深信服NGAF防火墙的配置注意事项
在深信服的说明书和配置手册上没有具体提到的几个点:
-
怎么把物理接口加入VLAN接口:
先配置VLAN接口:
然后再修改物理接口(注意Access的VLAN ID和上面vlan接口配置的VLAN ID一致即可):
-
配置好了网络、默认路由或策略路由之后,内网机器还是不能上网:
是因为在防火墙下,有一条默认的“应用控制策略”,把所有进出流量全部阻挡了,该策略不能删除,只能在该策略之上增加放通的策略。
-
只要第一次登入之后,可以把所有区域(可对应到所有物理端口)都设置成可以使用WebUI、SSH、SNMP来管理。
-
如果NGAF的路由接口底下带了核心交换机,核心交换机上有多个子网,则需要在NGAF上设置回程路由:
-
同时具有路由接口和VLAN接口的情况下,路由接口下的设备无法ping通VLAN接口的接口地址,但是可以ping通VLAN接口的物理接口下所带设备的ip地址(感觉这个是个Bug)。
ping 172.30.1.1 不通,172.30.1.1 为VLAN300的静态接口地址。
ping 172.30.1.10 则通,172.30.1.10为VLAN300对应物理接口接入的电脑。