项目要求: 由于客户等保要求,在重要业务区域需要部署网闸进行物理隔离。但是由于客户要求过高,防范区域服务器网段杂乱,只能启用某公司网闸的透明代理模式,以进行五元组的限制,达到限制的目的。
脱敏拓扑: 实施方案: 1、 将GAP部署在核心交换与服务器交换之间。 2、 进行业务端口统计,源目统计。 3、 由于服务器较多,使用某公司网闸自带的链路聚合模式。
实施步骤: (1)、配置GAP工作模式 使用系统管理员账户登录系统,在 【设备管理】-【基本设置】处更改当前工作模式, 点击应用保存。 (2)、配置链路聚合 【设备管理】-【网络接口】-【负载均衡】 说明:负载均衡模式mod说明 使用之前整理的表格,此表也适合交换机与服务器绑定聚合。 根据上表我们将网闸聚合模式设置为Mod=4,对应网络设备的lacp模式。交换机配置如下。
(3)友商配置交换机聚合模式: HUAWEI聚合 interface Eth-Trunk1 description Sangfor_wangzha_H3C_server portlink-type trunk
port trunk allow-pass vlan 2 to 4094 modelacp
interface GigabitEthernet3/0/34 eth-trunk 1 # interface GigabitEthernet3/0/35 eth-trunk 1
H3C聚合(查证默认好像就是lacp模式) interface Bridge-Aggregation1 description Sangfor_GAP portlink-type trunk
porttrunk permit vlan all
interface GigabitEthernet1/0/23 portlink-type trunk
porttrunk permit vlan all
portlink-aggregation group 1
# interface GigabitEthernet1/0/24 portlink-type trunk
porttrunk permit vlan all
portlink-aggregation group 1
(4)、配置网络对象 【 策略管理】-【对象】可绑定对象组包含多个对象进行管理 注:由于服务器区域有对外发布业务,由于公网地址变化问题,所以网络对象中需要包含any的对象。 l 定义服务器网段 l 定义访问区网段 l 定义公网区网段 
(5)、定义端口服务 【 策略管理】-【应用】可绑定应用组包含多个应用端口进行管理进行端口控制。
(6)、配置安全端口 【策略管理】-【安全通道】处定义策略所需安全通道(内到外) 注:由于前面配置链路聚合接口需要配置为Bond。 (7)、配置规则 【策略管理】- 【规则】处选定已配置的信息,动作为允许。 注:GAP与防火墙类似,未匹配到的流量或者不在规则中的都已禁止动作处理,默认隐藏全拒绝。 由于规则端口无法细化确认。此规则仅做上线处理。 (8)、业务测试 使用PC访问服务器,发现大量丢包。无截图。经过江苏区400确认后,发现GAP会通告大量的日志占满带宽,导致丢包严重。经研发处理后打上补丁业务正常,无丢包现象。 补丁文件见附件: 操作方式:【设备管理】- 【备份升级】 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2019-9-3 15:56
技术员3级 
