一、案例背景
客户在五六年前购买了一台深信服防火墙放在出口使用,随着客户公司的业务不断发展,客户那边也是做的越来越好,随着业务的不断扩大,人员也是逐渐增多。由于老的防火墙的带宽不能满足实际的需求,所以客户新购一台接口高性能带宽的防火墙。 二、准备工作
和客户约定好能替换设备的时间之后,准备好螺丝刀,网线等其他上架设备所需要的各种工具之后,到达客户的机房之后按照客户指定的地方先将设备上架。
三、配置步骤 1.授权激活 2.配置接口、区域、路由 3.配置对象、控制策略、地址转换、安全策略 至此,经过检查和客户的老防火墙配置保持一致,为了验证替换是否正常,让客户进行了业务的测试(当时由于周末只能测试部分业务),替换之后的测试正常,客户确认了没有问题,本以为本次实施就圆满的完成了。 四、问题排查 替换当天由于时间原因,客户当时只能测试部分业务,等到工作日之后,客户反应两个问题,一是通过VPN无法登录,二是无法做到选路(联通走联通,移动走移动) 五、排查与分析 1、首先是登录客户老的防火墙进行配置的对比,通过检查了三次配置的问题之后,发现新老防火墙的配置是一样的没有问题(进行第一步的排查不是对自己实施的不信任,而是为了更好的排查问题),再次测试之后发现还是不行。 2、通过与客户确认VPN所使用的网段,对路由进行排查,发现老防火墙上的路由配置的太大了,也就是子网掩码配置的不够细致,后来把路由写的更细一点。VPN无法登录的问题解决了。 3、解决了第一个问题之后,选路的问题还是没有解决,排查之后发现还是路由问题,后来想到新版本的路由优先级与之前老版本的路由优先级相比有所改变。新版本的防火墙路由优先级可以自定义。通过更改路由的优先级之后问题解决了。 建议与总结 1.替换设备的过程中要考虑到是否存在版本之间的变化,像我这次的实施就存在,如果存在版本之间的差异性,一定要确认好差异性在哪,自己不确定的可以找其他同事或者原厂进行帮助。 2.替换设备不一定是非要按照之前的配置进行一比一的复制,我们应该要学会根据实际情况去进行判断,从而正确的改变我们的部署。 3.标准版本AF8.0.48,AF路由默认的优先级是:【直连路由】>【VPN路由】>【静态路由/动态路由】>【策略路由】>【默认路由】 AF6.8开始新增了【VPN与专线互备路由】功能,开启该功能后,路由优先级调整为:【直连路由】>【静态路由/动态路由】>【策略路由】>【VPN路由】>【默认路由】 新架构版本AF8.0.51开始支持自定义路由优先级修改路径如下: 【系统】-【通用设置】-【网络参数】里的路由优先级设置里自定义 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-9-23 15:48
发表于 2022-9-22 23:09
技术员2级 
