深信服防火墙增加带外管理线路的路由配置
配置前提:以现有的深信服防火墙为例
Eth2和Eth4口组聚合,配置为WAN口Vlan990
Eth3和Eth5口组聚合,配置为LAN口Vlan690
Eth0口为管理口,10.5.251.116/24-HA(配置为-HA后主备同步时不会同步此地址)
默认路由仅添加一条0.0.0.0/0 到WAN口出口
此标准方法配置完成后,无法使用 Eth0口10.5.251.116 的管理口访问主机设备,因为此时设备的直连路由下一条是10.7.3.24(Wan口)的网关。
需求:我们的职场主机IP段(10.50.0.0/16),需要通过带外管理网络,访问设备
此时需要
1、在Wan接口配置一条10.50.0.0/16路由,下一跳为Wan口对端地址10.7.3.24,度量值为0(更优先),启用接口链路检测机制。
2、在Eth0接口配置一条10.50.0.0/16路由,下一跳为带外管理网关10.5.251.1,度量值为200(不优先)
除了第一条0.0.0.0/0的默认路由端口,和Eth0的带外,其余的端口的路由应开启链路故障检测,这样才方便访问带外(不需要访问带外的可以忽略)
端口检测的配置,Ping对端IP即可。