号。

11.在总部AC的[系统管理/对象定义/IP地址库/IP组]定义总部内网IP地址端以及分支的IP 地址段。

12.在[流量管理/链路负载/优先负载策略]中配置优先负载策略。

说明:
1.总部设备可以是深信服VPN设备也可以是第三方VPN设备,分支专线连接总部可以连接总部VPN设备也可以连接到总部内网其它设备,但是总部要保证,分支内网访问总部应用的数据走专线时总部的回包也从专线回包,分支内网访问总部应用的数据走VPN时总部也会从VPN回包。总部要配置好相关的策略路由或者选路规则。
2.总部配置好选路策略后也可以实现,总部访问分支内网优先走专线,专线断开走VPN线路。

13.验证选路效果。

AC内网测试总部内网的应用正常走专线,查看AC VPN确认有没有流量,正常情况下是没有流量的。

IMG_256

拔掉ETH1口的专线,此使数据切换至VPN线路。再次查看VPN链路上是否有数据。

说明:尽量选择不同的应用做拔线切换的测试,如专线正常前测试的是http://172.18.1.10,那么专线断开后可以测试其他服务器的应用。如果拔线切换前后测试的是同一应用那么断开当前应用重新测试。