****客户 file:///C:\Users\**I~1\AppData\Local\Temp\ksohtml17360\wps1.jpg 修订记录 目录 1
项目介绍1.1 项目背景目前客户现场有一台vpn,现有业务部署在**区域,需要新设备替换后部署在安管区域。 旧设备邮寄到大连与新设备组建ipsecvpn,另一个新设备邮寄到西四环办公区,与总部设备建立ipccecvpn。 上架一台新AF设备替代上网行为做出口,上网行为下移。 1.2 原始环境现有vpn单臂部署在**区域,上网行为做为网关在出口。 1.3 需求汇总现有vpn资源,用户替换到新设备上,两个分支与总部建立ipsecvpn通信。 防火墙替代上网行为做出口,代理上网,安全防护。 2 解决方案2.1 方案介绍Vpn旧设备版本为m7.0,新设备为m7.6.8R2,版本不一致导致配置无法直接导出导入,旧设备目前不能断业务升级,联系400后台配置升级后再导入新设备。 总部建立ipsec对接用户,两个分支vpn设备根据用户时间,进行ipsecvpn对接。 上网行为替换,防火墙先根据现有环境配置策略,配置代理上网,添加路由完成后,用户环境可以断网后替换设备,测试成功后ac网桥模式上架,认证和流控策略不需要变更。 2.2 方案拓扑file:///C:\Users\**I~1\AppData\Local\Temp\ksohtml17360\wps2.jpg file:///C:\Users\**I~1\AppData\Local\Temp\ksohtml17360\wps3.jpg 2.3 实施步骤[size=11.0000pt]1. 现有vpn设备192.168.2.109的配置导出。 [size=11.0000pt]2. 导入配置到新vpn-100-b1340设备里,变更设备地址为管理段地址XXX.XXX.XXX.XXX/XX(需要客户提供)。 [size=11.0000pt]3. 在网络放通vpn的访问权限,需要访问所有的发布资源,映射内网地址到公网地址提供网络访问。 [size=11.0000pt]4. 新vpn1设备上架,协调好时间联网测试业务,会断业务,协调时间推荐为一小时,业务测试成功后,旧设备恢复出厂,寄送到大连。 [size=11.0000pt]5. 新VPN2寄送到西四环分支,推荐单臂部署,在总部新建分支连接账号为【分支1】分支连接总部的webagentXXX.XXX.XXX.XXX:4009(需用户确认),进行连接,放通访问权限。 [size=11.0000pt]6. 大连vpn推荐单臂部署,在总部新建分支连接账号为【分支2】,分支连接总部的webagentXXX.XXX.XXX.XXX:4009(需用户确认),进行连接,放通访问权限。 [size=11.0000pt]7. 防火墙配置为网关模式,配置wan口地址为XXX.XXX.XXX.XXX/30,lan口地址为10.1.2.2/24,添加路由file:///C:\Users\**I~1\AppData\Local\Temp\ksohtml17360\wps4.jpg [size=11.0000pt]8. 放通上网策略。 [size=11.0000pt]9. 设备授权激活,替换上网行为设备,会断业务,协调时间推荐为一小时,替换后测试业务,测试成功后,上网行为配置备份,变更模式为网桥模式,关闭代理上网,关闭路由。上架测试业务,测试成功,替换成功。 2.4 方案特色多分支网络互通,ssl资源访问,防火墙功能防护,分担上网行为计算能力。 2.5 实现效果旧资源访问正常,新分支访问正常,用户访问公网正常。 3 实施安排防火墙替换需要断网,预计一小时。Vpn替换会导致vpn用户连接断开,推荐非业务时间替换,预计时间一小时。 分支连接不影响现有网络,根据客户实际情况实施。 4 问题汇总上网行为替换,现有设备先不做配置,防火墙替换如遇情况,上网行为原设备回退。 Vpn替换现有设备也不做配置,新设备替换测试业务不正常,旧设备回退。 |