SVN5560 安全桌面部署后无法上网

发布时间:  2015-04-29 浏览次数:  135 下载次数:  0
问题描述

某局点,在内网域外网间部署SVN5560,实现员工在企业内网中通过安全桌面访问外网,通过真实桌面访问企业内网。但是发现部署后,通过安全桌面访问不了外网。

告警信息

处理过程

1、登录安全桌面,其他程序都可以应用,就是不能访问外网,不管是ping外网IP地址,还是访问网页都无法打开;

2、真实桌面可以上网,排除网络出口设备及外网链路不通;

3、由于企业内网部署了代理服务器(X.X.X.100),企业用户的上网请求由SVN转发到代理服务器,再通过代理服务器访问外网;

4、查看SVN5560配置,发现安全桌面策略配置错误。安全桌面允许访问网段应该包含代理服务器地址,真实桌面允许访问网段不应该包含代理服务器地址;

原来配置未允许访问代理服务器:

  permit-dst-ip security-desktop address-range Y.Y.Y.1 Y.Y.Y.250

  permit-dst-ip original-desktop address-range Z.Z.Z.1 Z.Z.Z.100

5、修改安全桌面策略,将代理服务器IP地址 X.X.X.100加入允许访问的目的地址:

即:

  permit-dst-ip security-desktop address-range  X.X.X.100  X.X.X.100

  permit-dst-ip original-desktop address-range  Z.Z.Z.1 Z.Z.Z.100

  permit-dst-ip security-desktop address-range Y.Y.Y.1 Y.Y.Y.250

6、再次测试,安全桌面上网成功。

根因

安全桌面通过代理服务器上网,但是代理服务器IP地址未加入安全桌面允许访问的目的地址范围,导致安全桌面无法访问代理,因此上网不通。

解决方案

修改安全桌面策略,将代理服务器IP地址 X.X.X.100加入允许访问的目的地址后,安全桌面上网成功。

permit-dst-ip security-desktop address-range X.X.X.100  X.X.X.100

建议与总结

END