新架构网闸部署指南(仅供参考)
  

武汉通威—大佬刘超 58

{{ttag.title}}
一、前言
自深信服网闸默认发货改成新网闸,之前老网闸的部署知识都不管用了,又得一步一步踩坑学习,通最近的网闸项目,总结了新架构网闸的三种模式的部署参考以及坑点,供各位大佬参考~
1.版本知识:
网闸自3.0.4之后为新架构网闸版本,3.0.x为旧架构版本,3.2.x为新架构版本
新架构网闸内闸和外闸是属于两个独立的,但是都在一台设备上

2.版本升级:
新架构网闸默认发货版本是3.2.3,坑点之一就是这个3.2.3版本,这个版本bug极多,界面上无法配置路由和透明模式,建议遇到次版本就升级到最新版本,升级版本一定务必要看support网站中的升级指导,因为新架构网闸和传统网闸不一样,内闸外闸是分开管理的,如果只升级了一边会出现各种各样的问题;而且如果网闸存在光口还要注意网口乱序,需要协调400客服进后台处理。

二、网闸配置
网闸配置分为三种部署模式,路由部署、透明部署,部署操作可以只登录备闸配置就行,但是排障和诊断需要内外闸都需要登录
1.路由模式
1.1配置接口
路由模式首先配置接口,配置接口按路由模式规划,内闸和外闸分别配置对应地址,以及写对应路由
外闸接口配置
外闸路由配置
内闸接口配置
内闸路由配置
1.2配置资源
添加内闸区域和外闸区域需要互访的网段,也就是网闸上的资源
添加资源组
路由模式配置,配置任务
添加内外端资源组相关的任务
配置安全规则(默认都选接受,若需要阻止部分则配置拒绝规则即可;若只放通访问部分,则需要在对应规则上开丢弃,然后配置允许的规则)

2.透明模式
2.1透明模式配置
添加透明任务
2.2配置资源
添加内闸区域和外闸区域需要互访的网段,也就是网闸上的资源
添加资源组
2.3配置安全规则
透明模式安全规则可只配置内侧区域,内存区域安全规则选择drop,然后规则配置内端区的ip段到ip段的放行

3.代理模式
3.1内外闸接口配置
外闸接口配置
外闸默认网关配置
内闸接口及默认网关配置
3.2 协议代理配置
tcp协议代理配置
udp协议代理配置

4.注意事项
(1)路由和代理模式不建议一起用,代理模式需要指定默认网关,会导致路由识别问题
(2)路由模式版本升级到最新建议联系400确认,可能有后台写了路由升级后会出现问题
(3)使用代理模式时建议使用业务口进行管理,新架构网闸在当前版本需要管理和业务严格分开,运维网段不能同时访问业务网和管理网,因为网闸路由识别会有问题
(4)新架构网闸支持聚合,但是要注意修改聚合接口需要重启ip安全代理的服务或者重启设备,不然不会生效
(5)网闸配置代理模式后,探测代理后IP地址和端口不管实际业务状态都会是处于连通状态,需要测试web或者http业务来判断是否代理成功

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
高手请过招
【 社区to talk】
纪元平台
每日一问
产品连连看
新版本体验
社区新周刊
GIF动图学习
标准化排查
干货满满
自助服务平台操作指引
技术咨询
功能体验
社区帮助指南
每周精选
解决方案
秒懂零信任
技术笔记
技术盲盒
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人