×

【2022争霸赛*干货满满】新版本8.0.59防火墙替换老版本的防火墙的过程及问题解决
  

SangforM 41842人觉得有帮助

{{ttag.title}}
一、案例背景
       客户在五六年前购买了一台深信服防火墙放在出口使用,随着客户公司的业务不断发展,客户那边也是做的越来越好,随着业务的不断扩大,人员也是逐渐增多。由于老的防火墙的带宽不能满足实际的需求,所以客户新购一台接口高性能带宽的防火墙。
二、准备工作



       和客户约定好能替换设备的时间之后,准备好螺丝刀,网线等其他上架设备所需要的各种工具之后,到达客户的机房之后按照客户指定的地方先将设备上架。
三、配置步骤
       1.授权激活
      
       2.配置接口、区域、路由
        
        
      
      
      3.配置对象、控制策略、地址转换、安全策略
      
      
      
      
      至此,经过检查和客户的老防火墙配置保持一致,为了验证替换是否正常,让客户进行了业务的测试(当时由于周末只能测试部分业务),替换之后的测试正常,客户确认了没有问题,本以为本次实施就圆满的完成了。
四、问题排查
       替换当天由于时间原因,客户当时只能测试部分业务,等到工作日之后,客户反应两个问题,一是通过VPN无法登录,二是无法做到选路(联通走联通,移动走移动)
五、排查与分析
       1、首先是登录客户老的防火墙进行配置的对比,通过检查了三次配置的问题之后,发现新老防火墙的配置是一样的没有问题(进行第一步的排查不是对自己实施的不信任,而是为了更好的排查问题),再次测试之后发现还是不行。
       2、通过与客户确认VPN所使用的网段,对路由进行排查,发现老防火墙上的路由配置的太大了,也就是子网掩码配置的不够细致,后来把路由写的更细一点。VPN无法登录的问题解决了。
      
       3、解决了第一个问题之后,选路的问题还是没有解决,排查之后发现还是路由问题,后来想到新版本的路由优先级与之前老版本的路由优先级相比有所改变。新版本的防火墙路由优先级可以自定义。通过更改路由的优先级之后问题解决了。
      
      
建议与总结
      1.替换设备的过程中要考虑到是否存在版本之间的变化,像我这次的实施就存在,如果存在版本之间的差异性,一定要确认好差异性在哪,自己不确定的可以找其他同事或者原厂进行帮助。
      2.替换设备不一定是非要按照之前的配置进行一比一的复制,我们应该要学会根据实际情况去进行判断,从而正确的改变我们的部署。
      3.标准版本AF8.0.48,AF路由默认的优先级是:【直连路由】>【VPN路由】>【静态路由/动态路由】>【策略路由】>【默认路由】
        AF6.8开始新增了【VPN与专线互备路由】功能,开启该功能后,路由优先级调整为:【直连路由】>【静态路由/动态路由】>【策略路由】>【VPN路由】>【默认路由】
        新架构版本AF8.0.51开始支持自定义路由优先级修改路径如下: 【系统】-【通用设置】-【网络参数】里的路由优先级设置里自定义

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

七嘴八舌bar 发表于 2022-9-23 15:48
  
专家点评:感谢楼主分享!文章介绍了一起新架构AF替换老架构AF的案例,内容详细,图文并茂,很实用,期待楼主带来更多有价值的案例分享
新手042137 发表于 2023-8-14 10:45
  
感谢分享,感谢分享,感谢分享,感谢分享
蟲爺 发表于 2023-4-15 22:15
  
感谢分享
蟲爺 发表于 2023-4-14 13:15
  
感谢分享
jan 发表于 2022-12-19 13:56
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
sangfor_双 发表于 2022-10-1 23:50
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
sangfor_s 发表于 2022-10-1 23:50
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
秦冰 发表于 2022-10-1 23:50
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
taojinqiu 发表于 2022-10-1 23:50
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
S_李军 发表于 2022-10-1 23:50
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
技术笔记
新版本体验
产品连连看
技术咨询
功能体验
GIF动图学习
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
标准化排查
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
技术晨报
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人