×

【原创首篇】深信服网闸GAP端口链路聚合与快速上线,慎重查看。
  

安城丶 23815

{{ttag.title}}



项目要求:
由于客户等保要求,在重要业务区域需要部署网闸进行物理隔离。但是由于客户要求过高,防范区域服务器网段杂乱,只能启用某公司网闸的透明代理模式,以进行五元组的限制,达到限制的目的。

脱敏拓扑:
实施方案:
1、 将GAP部署在核心交换与服务器交换之间。
2、 进行业务端口统计,源目统计。
3、 由于服务器较多,使用某公司网闸自带的链路聚合模式。

实施步骤:
(1)、配置GAP工作模式
使用系统管理员账户登录系统,在 【设备管理】-【基本设置】处更改当前工作模式, 点击应用保存。
(2)、配置链路聚合
【设备管理】-【网络接口】-【负载均衡】
说明:负载均衡模式mod说明
使用之前整理的表格,此表也适合交换机与服务器绑定聚合。
根据上表我们将网闸聚合模式设置为Mod=4,对应网络设备的lacp模式。交换机配置如下。

(3)友商配置交换机聚合模式:
HUAWEI聚合
interface Eth-Trunk1
description Sangfor_wangzha_H3C_server
portlink-type trunk
port trunk allow-pass vlan 2 to 4094
modelacp

interface GigabitEthernet3/0/34
eth-trunk 1
#
interface GigabitEthernet3/0/35
eth-trunk 1

H3C聚合(查证默认好像就是lacp模式)
interface Bridge-Aggregation1
description Sangfor_GAP
portlink-type trunk
porttrunk permit vlan all

interface GigabitEthernet1/0/23
portlink-type trunk
porttrunk permit vlan all
portlink-aggregation group 1
#
interface GigabitEthernet1/0/24
portlink-type trunk
porttrunk permit vlan all
portlink-aggregation group 1


(4)、配置网络对象
【 策略管理】-【对象】可绑定对象组包含多个对象进行管理
注:由于服务器区域有对外发布业务,由于公网地址变化问题,所以网络对象中需要包含any的对象。
l  定义服务器网段
l  定义访问区网段
l  定义公网区网段
(5)、定义端口服务
【 策略管理】-【应用】可绑定应用组包含多个应用端口进行管理进行端口控制。

(6)、配置安全端口
【策略管理】-【安全通道】处定义策略所需安全通道(内到外)
注:由于前面配置链路聚合接口需要配置为Bond。
(7)、配置规则
【策略管理】- 【规则】处选定已配置的信息,动作为允许。
注:GAP与防火墙类似,未匹配到的流量或者不在规则中的都已禁止动作处理,默认隐藏全拒绝。
由于规则端口无法细化确认。此规则仅做上线处理。
(8)、业务测试
使用PC访问服务器,发现大量丢包。无截图。经过江苏区400确认后,发现GAP会通告大量的日志占满带宽,导致丢包严重。经研发处理后打上补丁业务正常,无丢包现象。
补丁文件见附件:
操作方式:【设备管理】- 【备份升级】

深信服网闸链路聚合不稳定补丁包.rar

2.86 MB, 阅读权限: 10, 下载次数: 26

【原创首篇】深信服网闸GAP端口链路聚合与快速上线.pdf

656.74 KB, 阅读权限: 10, 下载次数: 67

华为、Cisco交换机与服务器对接链路聚合配置.pdf

551.88 KB, 阅读权限: 10, 下载次数: 54

打赏鼓励作者,期待更多好文!

打赏
11人已打赏

dengjiaheng 发表于 2019-9-3 15:56
  
学习学习
秋水伊人 发表于 2019-9-3 17:26
  
谢谢分享
蓝海 发表于 2019-9-3 17:26
  
谢谢分享
rico 发表于 2019-9-4 11:30
  
牛叉,很牛叉,很努力学习了
狗蛋 发表于 2019-9-4 21:25
  
网闸部署很难遇到啊
沧海 发表于 2019-9-4 22:45
  
谢谢分享
夏末未至 发表于 2019-9-5 08:00
  
感谢分享
少攀 发表于 2019-9-5 09:16
  
谢谢分享
adds 发表于 2019-9-6 14:03
  
感觉妥妥的防火墙配置啊。
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
技术晨报
安装部署配置
排障笔记本
自助服务平台操作指引
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人