分享一下初次配置FGAP-光闸的经验
  

这个用户名是新的 Lv5发表于 2019-4-9 00:07

FGAP上架准备:
1、光闸内外网口ip地址,
2、光闸配置需要提前确定客户服务器文件同步方式,文件同步目录,以及相应端口和服务器账号

1、光闸初始MAN口地址为外网10.252.252.12/24;内网10.251.251.12/24,设备分为内网和外网两个控制台[size=13.3333px](外网控制台只能看到外网接口net1-2-3...,

外网口

外网口
[size=13.3333px]内网控制台只能查看内网接口eth1-2-3...

内网口

内网口
[size=13.3333px]),分别有独立账号登陆管理,策略只需要在外网控制台进行配置即可。诊断工具里面有ping和tracert等测试命令,各位大佬可以用来测试网络连通性,需要注意下外网口是ping不通内网方向服务器的,反之亦然了。   在设备的基本设置中,需要先勾选开启策略日志记录,否则可能会发现内外网口是不能用的哦

基础设置

基础设置
(血的教训啊

2、在策略管理中,设备默认包含ftp自动交换和smb自动交换;本次实施中使用ftp方式进行文件交换,需要客户准备一个服务器账号和ftp服务。客户linux服务器中没有安装ftp服务,所以要先进行ftp安装,(只需要安装ftp服务,并且设置为开机自启,清空iptables防火墙默认策略即可,不需要配置ftp的用户)https://www.linuxprobe.com/chapter-11.html;链接为centos 7版本的vsftpd安装步骤,是按照客户的版本百度的,其他版本各位大佬可以直接百度。安装完成之后建议用创建的服务器账号测试下ftp服务是不是正常运行,以及是否有可读写权限。
3、具体的策略配置,暂时还没有手册,就不上传了,
ps:在ftp交换策略里面,有个针对源文件的处置方法,各位大佬可以根据客户具体情况选择处理方式,是可以不做选择的哦


小弟这次实施的拓扑就是图中的这样,服务器双网卡,分别同网段互联光闸和交换机。

安全隔离区域拓扑图

安全隔离区域拓扑图
因为第一次实施准备不充分,所以中间出现了一个知识点 ,,FGAP作为单向导入设备,外网口是发送端,内网口是接收端,,刚开始配置的时候两台的内外网方向都是和B的相同,两台配置好策略之后,本来想见证下奇迹快速收工的,结果发现B的文件交换是成功的,测试子目录下的文件删除和增加都可以在3s(默认时间,可以自己修改)之内同步,但是A的日志不断显示失败。在服务器的子目录路径,ftp服务,账号的读写权限,网线的问题。。。各种查看之后,想着和B的唯一区别就是内外网口和数据传输的方向了,于是试了一下把A的内外口更换成图中的拓扑,结果瞬间成功了,和400还有办事处同事确定了下我的想法,回复结果就是因为网口方向问题,数据导入是从外网口到内网口的,反向之后策略就不会生效,没办法传输文件。

除了配置问题之外,这次的实施算是发现了一个小的缺陷吧(个人意见 ),,客户的文件,在源服务器上是777的可读可写可操作的权限,但是传到目的服务器之后,权限变成了只读。可能是出于文件安全的考虑吧,但是希望可以做个选择项功能,让客户来决定在传过去之后的权限吧

到此小弟这次实施的配置就结束了,测试了两个设备的文件导入都是正常的。我也就完美收工了。
感谢花费时间看完这么多字的兄弟姐妹了,文字表达能力很差,将就着看下吧  

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

这个用户名是新的 Lv5发表于 2019-4-9 00:08
  
忘了感谢下辛苦支持到半夜的400同事了,还有办事处大佬的支持,多谢大佬们了
sangfor_闪电回_小六 发表于 2019-4-10 10:07
  
为楼主的分享精神点赞,写的很详细
厌児 Lv12发表于 2019-4-15 13:42
  
感谢大佬的分享 又学到了很多
zqm Lv6发表于 2019-4-16 17:27
  
感谢大佬的分享 又学到了很多
ie5000 Lv15发表于 2019-4-17 09:35
  
感谢楼主分享
xixizhouping Lv3发表于 2019-4-17 10:29
  
111111111111111111111111111111111111
marco Lv8发表于 2019-5-8 09:04
  
谢谢楼主分享。。。。
Greenhand Lv3发表于 2019-5-8 10:32
  

谢谢楼主分享。。。。
老手8421 Lv9发表于 2019-5-15 15:44
  
第一次知道深信服还有光闸,666!