×

【华北区交付直播】超融合与安全设备(vAF\vAD)实施案例
  

山西众成达_李政 2509

{{ttag.title}}
本帖最后由 李一凡16713 于 2023-12-26 18:53 编辑

一、 客户需求
客户在本地的联通运营商机房租用了一组机柜,想通过使用深信服的超融合虚拟化系统部署业务系统,另外客户与联通运营商协商到了互联网IP,代理上网也需要使用超融合系统实现。


二、 设备清单
产品线
设备型号
设备数量
SN码
vAD
vAD-200
1

vAF
vAF-200
1

aServer
aServer-W-2305
3
FBQ4DDI274
FBQ4DDJ079
FBQ4DDI244
RS6300
RS6300-24X-LI-12X
2
4c-ef-56-3f-64-8c(MAC)
4c-ef-56-3f-61-6e(MAC)





三、 网络规划(逻辑拓扑)

四、 步骤设计
1. 两台信锐交换机做堆叠,创建vlan并规划vlan接口,区分超融合对应接口,配置6组聚合接口
2. 超融合配置服务器网口信息,组建集群,通过集群管理划分管理、业务、存储及vxlan网络,配置虚拟存储
3. 在超融合平台中创建vAD和vAF,授权激活两台虚拟设备
4. 在超融合平台中完善完善虚拟网络

五、 设备地址规划
设备名称
IP地址
超融合集群IP
172.16.101.10
超融合主机1
172.16.101.1
超融合主机2
172.16.101.2
超融合主机3
172.16.101.3
超融合交换机1
堆叠IP:172.16.101.254
超融合交换机2
vAD
172.16.107.1
vAF
172.16.107.9

   网段规划:
     172.16.101.0/24属于运维管理网端
     172.16.107.0/24属于出口网关设备与交换机之间的互联网段
     172.16.102.1-172.16.105.255属于业务虚拟机使用的IP网段

六、 实施部署
1、超融合交换机配置
  将现有的两台信锐交换机启用堆叠功能,将交换机在逻辑上整合成一台设备,配置vlan划分物理接口
交换机网口划分如下:
堆叠交换机1主机的1-3口划分vlan101,对接超融合eth0口
堆叠交换机2主机的1-3口划分vlan101,对接超融合IPMI口
两台堆叠交换机的4-6口做聚合,接口类型为trunk,运行所有vlan通过,对接超融合的eth2-3口做的聚合口
两台堆叠交换机的13-15口做聚合,接口类型为access,对应vlan3000,对接超融合的eth4-5口做的聚合口

2超融合配置
2.1集群配置
   组建超融合集群,通过进入 [管理/集群配置]页面,配置集群IP。
   集群IP作用是在主机离线后,可以通过集群IP来管理虚拟机资源,通过[系统管理/集群配置],配置集群IP

2.2集群添加主机
   通过[实体机/物理主机]中点击<添加主机>,新增主机入集群。
   选择要添加的主机,输入正确的主机admin认证密码后,主机图标由绿色勾选选中状态,表示允许被添加;点击<完成>,会提示是否重新配置所加主机的防火墙配置,执行主机添加任务


2.3超融合接口配置规划
   每台超融合服务器的eth0口做管理口,eth4\eth5做聚合口1为存储通信口,eth2\eth3做聚合口2为业务口


2.4虚拟存储配置
  2.4.1存储网络配置
     当前存储通信部署方式: 独占网口-标准链路聚合
     标准链路聚合(推荐):  通过在主机和交换机上配置网口聚合,可使主机通过虚拟存储网口连接第三方存储或第三方服务器,如使用2台交换机,交换机还需配置成堆叠/M-LAG模式,网口工作模式建议选择成根据四 层信息进行负载

  2.4.2虚拟存储卷配置
     操作步骤:
配置存储卷类型:点击[存储/虚拟存储]打开虚拟存储页面,然后点击<创建卷>,选择卷类型为“普通卷”。
选择物理主机:选择需要加入存储卷的物理主机
选择主机中要加入的硬盘。配置硬盘和硬盘组,然后为每个主机的每个磁盘进行详细用途规划。系统会对集 群中所有主机的磁盘进行自动检测,默认选择机械磁盘作为数据盘,固态磁盘作为缓存盘。一般建议采用默 认配置,也可以自行修改。如果需要部署磁盘多卷,需要规划预留第二卷组的磁盘
确认最终信息,成功创建卷
确认配置:最后显示虚拟存储的配置结果信息,包括最终存储容量、副本数量和磁盘数量。确认配置无误后,需要输入管理员密码,点击<完成>以开始初始化虚拟存储。


2.5创建物理出口
物理出口:物理出口用来连通虚拟网络和物理网络,对用户呈现为服务器物理网口。“物理出口”对内可以通过端口组连接虚拟路由器、虚拟网络设备,对外通过主机的物理网口连接交换机与外部网络互通
端口组:通过划分“端口组”,将虚拟网络连接到“物理出口”的网口进行分组,通常将具有相同网络属性(如相同的VLAN)的网口集合划分到同一个组。虚拟网络中的设备或虚拟机可以通过端口组连接到“物理出口”。

操作步骤:
[网络与安全/网络拓扑]页面中点击<编辑拓扑>,网络拓扑进入编辑状态。

在左侧网络设备中拖动物理出口至网络拓扑中,并接着在右侧服务器中选择相应的物理出口。
点击<立即生效>,并点击左上角<退出编辑>,完成物理出口创建。
选择已创建的物理出口,选择<配置>,进入[物理出口编辑]页面。
选择[端口] ,点击编辑图标
配置端口组名称、描述、VLAN范围和pvid VLAN,点击<确定>保存配置
创建物理端口确认。

实际规划:在创建的物理出口下创建多个端口组,(例如:运营商出口联通、移动,业务网段102、103、104等),后续网络的规划设计需要虚拟网络与超融合交换机互相配合维护。


2.6虚拟机创建

注意:此操作也可以为vAF与vAD正常运行打基础

此次项目主要使用的是导入虚拟机的方式

功能说明:当前已有虚拟化环境,需要将其它虚拟化平台中的虚拟机导出成vma、 ova或ovf格式的虚拟机文件,再导入到HCI超 融合平台中。

操作步骤:
[虚拟机/新增]中选择<导入虚拟机>。
选择以下信息,选填好以下信息后点击<开始导入>。
• 虚拟机文件:事先准备好的vma、ova或者ovf格式的虚拟机镜像。
• 分组:即将导入到HCI超融合平台的虚拟机分组。
• 故障迁移(HA) :当主机发生故障时,触发共享存储上的虚拟机HA切换,使其从其他主机上恢复运行。
• 存储位置:指虚拟机的配置conf文件和虚拟磁盘qcow2文件的存放位置。
• 运行位置:指定虚拟机运行时使用哪个主机的CPU和内存资源,当“存储位置”选择为延伸卷时,还可以指定虚拟 机的运行位置为某故障域,当指定为某故障域时,可以设置优先在所选位置运行或者必须在所选位置运行。
• 操作系统:请选择与导入的虚拟机文件一致的操作系统,以保证虚拟机的正常使用;如无法确定操作系统时,可 使用默认。

从本地导入虚拟机文件,导入过程中请勿关闭页面。
从本地导入虚拟机文件成功,此时的虚拟机网卡未连接交换机,请点击<转到虚拟机>编辑虚拟机重新配置网卡。
转到编辑虚拟机界面,点击[eth0],选择相应的连接设备,全部编辑完毕后点击<确定>,此时虚拟机导入操作 全部完成。


3AD负载均衡配置
   此次项目AD负载均衡设备使用网关路由部署方式接入虚拟网络,作用保证内网业务虚拟机可正常访问互联网。

   3.1接口配置
      AD相连的设备接口使用的就是普通的网口(电口或者光口),此时AD上也使用普通的网口(内网口或外网口)。
• 内网口:也就是LAN属性口,一般网关部署的时候会需要。
• 外网口:也就是WAN属性口,一般情况下AD不论什么部署模式都需要WAN属性接口来进行业务发布或者业务承担

操作步骤:
A、内网口:进入[网络部署/网络接口/链路IP配置]页面,点击<新增>,需要设置:名称、类别、网络接口、网络配置、健康检查等完成LAN口的设置。如下图所示。
类别:用于选择新建网络接口的类型,内网口选择LAN属性,外网口选择WAN属性。
网络接口:用于选择网络接口可以选择普通网口、聚合网口、桥接网口、VLAN子接口,具体根据需求选择。
/禁用:启用时,网络接口的所有配置生效;禁用时,网络接口的所有配置失效且无法使用。
地址列表:用于定义网络接口绑定的IP地址,支持IPV4和IPV6地址混配。
链路健康检查:用来开启或禁用WAN/LAN链路的健康状态监测,支持ping和HTTP(TCP)类别检测,当配置多个检测条件时候,通过任一有效监视器可以探测到监视主机时,则该网络接口处于健康状态。
检查方法:用于选择需要启用的监视器,一般默认的有:ping、http等,可以在[网络部署/链路健康检查]根据需求进行配置,配置方式与应用负载、全局负载里面的业务健康检查是类似的。
监视主机:用于输入需要监视的主机。可以添加IP也可以添加域名,一般填写改链路的网关。
插拔网线检测:用于检测WAN/LAN类型引用的物理接口通电情况来判断WAN/LAN口的健康状态。
ARP检查:用于获取监视IP的ARP地址来判断WAN/LAN口的健康状态。
零流量检测:仅在双机或者集群模式下才支持配置这个功能,功能默认禁用。正常双机集群配置不需要启用该配置,仅在部分特殊检测场景(如需要做零流量检测)启用。
*此功能仅特殊场景使用,非必要谨慎开启,当双机/集群内所有设备都发生此故障时,所有设备都将无法承载业务。
其他基本参数可保持默认,如有特殊需要可按照需求进行设置,具体解释如下:
DNS:用于配置此接口的DNS服务器,与<链路负载/DNS代理/全局配置/DNS的服务器列表>中配置会配置一致,即:DNS服务器可在定义接口时进行配置,也可在DNS服务器列表单独在配置。主要用于设备解析或设备代理内网用户进行解析

B外网口:[网络部署/网络接口/链路IP配置]新增,需要设置:名称、类别、网络接口、网络配置(网络类型、地址列表)、网关、链路带宽、健康检查等完成WAN口的设置。如下图所示
注意:外网口部分配置与LAN口设置是相似的,对于WAN口区别于LAN口的需进行解释。

本次使用上网方式为静态IP:支持WAN属性与LAN属性类别接口。

   3.2地址转换
     操作场景
需要将进过AD的数据的源地址转换成其他的地址,比如:网关部署,需要将内网IP地址转换成公网IP地址进行上网,此时就需要用到源地址转换。
操作步骤
创建源地址转换规则,进入[网络部署/地址转换/源地址转换]页面,点击<新增>,需要配置:名称、类型、源地址、目的地址、协议条件、转换规则等,如下图所示
类型:根据需要选择是IPv4还是IPv6进行地址转换,一般实现的都是SNAT66或者SNAT44;如果要做SNAT64,需要与DNS代理中的DNS64结合使用,具体可参考“DNS代理的设置”章节。
源地址:根据内网的需要设置源IP地址过来的链路及源IP地址范围;如果做内网源地址转换,只需要选择内网链路即可;如果需要所有的源都做地址转换,此时选择所有接口即可,比如:想要将端口映射过来的数据的源进行转换,那么外网链路也选择上即可。
目的地址:IP需要转换成的IP地址,一般情况下选择所有链路,所有IP即可;如果有指定单独的出接口,可选择指定链路,比如:想让内网用户的源IP从电信链路出去:选择指定链路即可;目的IP地址:想要实现访问某个(段)目的IP时进行匹配转换,则此时根据需求选择即可。
协议条件:一般情况下选择ALL即可;如有需要可选择合适的协议进行转换,比如:指向转换某个TCP端口。
转换规则:一般选择出接口地址或者指定IP地址即可;如果想让源IP转换成某个(段)固定的IP,可根据需求在进行选择即可;转换策略:一般选择源IP和目的IP哈希即可,解释如下。
• 源IP和目的IP哈希:根据此访问的源IP及目的IP进行哈希计算选择转换的目的IP,一般情况下都使用此转换策略即可。
• 源IP哈希:根据此访问的源IP进行哈希计算选择转换的目的IP,这种场景一般用于访问网银的业务,用户访问网银可能涉及多个目的IP,此时使用源IP哈希,来保证转换的IP地址不变。

实际环境:当前网络环境使用一条外网线路进行上网,根据使劲情况配置一条源地址转换策略代理超融合环境虚拟机上网

   3.3静态路由
      操作场景
一般用于设置到达非AD设备直连网段的路由;内网跑的都是静态路由达到路由互通的场景。
操作步骤
进入[网络部署/静态路由]页面,点击<新增>,配置名称、网络号、掩码/前缀、下一跳类型、网关、网关健康检查等完成静态路由的配置;如下图所示。
网络号:用于设置需要到达的目标网段。
掩码/前缀:用于设置目标网段的子网掩码。
下一跳类型:
a网关:用于设置到达目标网段的下一跳IP地址。
b路由池:1.静态路由支持配置下一跳为一个路由池。当命中该静态路由时,通过在池里调度,选择一个下一跳
2.路由池调度算法支持轮询、加权轮询和哈希(基于源IP或源IP+源端口哈希)
3.路由池的健康检查方法支持ICMP、ICMPv6、HTTP、CONNECT(TCP)、CONNECT(UDP)、HTTPS、SSL
4.路由池只支持SourceIP类型的会话保持
5.路由池不能ipv4,ipv6混配,且必须与静态路由网络号ip版本保持一致
权重:用于多路径路由场景(即目的网段相同但网关存在多个),数据转发优先选择权值大的路由。
支持重分发:启用重分发可以将静态路由条目注入到动态路由协议中,令多种路由协议之间能够相互学习路由。
网关健康检查:开启网关健康检查后,AD通过ARP请求方式对网关IP进行探测,若网关未应答MAC地址,则静态路由失效;若网关有应答MAC地址,则静态路由生效。未开启网关健康检查,则静态路由一直下发生效。开启健康检测常用于多路径路由冗余备份的场景

根据操作步骤配置客户网络田间设备上网使用的默认路由,对需要给上网的网段添加回报路由

   3.4 DNS代理
      DNS代理用于设置DNS服务器地址,此处的DNS服务器是AD设备需要解析域名时,连接的DNS服务器地址 ,并可代理内网PC转发DNS请求
      操作步骤
启用DNS代理,对内网PC的DNS请求进行
根据客户实际使用的运营商线路填写DNS地址

4AF防火墙配置
   根据实际环境需求,防火墙接入网络要部署在交换机网络与出口AD之间,接入时不可以影响客户变更客户实际网络运行,同时需要防火墙还需要启用VPN功能,实现与客户办公地点的网络做专线互通

   4.1网络接口
      设备面板上的接口一一对应(如eth0为manage口)的接口,物理接口无法删除或新增,物理接口的数目由硬件决定(个别平台支持可扩展)。可以看各个接口名称、描述、WAN、接口类型、连接类型、区域、地址、拨号状态、MTU、工作模式、PING、网口状态等等
      根据实际网络需求配置
      Eth1-2口做路由口,区分内外网区域(上下行接口),配置同网段的IP地址(防火墙使用VPN功能时需要使用路由接口),
      根据需求防火墙接入时不可以影响客户网络运行,所以此次防火墙做路由部署无需配置地址转换策略,后续使用应用控制策略配合静态路由放通即可

   4.2静态路由

      配置静态路由分别指向出口设备方向及对内网需要上网设备做回报指向,作用保证内网数据经过防火墙时捉做到数据直达

   4.3应用控制策略
      策略配置用于新增、修改和调整应用控制策略。鼠标移到策略组名上,相应策略组后方显示[…]的标示,点击该标识,管理员可对策略组进行相应编辑。
       操作方式:在策略配置页面点击<新增>,进入[新增应用控制策略]页面,设置如下

      策略配置现状:
       根据实际情况放通防火墙双向访问流量,同时VPN功能启用时会生成一个VPN接口的区域,需要在防火墙应用控制策略做放通。


   4.4 IPSec对接
      本事项目规划使用的标准IPSec对接与客户办公地点网络实现对接

      简述:深信服AF支持与第三方设备之间建立标准IPSec VPN的对接。AF的标准IPSEC遵循的是国际标准的IPSEC VPN协议,只要对端的VPN也是用的是标准的IPSEC协议,那本端设备就支持跟对端进行VPN对接。

      配置vpn对接前准备配置:
      A、开启vpn服务
B、确定VPN线路

      点击<新增第三方设备>,可新增标准IPSec VPN连接的配置,如下图。
      
     基础配置界面各配置项目说明:
设备名称:设置隧道名称。
描述:用于标注隧道名称,可自定义填写。
启用状态:启用或者禁用该VPN连接。
协议类型:支持IPv4和IPv6协议。
对端设备地址类型:包括固定IP、动态IP、动态域名三种,请根据实际情况选择:选择固定IP,就填写上对端的IP地址;选择动态域名,就填写上对端外网绑定的域名。
认证方式:包括预共享密钥和RSA签名证书两种,按需选择。
预共享密钥与确认密钥:填入正确的预共享密钥,并确保连接双方采用的都是相同的预共享密钥。
本端连接线路:根据实际线路情况选择对应的出口线路。
加密数据流:选择设置标准IPSec VPN的感兴趣流以及第二阶段协商的参数。
点击<新增加密数据流>可进行感兴趣流与协商参数的配置,如下图。
各配置项目明确信息:
本端地址:设置标准IPSec VPN感兴趣流的源IP匹配规则,可填写单个IP或者IP网段。
本端内网服务:设置标准IPSec VPN感兴趣流的源内网服务匹配规则,可选择ALL Services、ALL TCP Services、ALL UDP Services、ALL ICMP Services这四种服务类型的某一种,请按需选择。
对端地址:设置标准IPSec VPN感兴趣流的目的IP匹配规则,可填写单个IP或者IP网段。
对端内网服务:设置标准IPSec VPN感兴趣流的目的内网服务匹配规则,可选择ALL Services、ALL TCP Services、ALL UDP Services、ALL ICMP Services这四种服务类型的某一种,请按需选择。
阶段二安全提议:选择阶段二协商时所使用的参数,包括所使用的协议、加密算法、认证算法、是否启用密钥完美向前保密(PFS);其中数据包封装所使用的协议包括AH、ESP协议;数据加密所使用的加密算法包括DES、3DES、AES、AES192、AES256、SANGFOR_DES和SM4;选择数据认证的认证算法包含MD5、SHA1、SHA2-256、SHA2-384、SHA2-512和SM3。
优先级:设置本端地址和对端地址优先级用于标识路由优先级。

注意:最后确定保存后,在应用控制策略配置中放通VPN区域数据访问权限
七、 设备安全巡检
     1、深信服社区下载超融合巡检工具,此链接下载 aDeploy3.7.5

     2、安全设备巡检工具下载连接:
       注意:实施正式设备在上架完成后,先用巡检工具做一次安全巡检,在接入客户网络前完成补丁安装,以免后续后续操作造成影响。

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

韩_鹏 发表于 2024-9-27 09:02
  
感谢分享                            
taoyb 发表于 2024-7-13 11:33
  
感谢分享,有利于工作和学习
小鱼儿 发表于 2024-7-13 11:33
  
感谢分享,有利于工作和学习
蔺嘉宾 发表于 2024-7-13 11:27
  
感谢分享,有利于工作和学习
鲤鲤 发表于 2024-7-13 11:27
  
感谢分享,有利于工作和学习
鲤鲤 发表于 2024-7-13 11:27
  
感谢分享,有利于工作和学习
朱墩2 发表于 2024-7-13 11:18
  
感谢分享,有利于工作和学习
小小胖 发表于 2024-7-13 11:18
  
感谢分享,有利于工作和学习
小德 发表于 2024-7-13 11:18
  
感谢分享,有利于工作和学习
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

124
74
30

发帖

粉丝

关注

26
8
0

发帖

粉丝

关注

70
36
1

发帖

粉丝

关注

6
14
0

发帖

粉丝

关注

18
10
5

发帖

粉丝

关注

本版达人