1.
H3C交换机
||||
深信服防火墙
||||
华为交换机
如上拓扑的话深信服防护墙配置vlan必须写具体vlan,不能写范围
2.
深信服设备大版本升级需要提前查阅升级路线图
3.
华为交换机对接H3C交换机时可能不通,有时候H3C交换机需要把聚合口的配置再在物理接口上配置一遍
4.
不同厂商网络设备聚合做对接可以的话最好LACP
5.
深信服桌面云或超融合拆集群的话必须是没有虚拟存储的,有虚拟存储的话不能拆,只能备份虚拟机和资料后重新做
6.
虚拟存储扩容后如果进度条卡在91%不动可以尝试将回收站的虚拟机彻底删除清空后再看
7.
迪普交换机光口插模块的话交换机有可能感知不到接口是否插线(不插线,只插模块就会up)
8.
深信服超融合数据通信口报错地址冲突
查看Vxlan口ip地址和掩码是否正确
查看接口是否正确获取IP
9.
对于桌面云盒子的话有些外设最好使用带独立供电的usb-hub,比如高拍仪,读卡器等(税务局)
10.
P2V迁移工具开机迁移的话开始迁移之后产生的数据不会被迁移
11.
AC上网权限策略不生效的话可以尝试升级软件版本解决,升级后还不行的话可以做全部拒绝,通过全局排除地址来放通
12.
windows异常蓝屏,蓝屏代码若有srv.sys则大概率有勒索病毒
13.
AF的dns透明代理中,AF需要新建一条地址转换,源是内网,目的是全部,转换后的目的地址为防火墙地址,端口5354,这条DNAT作用是什么?
因为dns透明代理功能,不需要客户端将dns地址指定为af的接口地址,客户端可以配置任意的dns地址,终端发出的dns数据会被防火墙转出去,那怎么让终端的dns请求给到防火墙去做代理呢,那这就是专门做这条策略的原因,是为了将dns服务的请求给到防火墙的lan口,让防火墙去代理终端的dns请求
14.
AF的限制连接数,限制的是新增会话数嘛 ?
AF的限制连接数,限制的是并发的连接(会话)数量,比如限制源IPA的是连接数是100,那IPA的tcp会话最大不能超过100,当前如果IPA有50个连接(会话),那么新增会话限制不超过50,如果当前是60个连接,则新增不会超过40。
15.
测试AF防护功能,AF透明模式开启WAF 防护模块,从wan到lan进行PHP木马上传并且连接服务器内的木马,wan口这边的攻击PC已成功连接并且获取权限,AF没有日志。出现这种情况的话,是因为这个木马在规则库内没有对应匹配吗 ?
规则或者引擎未匹配会是原因之一;策略没有配置覆盖到防护的业务;是否有开启排除(直通)
16.
AF应用控制策略默认策略是没有记录日志的功能吗
默认策略无法编辑,有需要的话可以在默认策略之上再新增一个
17.
均是深信服产品,规则库均已经升级到了最新,NGAF出现了拦截日志,但是IPS没有任何日志也没有反应
研发后台复查,如果出现这种问题建议保留设备软件版本与规则库版本号
18.
AD内网做端口映射的业务使用的公网IP一定要配置在AD的WAN口吗?
AD的端口映射建议配置到接口上,如果不配置需要对端的设备上写路由指过来,比如:AD接口地址:192.168.1.1,端口映射的是:192.168.1.2,这个时候需要在对端上写:到192.168.1.2的路由交到192.168.1.1;或者AD上配置ARP代理,也就是192.168.1.1这个接口代理192.168.1.2
一般会配置成虚拟服务而不是vIP,如果是配置虚拟服务的话因为需要配置vIP,接口地址下不配置IP地址也可以。
19.
AC的外置数据中心有API功能吗,没有文档(有些客户需要和AC的API接口类似文档)
有的,联系研发获取