|
第一次配置深信服的上網(wǎng)行為管理,是在2005年,距今已經(jīng)十幾年了,期間多次配置過深信服的防火墻及上網(wǎng)行為管理設(shè)備,就是沒怎么配過路由器。品牌見多了,所以配置當(dāng)然不難,只是找到遠(yuǎn)程管理卻費了5分鐘時間,哈哈。 個人認(rèn)為,深信服最擅長的還是上網(wǎng)行為管理,所以,平時推薦、調(diào)試深信服路由器的機會并不多;這次是幫同行遠(yuǎn)程調(diào)試深信服的路由器,所以特地寫一篇文章來記錄,分享給需要的朋友。
1、選擇路由器部署模式; 在本例中,深信服路由器型號為:SDW-R-B1100D,軟件版本為:SDW-R 4.0 40,部署在出口處,所以部署模式為:網(wǎng)關(guān)模式; 然后將GE0和GE1設(shè)置為Lan口,GE3設(shè)置為Wan口,連接光貓,其他接口備用,等待其他鏈路接入后再作配置。
2、配置Lan接口; 根據(jù)網(wǎng)絡(luò)規(guī)劃,配置局域網(wǎng)接口IP,這個IP地址將是局域網(wǎng)內(nèi)客戶端的網(wǎng)關(guān)IP。
3、配置Wan接口; 根據(jù)運營商提供的信息,填寫Wan口的配置,本例中是專線網(wǎng)線,所以有固定的IP地址,如果是普通寬帶,就選擇“ADSL撥號”,然后輸入寬帶賬號密碼即可;
注意,如果只有一條鏈路,不必啟用線路故障自動檢測,檢測了也沒用,又沒得切換,如果有兩條以上的鏈路,那應(yīng)該勾選此項,以便于故障時自動切換; 上下行帶寬,根據(jù)實際情況,必須如實填寫,否則無法配置正確的流控。
4、配置代理上網(wǎng); 這沒什么好說的,就是配置SNAT(源NAT)——內(nèi)網(wǎng)客戶端上網(wǎng)的NAT。 源接口是Lan,目的接口當(dāng)然是Wan,將源IP轉(zhuǎn)換為目的接口IP。
5、配置端口映射; 企業(yè)內(nèi)部總有需要提供給外部的服務(wù),所以端口映射基本上是常規(guī)操作了,不可或缺; 名稱隨意,自己能看懂就行,源接口是Wan,源線路是GE3,目前只有這一條,源IP為所有IP,意思是不限制公網(wǎng)的源IP; 目的IP是運營商給的、前面已經(jīng)配置在Wan口的IP地址; 轉(zhuǎn)換后的數(shù)據(jù)包:目的IP是指內(nèi)部服務(wù)器的IP地址,目的端口是該服務(wù)器所提供服務(wù)的端口,在本例中,有一臺WEB服務(wù)器需要映射到公網(wǎng),所以目的端口為443。
6、DHCP服務(wù)的配置 注意,這里只是順便展示一下深信服路由器的DHCP服務(wù)配置方法,并不是本例真實配置; 默認(rèn)網(wǎng)關(guān)就是路由器Lan接口IP,DNS服務(wù)器選擇運營商提供的地址,IP范圍為1-254,下面可以設(shè)置保留和綁定的IP地址。
7、允許遠(yuǎn)程維護 遠(yuǎn)程維護在所難免,默認(rèn)沒有開啟,所以需要手動開啟,可以設(shè)置為啟用24小時,也可以“長期啟用”。 藏得比較好,要在“防火墻”的“本機規(guī)則設(shè)置”中才能找到配置遠(yuǎn)程維護的配置項。
8、修改遠(yuǎn)程維護端口; 默認(rèn)的維護端口為443,顯然未經(jīng)備案的情況下,在公網(wǎng)是無法通過80和443端口進(jìn)行遠(yuǎn)程維護的,所以必須修改https服務(wù)端口;
9、備份配置文件 好不容易配置完了,別忘記保存配置,然后下載一份配置文件,以備不時之需。
以上只是深信服路由器的基礎(chǔ)配置,既然稱為安全智能路由器,肯定還有安全方面的配置,諸如:訪問控制策略、防DOS攻擊、流量管理、防火墻等高端功能,待以且有機會再細(xì)說吧。 |
|
|
