深信服防火墙&第三方VPN配置记录

前情提要

我们目前拥有一台深信服AF-1000防火墙,需要与合作伙伴提供的飞塔FORTIGATE-81E防火墙配合使用,以实现我们的互联网接入至加速平台的配置。

在此,其他功能性需求将不予详述,本文主要记录相应的配置方案。

深信服AF-1000配置

网络--》接口--》物理接口

eth1

此处内容需要 回复 后才能查看

eth2

此处内容需要 回复 后才能查看

eth3

此处内容需要 回复 后才能查看

网络--》路由--》策略路由

策略1:DNS

此处内容需要 回复 后才能查看

策略2:默认本地线路

此处内容需要 回复 后才能查看

策略3:国际专线

此处内容需要 回复 后才能查看

在这次过程中,我遇到了两个意料之外的问题。首先是DNS污染,这个问题就不展开讨论了,相关信息可以通过百度搜索了解其原理和解决方案,简单来说,就是更换DNS

接下来,重点讨论分流问题。我们有两个及以上的固定场所需要通过VPN线路访问网络,鉴于预算限制,我们考虑共享一个出口。

最初,我计划在合作伙伴的VPN设备上进行分流,但这里存在一个难题:所有数据都需要经过他们的设备,这无疑会影响效率和性能。然而,领导建议在防火墙上实现分流。经过研究,我们发现可以通过目标国家/地区来进行分流。

在实施过程中,我们最初采用了常规思路,即先区分国际和国内数据,将目标地址设置为除了中国大陆以外的所有选项。理论上这是可行的,但实际上我们无法确保深信服防火墙的地址库完全准确。因此,我们调整了策略,先将默认线路设置为国内,对于不符合条件的流量,再转向国际专线。

Tip:

全方位查询您的IP地址:https://ip111.cn/
测速:https://www.speedtest.net/
THE END
分享
二维码
打赏
海报
深信服防火墙&第三方VPN配置记录
前情提要 我们目前拥有一台深信服AF-1000防火墙,需要与合作伙伴提供的飞塔FORTIGATE-81E防火墙配合使用,以实现我们的互联网接入至加速平台的配置。 在此,其……
<<上一篇
下一篇>>