本帖最后由 魏溢森 于 2023-7-25 15:31 编辑
本次分享一个最近重大变更的案例
变更目的:客户要更改网络架构走向,可以说是一整个大换血,本次参与变更主要目的是根据客户需求,更改设备上架位置到指定地方,并按要求做相应的功能配置。
变更窗口期:一个夜黑风高的夜晚
变更概述:本次涉及改动主要有AF、VPN、AC
AF:这次重点主要还是放在防火墙上面,因为不管是数量还是业务程度都是相当的重要,其中六台两 两一组做透明主主,出口还有两台防火墙做的主备配置和设备位置无需更改,只需对接核心交换 机的ospf即可,共计八台设备。 SSLVPN:VPN的话主要是更改WAN口IP地址,并在防火墙上面更改映射信息。
AC:本次整体变更来说主要是交换机的改动(涉及到网关变动),因为用户上网认证方式是通过用户绑 定MAC的方式,所以上网行为管理上面有配置跨三层配置,本次割接的最后阶段需要将网关交换 机的配置改写到上网行为管理上
准备工作(白日) 因为涉及防火墙组建双机还是双主,所以咱们提前到现场核对当前防火墙信息是否支持双机部署。 设备一(详细版本) 设备二(详细版本) 设备一(授权信息) 设备二(收钱信息) 设备一(规则库) 设备二(规则库) 设备一(网口数量) 设备二(网口数量) 设备一(CPU、内存、硬盘 )因为是同一型号的所以这个基本没差 设备二(CPU、内存、硬盘 ) 这次设备版本都是8.0.48以下的,这个比较标准就粘贴过来了。 1、设备软件版本、详细的版本信息(appversion)需要完全一致,且详细版本中补丁包的顺序也需要完全一致(软件版本不一致会导致无法同步)
2、设备型号可以不一致,但是网口数量需一致(数量不一致,会导致同步配置异常,从标准版本AF8.0.45开始【高可用性】功能里支持禁用多余接口来支持新老设备的接口数不同组双机)
3、cpu核心个数、内存大小、磁盘大小需一致(性能不一致,会导致处理性能不一致)
4、功能序列号一致(两台设备分别授权,但要求开启的功能一致,功能序列号不一致,会导致同步配置异常)
特别注意:
涉及到数量的授权:如线路数、SSL用户数等,实际最大使用数不超过较低的那台设备授权数的情况下,可以。
若主控授权数超过备控,当前实际授权使用数量又大于备控授权数,主备切换的时候可能会导致功能使用异常
规则库有效期不一样:不影响双机建立,但是如果规则库的有效期不一致,切换到序列号过期的一台设备时,会导致误判或漏判的情况
升级序列号有效期不一样:不会影响组双机,详细版本信息一致和补丁包顺序即可
5、双机配置要一致。
双机同步配置要一致,这是双机配置与设备无关
双机vrrp组的配置要一致,这是双机配置与设备无关
注意:AF需要是虚拟网线模式、旁路模式或者是透明模式部署的才可以做双主
比对完成之后该打包打包、该升级升级
1、接口配置(配置双机之前需要先把HA心跳口IP配置完成) 2、心跳口配置(选择刚刚配置的心跳口)
3、配置同步(选择你想同步的内容)
4、双机聚合配置(双主在这里配置,然后选择对端对应的接口走向,一般都是选择一致即可) 双机热备:配置这个就是主备 这里要强调很重要的一点 如果上下游有任意一边设备,做了链路聚合就选择上下游堆叠 如果上下游没有做链路聚合,那就直接选择上下游路由即可
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-7-26 11:22
工程师3级 
