替换网御防火墙遇到了这个问题？

     客户新上架了台深信服防火墙放在出口，后续想将下连的另一台网御防火墙替掉，将配置放在深信服防火墙上，但发现配置上去之后，网络却通信有问题。

      1、拓扑

      1.1  当前拓扑

       当前出口是深信服AF，但下面还有一台网御防火墙路由模式部署。客户觉得两台设备功能重叠，想去掉网御防火墙，把网御防火墙的配置放到AF上。

      

      1.2   规划拓扑

      规划后，网御防火墙从网络中移除，三台接入层SW的网关上移到深信服的AF上。

      

     2、排查配置

     2.1   网络连通性

     这里通过在终端上去ping自己的网关进行测试。

     2.2  应用控制策略

     应用控制策略未发现从内到外拒绝的数据包。

     2.3  添加白名单和开数据直通都没有效果

     2.4   抓包

     数据包从AF的外网口出去了，但没有回包。

     对比，10.11.141.0/24接在AF上，10.11.101.0/24不动。

     2.5   修改OSPF策略。

     将10.11.141.0/24、10.11.121.0/24、10.11.101.0/24都加入到OSPF区域。

     3、原因分析

      客户的AF配置了路由重分发，在有配置静态路由时，路由重分发会把10.11.141.0/24、10.11.121.0/24、10.11.101.0/24添加到OSPF里，对端会学到这三个网段的路由。

      

      

       当去掉网御防火墙设备后，该三个网段直连AF，路由重分发失效。

       此时，可以通过将这三个接口添加到OSPF区域里解决该问题。

     

     4、其他设备注意点

     4.1   Sundray XS3320交换机

     3320交换机默认是瘦默认，但在串口状态下无法查看状态，只能使用Trouble Shooting工具进行扫描查看状态。

     MGMT的IP为192.168.0.1，其他IP接口为192.168.1.10。RS系列串口波特率115200。SW系列为38400。

     恢复出厂命令：erase startup-config

     瘦转胖命令：switch mode fat

     

     4.2  在对电脑文件进行备份时，不要将文件压缩，有可能会出现将数据备份回来，解压缩出现数据丢失问题。

     4.3  更新规则库

     NTA 2.0.7离线更新安全检测特征识别库

     

     去社区下载懵了，里面有五项。

     

     一对五？

     咨询400后，才知道，可以多次下载分开导入。

     点击“当前版本”可以看到详细信息。

     

     下载对应版本，一个个导入即可。

mtxxydd mtjbydd

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

感谢分享，有助于工作和学习

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

多谢分享，有助于工作。

多谢楼主分享防火墙的相关知识，有助于工作。