|
近期遇到很多小伙伴遇到网闸GAP双机部署以及对割接很疑惑,而且缺乏经验,并且本人一直以来想发一篇关于网闸的讲解,正好借着近期的项目,我们就来某公司GAP经典部署场景。
什么是网闸呢? 学名:安全隔离与信息交换系统, 硬件上采用“2+1”的系统架构,在两个不同的安全域之间,采用专用硬件切断连接,通过应用代理和协议转换的手段,以信息摆渡的形式实现数据的安全交换。别名:网闸、工业安全隔离装置、视频网闸。
网闸的需求来自那里? 1、两端业务的服务器IP都是同一段,甚至是同一个IP地址,怎么办? 2、两端数据库服务器不一致,表结构不一致,谁都不想二次开发,怎么办? 3、不想把内部核心业务服务器的数据库开放给对方业务,怎么办? 4、客户想要保持两端业务平台的数据、文件一致性,怎么办? 5、客户两端网络是不同厂商的视频平台,想要做平台级联,怎么办?
网闸的核心价值是什么? 网闸的核心功能就是解决不同安全域中业务系统之间的数据交换问题。
网闸和防火墙的区别是什么?(这是大家问的最多的问题) 区别如下图所示:
----------------------综上,我们的网闸宝宝它来啦  !-----------------------
接下来我们以一个经典场景为例来讲解网闸的双机模式,以及割接场景。 需求:客户比较重视网络环境高可用性,要求进行双机部署。
我们先列出一个场景,部署前网络拓扑为:
要求部署成功后的网络拓扑为:
我们首先分析一下,按照常规想法: 1、割接前测试所有业务访问并记录;
2、割接前备份现网设备配置,导入到新设备中,新设备配置为从设备,并将备线路同时接好线,但并不接入到现有网络环境 3、旧防火墙、旧路由器完成对应接口更改后,旧网闸设备取消聚合接口的配置,此时查看业务是否正常。不正常及时排查解决,无果则重新启用聚合接口(就防火墙、旧路由器、旧网闸),优先保障业务恢复,正常则进行下一步操作。
4、旧网闸,勾选主设备,防火墙,路由器开启主备机制,同时完成旧设备连接与新设备的HA线,检查双机状态。备线路上线,此时查看业务是否正常,不正常及时排查解决,无果则禁用各设备双机(旧防火墙、旧路由器、旧网闸),优先保障业务恢复,正常则进行下一步操作。
5、拔掉旧网闸上联或下联的业务线,此时旧网闸切换为备机,新网闸切换为主机,查看业务是否正常,不正常及时排查解决,无果则禁用各设备双机(旧防火墙、旧路由器、旧网闸),优先保障业务恢复,正常则进行下一步操作。 6、此时主备都已经正常,可以切换回主线路
但是这样部署会有问题,那就是第三步过程中‘取消旧网闸聚合接口的配置’,一旦出现问题,需要两方重组聚合口,业务中断时间较长,所以此方案不合适。
故后来再次提出一个方案解决了上述问题,步骤如下:
1、割接前测试所有业务访问并记录。
2、备份现网设备配置,导入到新设备中,修改新设备管理IP地址与现设备相同,并取消新网闸对应的聚合配置,以及修改安全通道、规则。将新设备配置为单机设备,此时网闸配置接口有相关风险点(文档最后有诠释),并将新华三防火墙、新网闸、备路由器连接上线,但并不接入到现有网络环境。
配置导入、导出:
修改新设备管理IP:
取消聚合:
将聚合接口对应的IP添加到所需网口,例如:
修改安全通道以及规则:
此时网络拓扑为:
3、将旧设备业务通过硬切换(拔线)的操作,将业务切换至新设备上(当前网闸设备型号为GAP-1000-C640,接口最大支持1Gbps,防火墙上业务量目前为4Kbps,故切换为单链路可以支持)进行业务访问是否正常,不正常及时排查解决,无果则重新将业务切回旧设备上(旧防火墙、主路由器、旧网闸),优先保障业务恢复,正常则进行下一步操作。
注意:此时旧设备以及新设备都为单机状态,并未组双机。
此时的网络拓扑为:
4、将旧设备(旧防火墙、旧网闸、主路由器)配置为主机,此时网闸配置接口有相关风险点(文档最后有诠释),以及取消链路聚合配置、修改安全通道、规则(配置同2相同)。并与现链路(即新设备:新防火墙、新网闸、备路由器)进行切换,观察业务访问情况是否正常,不正常及时排查解决,无果则将业务切回新设备,优先保障业务恢复,正常则进行下一步操作。
注意:此时旧设备为主机状态,新设备为单机状态,两台设备并未组双机。
旧网闸配置: 注意:实时过程中主、备都需要勾选‘发现通信口异常即停止工作’
切换后的网络拓扑为:
5、将新设备(新防火墙、新网闸、备路由器),与旧设备(旧防火墙、旧网闸、主路由器),组建双机。观察业务访问情况是否正常,不正常及时排查解决,无果则取消双机,优先保障业务恢复,正常则进行下一步操作。
新网闸配置如下:
主机组建成功状态:
备机组建成功状态:
此时的网路拓扑为:
6、此时旧设备为主线路、新设备为备线路。需要进行一次切换,即切换后旧设备为备线路,新设备为主线路,切换后观察业务访问情况是否正常。不正常及时排查解决,无果则将线重新插回,优先保障业务恢复,正常则进行下一步操作。
切换后的网络拓扑为:
7、将旧设备恢复接线,即业务从备线路切回主线路,切换后观察业务访问情况是否正常,不正常及时排查解决,无果则将线重新插回备线路,优先保障业务恢复,正常则进行下一步操作。
切换后的网络拓扑为:
-------------------------------------------------------网闸宝宝分界线 --------------------------------------------------------
风险点:网闸主备切换为二层切换,需要上联华三防火墙配置为‘主备切换时,备机网口DOWN’的功能,防止后续出现三层问题切换,网闸没有切过去的问题。
此次的场景很经典,既保证了业务的连续性最好,又保证了网闸的双机部署。其中细节还有很多,望大家多指教。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2021-1-4 09:59
技术员1级 
