记一次出口SSL集群替换
  

飞飞飞 3550511人觉得有帮助

{{ttag.title}}
本帖最后由 飞飞飞 于 2023-5-23 10:47 编辑

SSL放出口也是比较难的遇到的,所以在此做一次记录,希望对后续实施的小伙伴有帮助。

一、出口设备信息收集。(这是替换项目中比较重要的一步了。)
①出口设备版本信息。

②配置截图。(尽可能截图截的详细点,留个底,以防万一。)
③配置导出。(建议手动导出两边的配置,不要用集群配置导入到两边新设备里面。)

二、新设备版本信息确认
①确认旧设备的配置是否可以直接导入到新版本。
    此次替换想的旧设备版本是7.6.8R1,新设备版本是7.6.8R2。(找400确认说这两个是平行版本不支持导入,建议新设备升级到7.6.9R1,支持低版本导入高版本。)
②同步新旧设备的版本。
    这边是替换的客户属于金融客户,客户关注也关注到了这点,这个也是要非常重视的,可能存在影响业务的定制,没有同步过去的话,到时候替换上去可能会影响客户业务。(这一步找400协助)

三、配置导入
①关注备机配置
    我这次是只导出了主机的配置,分别导入到两台新设备,所以要关注备机和主机的配置差异。

(这里不太清楚为什么不一样的兄弟可以去看一下社区的部署文档,对外提供业务是WAN集群IP。)

(lan口地址不同,这个是肯定的。)

四、配置导入后配置检查,以及发现的问题。
①新旧设备授权不同。确认差异,新设备当前授权是否符合客户需求。
②769R1版本新加集群心跳时间设置,默认是32秒。768R1版本没有心跳时间设置,默认8秒。这个需要和客户确认,具体的时间安客户需求来。

五、设备上架、替换。
①设备接线拍照。(要让自己知道那根线接哪里,别到时候没搞清楚就尴尬了。)
②设备上架。最好的方法就是将新设备全部上架,然后先接主设备,在接备设备的线。(那台设备先入网,谁就是分发器。
但是客户环境没有那么多的位置,我这边是将旧设备的备机下架,然后新设备都上架。再将旧设备主机的网线,切换到新设备主机上。这样的切换时间,就只有这一下切换网线的时间。

六、替换检查。
①第一点当然检查业务。这边客户业务主要是IPsecVPN,替换前在线12条IPSecVPN,替换后在线同样也是12条IPsecVPN。检查链路上网是否正常。
②集群状态检查。这个主要就看看分发器,真实服务器是不是都对上了。
③设备授权检查。这里也是客户注意到的点,客户说自己的授权为什么少了。
先解释一下这里几个代表什么:分支机构数:IPSecVPN授权,SSL VPN用户总数:这个就是SSL的,IPsec移动用户数:PDLAN用户接入最大授权数。
客户关注的就是SSL和IPSecVPN两部分。
客户说SSL为什么只有151,自己明明买了502个。(这里其实也是我操作有问题,IPsec移动用户数的100是我按照之前旧设备去配置的。结果这个授权压根没什么用,还占用了SSL的授权。)
最后强调集群不管负载均衡部署还是主备部署授权共用。
后面把IPSec移动用户数编辑为0,SSL就有251*2=502。


打赏鼓励作者,期待更多好文!

打赏
87人已打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人