#每日一记#替换天马汉青防火墙

   

    1、需求

     客户购买了一台深信服防火墙，需要替换之前的天马汉青防火墙。

    2、配置

    2.1   天马汉青防火墙

    1）接口

   

    2）路由

   

    3）自定义服务

   

   

   

    4）安全策略

   

    5）NAT规则

   

    6）IPSec VPN

     

     

   

    2.2  防火墙配置

    1）基础配置

     配置接口、路由、对象、安全策略、地址转换、应用控制策略。

    2）VPN配置

   

     

     3）故障排查

     版本不匹配：

     

      协商参数不对：

      

      预共享密钥不对：

      

       应用控制策略拦截：

      

    3、 SIP登录地址修改

    21年6月帮客户部署一台软件版SIP，结果客户无法登录。

    碾转两天，才排查出是客情电脑接错口了。

    访问不到时的接口：

     

     正确的接口：

     

    4、其他注意点

    4.1  虚拟机卡问题排查

    1）现象

    虚拟在使用过程中卡钝，如果数量少不会出现这种情况。

   目前虚拟机有100+，正常上班50+。

   44个人不卡，可以接受。

   2）排查

    虚拟机总数109台，运行中68台，未运行41台。

   CPU使用率60%，内存使用率65%。

   3）建议

   1>将虚拟机内存调大。1.5-2倍。

   2>虚拟机在下班时间断正常关机，不要常时间开机运行。

   3>在虚拟机卡钝时，排查具体原因。如CPU、内存、应用进程、网络等可能的点。

    4.2  虚拟机登录失败

   1）现象

    虚拟机开机报内存不足。

   

   2）排查

   检查服务器资源使用率，确实过高。

   

   为什么之前好好的，突然就内存不够了呢？查看两台主机的内存，一台160，一台256，应该是160的内存掉了。

   

   由于服务器是华为服务器，告知客户重新插拔如果无效后，需要厂家排查是否内存故障了。

   3）解决

    临时解决方案是，把虚拟机的内存值由6G降到4G，保障所有虚拟机都可正常使用。

感谢楼主分享！文章对解决AF设备替换第三方厂商防火墙的问题很有帮助，在替换完后ipsec vpn不通时能根据直通日志定位到具体的问题原因，思路清晰明了，期待楼主有更加精彩的分享~

有助于学习！！！！！！！！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

不多耶，主要是IPSEC我没怎么玩过，不过很棒了，收藏了

原来的防火墙界面好low

每天学习一点，每天进步一点。

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享，有助于工作和学习