第一次配置深信服的上网行为管理,是在2005年,距今已经十几年了,期间多次配置过深信服的防火墙及上网行为管理设备,就是没怎么配过路由器。品牌见多了,所以配置当然不难,只是找到远程管理却费了5分钟时间,哈哈。
个人认为,深信服最擅长的还是上网行为管理,所以,平时推荐、调试深信服路由器的机会并不多;这次是帮同行远程调试深信服的路由器,所以特地写一篇文章来记录,分享给需要的朋友。
1、选择路由器部署模式;
在本例中,深信服路由器型号为:SDW-R-B1100D,软件版本为:SDW-R 4.0 40,部署在出口处,所以部署模式为:网关模式;
然后将GE0和GE1设置为Lan口,GE3设置为Wan口,连接光猫,其他接口备用,等待其他链路接入后再作配置。
2、配置Lan接口;
根据网络规划,配置局域网接口IP,这个IP地址将是局域网内客户端的网关IP。
3、配置Wan接口;
根据运营商提供的信息,填写Wan口的配置,本例中是专线网线,所以有固定的IP地址,如果是普通宽带,就选择“ADSL拨号”,然后输入宽带账号密码即可;
注意,如果只有一条链路,不必启用线路故障自动检测,检测了也没用,又没得切换,如果有两条以上的链路,那应该勾选此项,以便于故障时自动切换;
上下行带宽,根据实际情况,必须如实填写,否则无法配置正确的流控。
4、配置代理上网;
这没什么好说的,就是配置SNAT(源NAT)——内网客户端上网的NAT。
源接口是Lan,目的接口当然是Wan,将源IP转换为目的接口IP。
5、配置端口映射;
企业内部总有需要提供给外部的服务,所以端口映射基本上是常规操作了,不可或缺;
名称随意,自己能看懂就行,源接口是Wan,源线路是GE3,目前只有这一条,源IP为所有IP,意思是不限制公网的源IP;
目的IP是运营商给的、前面已经配置在Wan口的IP地址;
转换后的数据包:目的IP是指内部服务器的IP地址,目的端口是该服务器所提供服务的端口,在本例中,有一台WEB服务器需要映射到公网,所以目的端口为443。
6、DHCP服务的配置
注意,这里只是顺便展示一下深信服路由器的DHCP服务配置方法,并不是本例真实配置;
默认网关就是路由器Lan接口IP,DNS服务器选择运营商提供的地址,IP范围为1-254,下面可以设置保留和绑定的IP地址。
7、允许远程维护
远程维护在所难免,默认没有开启,所以需要手动开启,可以设置为启用24小时,也可以“长期启用”。
藏得比较好,要在“防火墙”的“本机规则设置”中才能找到配置远程维护的配置项。
8、修改远程维护端口;
默认的维护端口为443,显然未经备案的情况下,在公网是无法通过80和443端口进行远程维护的,所以必须修改https服务端口;
9、备份配置文件
好不容易配置完了,别忘记保存配置,然后下载一份配置文件,以备不时之需。
以上只是深信服路由器的基础配置,既然称为安全智能路由器,肯定还有安全方面的配置,诸如:访问控制策略、防DOS攻击、流量管理、防火墙等高端功能,待以且有机会再细说吧。