深信服防火墙路由接口配置案例

深信服防火墙路由接口配置案例

路由接口的典型应用环境是将SANGFOR NGAF 设备以路由模式部署在公网出口，代理内网上网，像一个路由器一样部署在网络中，如下图所示：

配置案例：某用户网络是跨三层的环境，购买NGAF 设备打算部署在公网出口，代理内网用户上网，公网线路是光纤接入固定分配IP 的。

第一步：通过管理口(ETH0) 的默认IP 登录设备。管理口的默认IP 是10.251.251.251/24 ，在计算机上配置一个相同网段的IP 地址，通过https://10.251.251.251 登录设备。

第二步：配置外网接口，通过『网络』→『接口/区域』，点击需要设置成外网接口的接口，如eth2，出现以下页面：

接口[类型]选择路由。

[基本属性]可以设置是否为WAN 口和允许PING。如果是WAN 口，是否与IPSEC VPN 出口线路匹配。连接上行链路的接口需要勾选WAN 口。

[区域]选择接口eth2 所属的区域。区域需要提前设置，本例将ETH2 划入WAN 区域，对于区域的设置请参考章节3.3.1.5 区域设置。

选择配置IPv4 地址：

[连接类型]包括静态IP、DHCP、ADSL 拨号三种，根据该线路的特征进行配置，如果选择静态IP，需要填写好IP 地址/掩码以及下一跳网关；如果该接口是DHCP 自动获得地址，则设置DHCP；如果线路是ADSL 拨号，则配置好拨号所需的用户名、密码和其他拨号参数。

静态IP 地址可以填写成“IP/掩码”和“IP/掩码-HA”两种形式，后一种形式表示同步网口配置时，不同步IP 地址，“IP/掩码-HA”的形式适用于NGAF 设备双机部署的环境。

本案例中外网接口连接的是静态IP 的光纤线路，所以选择静态IP，并且配置ISP 提供给该光纤线路的公网IP 地址和下一跳网关。

[线路带宽]设置公网链路的上下行带宽。点击可以修改带宽单位，包括KB/s，MB/s，GB/s。

[链路故障检测]用于检测链路的好坏。如果需要进行链路故障检测，则可以

勾选[启用]，开启链路故障检测。

链路检测方法包括DNS 解析和PING，如果选择DNS 解析则需要配置DNS 服务器和解析域名，若开启PING 检测，则填写PING 检测IP。同一个接口的链路检测方法，DNS 解析和PING 检测，只能选其一。本例中开启PING 检测，通过PING 目标IP 为202.96.137.23 的地址来检测链路的好坏。

[高级配置]用来设置网口的工作模式，MTU，MAC 地址，如果需要修改，

1.接口的下一跳网关仅用于接口的链路检测和策略路由功能，设置了下一跳网关，不会在设备上产生0.0.0.0/0 的缺省路由，需要手动设置默认路由。

2.接口的线路带宽设置与流量管理的带宽设置没有关联，接口处的线路带宽设置用于策略路由的调度。策略路由功能见章节

3.3.2.2.

第三步：配置内网接口。选择空闲网口、点击接口名称进入配置页面，配置内网接口接口类型为路由接口，WAN 口类型为否、配置IPv4 地址等，如下图所示：

第四步，配置路由，需要配置一条到0.0.0.0/0.0.0.0 的默认路由指向前置网关1.2.1.2，同时因为本例内网接口接的跨三层的多个网段，需要添加到各网段的静态路由到三层交换机，静态路由配置请参见章节3.3.2.1

第五步，配置代理内网上网，请参见章节 3.3.6.1 源地址转换。

第六步，基本配置完毕后，将设备接入网络中，eth2 口连接光纤，eth1 口接

620

内网三层交换机。

1.设备工作在路由模式时，局域网内计算机

的网关都是指向设备内网接口IP 或指向三层交换机，

三层交换机的网关再指向设备。上网数据由设备做

NAT 或路由转发出去。

2.当设备有多个路由接口时，多个路由接口可

以设置同网段的IP 地址，通过静态路由决定数据

从哪个网口转发。

3.设备支持配置多个WAN 口属性的路由接口连

接多条外网线路，但是需要开通多条线路的授权。

621