标签归档:AC

深信服AC增加备HA口的配置方案

一、现有情况

目前有两台深信服AC使用eth2口作为HA口,使用一根网线互联。

二、本次需求

再增加一根心跳线,启用备HA口,以实现两台AC之间有两根心跳线。

三、实现步骤

操作前备份AC配置!

1、在AC主机A上修改部署模式,将eth3口加入到DMZ口,配置IP地址9.9.9.1/24,然后提交,此时A会重启, B由备机切换成主机,A重启完成后,此时B仍然是主机,A是备机;

2、修改B的部署模式,将eth3口加入到DMZ口,配置IP地址9.9.9.2/24,然后提交,此时B重启,A由备机切换成主机,B重启完成后,仍然是备机;

3、修改A的高可用性配置,将eth3口加入到备HA口,修改HA口的配置会提交重启高可用的进程,一旦进程重启时没有检测到备机,就会切换,一般设置的间隔时间是5秒钟,一般是不会引起主备切换,但是仍有一定几率会引起主备切换,B由备机切换成主机;

4、修改B的高可用性配置,将eth3口加入到备HA口,修改HA口的配置有一定几率会引起主备切换,A由备机切换成主机;

5、将A的eth3口与B的eth3口连接网线,整个过程完成。

四、影响范围

整个过程会发生4次主备切换,每次切换预计30秒左右,会短暂影响业务。

五、回退措施

如果配置后,HA状态异常或者业务中断,则优先恢复业务,回退本次修改的配置,并处理相关问题。

深信服设备限制导致tracert不显示设备地址的说明

现有一网络,拓扑为出口深信服上网行为管理AC,下接深信服防火墙AF,AC的WAN口接公网,AC的LAN口接AF的WAN口,AF的LAN口为内网PC的网关。AC上做NAT代理上网,AF上不启用NAT。现在内网PC上网正常,ping百度也正常,但是tracert百度的时候,第一跳是AF的内网,第二跳第三跳都是星号*,第四跳就是AC的WAN口的网关,就是运营商的地址了。

在防火墙上去traceroute百度,前两跳仍然不显示。继续排查,发现是深信服AC的机制问题。

关于深信服AC跟踪路由不显示的说明如下:

1、AC设备主要用于上网管理和审计,为了避免被内网终端窥探,及出于网络安全考虑,默认不回复跟踪路由的请求,因此跟踪路由时会显示为*号。
2、截止标准版本上网行为管理12.0.42和全网行为管理13.0.7,AC暂不支持界面设置开启tracert显示AC IP地址功能

深信服上网行为管理AC的OID表

zabbix监控深信服上网行为管理AC时,会需要用到上网行为管理的OID,以下就是截止2020年9月,最新的OID表格:

CPU占用率,以百分比为单位1.3.6.1.4.1.33333.1.1.1.0
设备类型(如M5000)1.3.6.1.4.1.33333.1.1.2.0
剩余内存,free+buffers,以KB为单位1.3.6.1.4.1.33333.1.1.3.0 
设备运行时间(UPTIME),以1/100秒为单位。1.3.6.1.2.1.1.3.0
系统描述1.3.6.1.2.1.1.1.0
设备型号1.3.6.1.2.1.1.5.0 
接口数量1.3.6.1.2.1.2.1.0
接口描述信息(不同的x数值代表不同的接口,视设备回复而定)1.3.6.1.2.1.2.2.1.2.x 
接口接收总流量,以Byte为单位(不同的x数值代表不同的接口,视设备回复而定)1.3.6.1.2.1.2.2.1.10.x
接口发送总流量,以Byte为单位(不同的x数值代表不同的接口,视设备回复而定)1.3.6.1.2.1.2.2.1.16.x
接口接口状态(1-up,2-down)(不同的x数值代表不同的接口,视设备回复而定)1.3.6.1.2.1.2.2.1.8.x
接口速率,以10bps为单位(不同的x数值代表不同的接口,视设备回复而定)(查看接口是千兆还是百兆)1.3.6.1.2.1.2.2.1.5.x

关于深信服防火墙AF的OID可查看这篇文章:深信服防火墙AF的OID表https://www.eumz.com/2020-10/2064.html

深信服AC路由模式主备配置说明

深信服AC12.0.7版本后,AC路由模式主备配置的时候DMZ不会同步,也就是主备两台AC可以分别由各自的DMZ口来同时管理。

主备配置步骤如下:
1、主机配置部署模式,WAN口、LAN口、DMZ口,如果需要通过DMZ口管理设备,建议DMZ口配置3个,保留默认的一个eth1口(10.252.252.252/24),还有一个管理口,以及心跳口。

如下图,eth2口心跳口:

2、主机高可用处,配置主机优先级为主,主HA口及对端IP,共享密钥,检测网口组,一般将LAN口配成一组,所有的WAN口配成一组,即LAN口断开会主备机切换,所有WAN口断开也会切换。

主机检测方式也可以不配置,此处配置的是arp和icmp都检测1个WAN口的网关

3、备机部署模式,WAN口、LAN口和主机一样,只有DMZ口不同,也是3个DMZ口,但是管理口地址不同,心跳口地址不同,还有剩下的不接线的eth1口地址也是10.252.252.252

4、备机高可用配置,基本配置也是主HA口、对端IP、共享密钥、检测网口组,备机的检测方式arp、icmp不配置,备机的切换行为、高级配置和主机一样。

深信服AC部分用户从指定线路上网的配置说明

一、现有网络情况
目前深信服AC部署于外网出口处,设备直连一条有固定公网IP的电信线路。有线PC和无线用户都通过该设备访问公网。网络拓扑如下:

二、本次需求
现在增加一条千兆拨号外网线路,希望让部分用户专用的无线网段上网流量从新增的拨号线路出去。新拓扑如下:

三、配置步骤
1、修改深信服AC部署模式,增加WAN2接口的拨号配置
修改模式会导致设备重启

2、配置策略路由
先新增一条源地址为全部、目的地址为全部、目标线路为线路1(固定公网IP的线路)的的策略路由,再新增一条源地址为领导专用的无线网段、目的地址为全部、目标线路为线路2(拨号的线路)的策略路由,将此条策略路由放置在最上面即可。

深信服AC流控模块中平均分配的含义

深信服上网行为管理设备AC在以前版本的流控配置中,一直有平均分配和自由竞争这个模块,只是自由竞争是灰色的,只能默认的平均分配,如下图所示:

这个模块是多余的,因为并不能选择自由竞争。这里的平均分配的含义,比如当前2个用户的数据包同时到AC,先到的先发1个包,2个人进行轮换发包,新用户会排到后面,然后开始一轮的轮换
,得出1秒里的平均流速总和,这个时间和设备转发的效率有关,并且这个平均分配和流控关系不大,在新版本里已经将该处删除了。

这个模块没有意义,过去设想的自由竞争仍然没有做出,这里的选项(其实灰色也不可选择)反而会给用户造成困扰。

深信服AC界面危险操作一览表

汇总了一些会引起设备重启,服务重启,用户掉线、断网的界面操作。
在调试设备时,注意规避或提前做好准备。

产品线 主模块 一级子模块 二级子模块 对应操作 高危风险说明
AC 系统管理 防火墙 端口映射 进行全映射(包括内网口全映射) 导致从相应网口登录不上设备
AC 防火墙 代理上网 更改或删除代理上网规范 导致内网断网
AC 系统配置 系统时间 修改时间配置(包括同步配置) 重启所有服务。提交时设备界面有提示
AC 备份配置/恢复 全局配置备份 恢复备份的配置并勾选了恢复网络配置 重启设备,还原之前的配置。提交时设备界面有提示
AC 备份配置/恢复 全局配置备份 恢复出厂设备 重启设备,恢复出厂设备。提交时设备界面有提示
AC 高级配置 远程维护 开启远程维护 可以从公网登录设备webui控制台
AC 系统诊断 上网故障排除 全局开启直通 所有策略失效,导致流量过高,登录不上设备的风险(11.x开直通的时候,流控功能不生效,可以勾选“流量控制模块不直通)
AC 高级配置 全局排除 配置全局排除 全局排除的地址上网策略/流控策略失效
AC 系统诊断 重启操作 重启网关 重启设备
AC 系统诊断 重启操作 重启服务 重启所有服务
AC 安全防护 防DOS攻击 防DOS攻击 内网三层环境,但是勾选了“内网到本设备间通过一台/多台二层交换机直接相连,没有跨越任何的三层交换设备” 导致内网断网
AC 网络配置 部署模式 部署模式 修改部署模式信息的配置,并点击提交 重启所有服务【操作完成之后,设备界面有提示】
AC 静态路由 静态路由 修改路由配置 导致内网断网
AC 网口配置 网口配置 更改协商模式、修改网口地址、dns等 存在协商不起来导致内网断网的风险
AC 策略管理 上网策略 上网权限策略 禁止所有应用,所有用户上网 导致内网断网
AC 上网策略 上网权限策略 应用控制和端口控制做了全局拒绝上网,就会被拒绝 导致用户无法上网,做全部拒绝的策略时请谨慎考虑
AC 上网策略 准入策略 开启准入策略 未安装好准入控件,会导致内网关联准入策略的用户断网
AC 用户认证与管理 用户认证 认证策略 设置用户(或IP)与mac地址进行绑定时 未配置好跨三层mac地址识别,会导致内网用户断网
AC 用户管理 用户绑定 设置用户(或IP)与mac地址进行绑定时 未配置好跨三层mac地址识别,会导致内网用户断网
AC 更改协商模式 ip/mac绑定 设置用户(或IP)与mac地址进行绑定时 未配置好跨三层mac地址识别,会导致内网用户断网
AC 用户认证 认证策略 新增认证方式为“不允许认证(禁止上网)”的策略 需要查看匹配顺序,如果顺序在最上面,则会导致内网的用户均无法认证,出现断网的情况;认证策略是自上往下匹配的,若有用户命中这条策略,该用户会因为无法通过认证而断网;
AC 认证高级选项 安装SSL识别根证书 针对于内网的网段启用推送安装ssl根证书的功能,并且勾选了“对80端口的HTTP请求强制重定向到证书安装页面” 如果没有安装好根证书,则会导致内网的用户打开网页重定向安装页面,出现打不开网站的情况
AC 终端接入管理 共享接入管理 共享接入管理 开启“配置选项”中的自动冻结功能 若允许无线上网的用户,没有加入排除列表,会导致该用户无法上网;
若公司的无线是nat环境,会导致全部的无线用户断网;
AC 升级 升级 升级 对设备软件版本进行升级操作 需要告知升级风险,建议从界面上备份配置(会重启设备,导致通过设备的流量无法传输或者是内网断网,并且升级也是有一定风险的)
AC 对象定义 自定义应用 自定义应用 新增自定义应用 如果定义的是所有端口、所有地址,并且勾选了自定义应用优先,则会导致都匹配到这个应用,会导致内网策略不生效,甚至断网
AC VPN配置 连接管理 连接管理 新增/编辑  连接管理的配置 会导致VPN服务重启,断开VPN服务
AC 虚拟IP池 虚拟IP池 新增/编辑  虚拟IP池 会导致VPN服务重启,断开VPN服务
AC 多线路设置 多线路设置 新增/编辑  多线路设置 会导致VPN服务重启,断开VPN服务
AC 多线路选路策略 多线路选路策略 新增/编辑  多线路选路策略 会导致VPN服务重启,断开VPN服务
AC 本地子网列表 本地子网列表 新增/编辑  本地子网列表 会导致VPN服务重启,断开VPN服务
AC 高级设置 VPN接口设置 新增/编辑  VPN接口设置 会导致VPN服务重启,断开VPN服务

深信服AC设备放行定制版QQ及实现只允许访问某邮箱地址的方法

某用户部署一台深信服AC设备,做网桥模式配置,现有两个需求,需求如下:
需求一、需将内网中的定制版QQ放行
需求二、只允许访问某邮箱地址mail.xxx.com,其他所有应用,网页都进行阻止

对于需求一的实现方法:
1、深信服AC开启直通,使用定制版QQ软件,查看直通日志,获取该QQ软件连接的服务器的地址;
2、在系统配置中,全局排除地址的自定义排除地址,添加刚才获取的该QQ软件连接的服务器的地址,并提交生效,即可实现该需求
如下图所示:
定制版QQ全局排除地址

对于需求二的实现方法:
在上网权限策略——应用控制中,将该邮箱相关的选项都选择并允许,将SSL协议选中并允许,在URL分类库中新增URL类型,加入*.xxx.com,并将该URL类型,增加到相关的上网权限策略中,将相关策略关联给相应用户即可。