记一次AF防火墙上架的经历,是AF替换AC出口的场景。由于AC使用多年,积累了大量的策略,需要转换到AF上。由于产品线差异,无法直接互导。即便是相同的功能,由于不同产品线设计理念不同,也不能直接等价转换,只能手动转换重配。本来这次实施是安排给同事的任务,然而由于工作量太大,同事在客户处奋战了三天没有搞完,客户意见比较大,于是临时派我去填坑。
现场统计了下有总共105条ACL、158条IP组、88条自定义服务、外加几十条流控、路由和NAT策略。初步估算了下,如果是硬着头皮一条一条对着配的话再给三天也搞不定。然而抱怨解决不了问题,这个时候就需要先不着急配置,先花些时间理清配置的思路:
首先是ACL,AC的话这部分功能十分有限,只分了三个区域,IP组和网络服务都是单选,所以105条经过两个小时精简梳理后只剩下37条。先将整理后的策略保存在Excel里,为下一步导入做准备。
然后就是IP组和网络服务,这才是真正困难的部分。这堆上百条的IP组和网络服务是完全没有精简优化的余地的。因为被ACL关联,要想顺利导入之前整理好的ACL,就必须先把这些IP组和服务一字不差的配置好。面对这种机械式的转换操作,不得不祭出脚本大法辅助了。
因为之前有处理此类问题的经验,所以现场用我擅长的Python写了个简易的脚本去抓取ip组和网络服务的配置信息。原理很简单,就是向特定的URL发送特定POST消息,设备就会返回包含IP组信息的JSON消息,和在控制台一条一条点开看的原理是相同的,只不过换成脚本去自动操作而已。经过一个多小时的奋战后,IP组和网络服务这块就被攻克了,接着ACL导入也就顺利完成。
至此,任务已经完成了一大半,剩下的策略都不多了。加上之前同事已经完成了部分工作,剩下的策略在客户下班前就顺利完成配置,赶上了晚上的测试。本以为转换了这么多策略,上线测试肯定会遇到些问题。也是我运气好,上线测试非常顺利,一次成功,客户也很满意。
| 
发表于 2017-12-11 00:28
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
