本帖最后由 SANGFOR_HZ 于 2022-9-9 16:16 编辑
AF8.0.69替换启明星辰防火墙存在问题及解决办法
一、背景描述 客户这边之前有一套启明星辰的防火墙,由于考虑到设备比较老,以及当前网络的安全性,目前采购了一台深信服的下一代防火墙。要求实现对其替换,并实现原有防火墙的路由负载功能和安全防护。
二、网络拓扑 当前的网络拓扑如下: 拓扑说明:防火墙混合模式部署,连接互联网为路由口,其他三个网口为透明网口部署。防火墙要实现联通专线和移动专线做线路备份功能,即实现市统计局先走联动专线,联通专线断了走移动专线。
三、替换前准备 1、 工具准备 | | | 螺丝刀 | 设备上架 | 联系客户提供 | 网线 | 设备连接 | 设备再带一根,剩下协调客户提供 | 笔记本 | 设备调试 | 自带 |
2、启明星辰防火墙配置收集 让客户提供启明星辰防火墙的登录地址和登录账号密码信息,然后登录现有启明星辰防火墙查看具体配置,并进行收集,主要的配置收集如下: (1)网络接口配置: (2)路由配置 路由引用了链路故障检测,配置如下
(3)链路故障检测配置 其他配置按照我们防火墙正常配置来配,比如代理上网,应用控制和安全防护策略等,做没有在此做截图介绍。
四、下一代防火墙AF8.0.69替换配置:
1、网络接口配置 按照原启明星辰网口地址配置规划,深信服防火墙配置如下:
2、链路故障检测配置 联通专线链路故障检测配置如下: 移动专线链路故障检测配置如下: 最终如下:
3、路由配置 路由引用线路故障检测,走联通专线的路由优先级高配置如下: 走移动的路由优先级低,引用移动链路故障检测 最终路由配置如下:
4、代理上网配置 下面用户上网都互联网线路代理上网出去,配置如下:
5、应用控制配置 放通内网PC访问互联网和到专线对端的网络控制如下:
五、防火墙替换测试及存在问题原因 防火配置完成后,按照对应的接线替换现有的的启明星辰防火墙上线,然后进行结果测试。测试验证分为两步: 1、内部PC访问互联网是否正常。上架后测试内网PC上网访问正常。 2、访问市统计局业务专线备份切换是否正常。测试专线备份切换,发现无法正常切换。
原因:因为深信服防火墙检测专线对端地址的时候无法选择下一跳,只能选择出接口,如下: 所以要想检测专线地址通信是否正常,又要依赖与静态路由,根据优先级磁盘联通线路生效,所以联通专线链路故障检测正常,移动专线链路故障是异常。所以移动专线优先级低的路由引用了链路故障会显示路由无效,当联通专线断开后,还是会线路路由无效,所以无法切到移动专线备份线路。
六、解决办法 由于启明星辰防火墙的链路故障检测,检测专线对端的地址的时候,填写的是下一跳地址,直接出口到到对端从对应的专线线路出去探测。相当于加了到检测地址的路由。目前解决办法是通过在静态路由增加两条到两个检测地址段的静态路由,下一跳指向对应专线路由器的互联地址。如下: 路由增加后,再查看两条专线链路故障检测都正常: 最后测试专线线路备份切换一切正常。
| 
发表于 2024-1-4 11:17
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术专家1级 
