#原创分享#GAP双机部署以及割接场景
  

C罗单手卸AF 153564人觉得有帮助

{{ttag.title}}
近期遇到很多小伙伴遇到网闸GAP双机部署以及对割接很疑惑,而且缺乏经验,并且本人一直以来想发一篇关于网闸的讲解,正好借着近期的项目,我们就来某公司GAP经典部署场景。

什么是网闸呢?
学名:安全隔离与信息交换系统, 硬件上采用“2+1”的系统架构,在两个不同的安全域之间,采用专用硬件切断连接,通过应用代理和协议转换的手段,以信息摆渡的形式实现数据的安全交换。别名:网闸、工业安全隔离装置、视频网闸。

网闸的需求来自那里?
1、两端业务的服务器IP都是同一段,甚至是同一个IP地址,怎么办?
2、两端数据库服务器不一致,表结构不一致,谁都不想二次开发,怎么办?
3、不想把内部核心业务服务器的数据库开放给对方业务,怎么办?
4、客户想要保持两端业务平台的数据、文件一致性,怎么办?
5、客户两端网络是不同厂商的视频平台,想要做平台级联,怎么办?

网闸的核心价值是什么?
网闸的核心功能就是解决不同安全域中业务系统之间的数据交换问题。

网闸和防火墙的区别是什么?(这是大家问的最多的问题)
区别如下图所示:

----------------------综上,我们的网闸宝宝它来啦 !-----------------------

接下来我们以一个经典场景为例来讲解网闸的双机模式,以及割接场景。
需求:客户比较重视网络环境高可用性,要求进行双机部署。

我们先列出一个场景,部署前网络拓扑为:


要求部署成功后的网络拓扑为:


我们首先分析一下,按照常规想法:

1、割接前测试所有业务访问并记录;

2、割接前备份现网设备配置,导入到新设备中,新设备配置为从设备,并将备线路同时接好线,但并不接入到现有网络环境

3、旧防火墙、旧路由器完成对应接口更改后,旧网闸设备取消聚合接口的配置,此时查看业务是否正常。不正常及时排查解决,无果则重新启用聚合接口(就防火墙、旧路由器、旧网闸),优先保障业务恢复,正常则进行下一步操作。


4、旧网闸,勾选主设备,防火墙,路由器开启主备机制,同时完成旧设备连接与新设备的HA线,检查双机状态。备线路上线,此时查看业务是否正常,不正常及时排查解决,无果则禁用各设备双机(旧防火墙、旧路由器、旧网闸),优先保障业务恢复,正常则进行下一步操作。


5、拔掉旧网闸上联或下联的业务线,此时旧网闸切换为备机,新网闸切换为主机,查看业务是否正常,不正常及时排查解决,无果则禁用各设备双机(旧防火墙、旧路由器、旧网闸),优先保障业务恢复,正常则进行下一步操作。

6、此时主备都已经正常,可以切换回主线路



  但是这样部署会有问题,那就是第三步过程中‘取消旧网闸聚合接口的配置’,一旦出现问题,需要两方重组聚合口,业务中断时间较长,所以此方案不合适。

  故后来再次提出一个方案解决了上述问题,步骤如下:

1、割接前测试所有业务访问并记录。

2、备份现网设备配置,导入到新设备中,修改新设备管理IP地址与现设备相同,并取消新网闸对应的聚合配置,以及修改安全通道、规则。将新设备配置为单机设备,此时网闸配置接口有相关风险点(文档最后有诠释),并将新华三防火墙、新网闸、备路由器连接上线,但并不接入到现有网络环境。

配置导入、导出:

修改新设备管理IP:

取消聚合:

将聚合接口对应的IP添加到所需网口,例如:

修改安全通道以及规则:

此时网络拓扑为:

3、将旧设备业务通过硬切换(拔线)的操作,将业务切换至新设备上(当前网闸设备型号为GAP-1000-C640,接口最大支持1Gbps,防火墙上业务量目前为4Kbps,故切换为单链路可以支持)进行业务访问是否正常,不正常及时排查解决,无果则重新将业务切回旧设备上(旧防火墙、主路由器、旧网闸),优先保障业务恢复,正常则进行下一步操作。

注意:此时旧设备以及新设备都为单机状态,并未组双机。

此时的网络拓扑为:

4、将旧设备(旧防火墙、旧网闸、主路由器)配置为主机,此时网闸配置接口有相关风险点(文档最后有诠释),以及取消链路聚合配置、修改安全通道、规则(配置同2相同)。并与现链路(即新设备:新防火墙、新网闸、备路由器)进行切换,观察业务访问情况是否正常,不正常及时排查解决,无果则将业务切回新设备,优先保障业务恢复,正常则进行下一步操作。

注意:此时旧设备为主机状态,新设备为单机状态,两台设备并未组双机。

旧网闸配置:
注意:实时过程中主、备都需要勾选‘发现通信口异常即停止工作’

切换后的网络拓扑为:


5、将新设备(新防火墙、新网闸、备路由器),与旧设备(旧防火墙、旧网闸、主路由器),组建双机。观察业务访问情况是否正常,不正常及时排查解决,无果则取消双机,优先保障业务恢复,正常则进行下一步操作。

新网闸配置如下:

主机组建成功状态:

备机组建成功状态:

此时的网路拓扑为:


6、此时旧设备为主线路、新设备为备线路。需要进行一次切换,即切换后旧设备为备线路,新设备为主线路,切换后观察业务访问情况是否正常。不正常及时排查解决,无果则将线重新插回,优先保障业务恢复,正常则进行下一步操作。

切换后的网络拓扑为:

7、将旧设备恢复接线,即业务从备线路切回主线路,切换后观察业务访问情况是否正常,不正常及时排查解决,无果则将线重新插回备线路,优先保障业务恢复,正常则进行下一步操作。

  切换后的网络拓扑为:
     

-------------------------------------------------------网闸宝宝分界线--------------------------------------------------------

风险点:网闸主备切换为二层切换,需要上联华三防火墙配置为‘主备切换时,备机网口DOWN’的功能,防止后续出现三层问题切换,网闸没有切过去的问题。

此次的场景很经典,既保证了业务的连续性最好,又保证了网闸的双机部署。其中细节还有很多,望大家多指教。

打赏鼓励作者,期待更多好文!

打赏
36人已打赏

我的堡垒机碉堡了! 发表于 2021-1-4 09:59
  
这是一个网闸的双机割接的典型场景,操作步骤、注意事项都特别的详细,而且图文并茂,非常清晰,有参考价值,感谢楼主的精心分享。
JM 发表于 2020-12-18 19:30
  
打卡学习。
新手780102 发表于 2020-12-19 10:12
  
感谢分享,学习走起
新手517842 发表于 2020-12-22 12:32
  
精华,感谢楼主的分享
蟲爺 发表于 2020-12-28 00:12
  
感谢分享
ie5000 发表于 2020-12-28 00:38
  
透彻,感谢分享
暗夜星空 发表于 2020-12-28 08:00
  
多谢楼主分享,向大佬学习
angelccn 发表于 2020-12-28 08:31
  
感谢分享,学习起来
水之蓝色 发表于 2020-12-28 08:41
  

打卡学习
Hellos 发表于 2020-12-28 08:45
  
精华,感谢楼主的分享
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
安装部署配置
排障笔记本
自助服务平台操作指引
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

adds

本周建议达人

无极剑圣

本周分享达人

新手25642...

本周提问达人