【8.0.95】总部新老架构防火墙替换+分支VPN逐步切换

【8.0.95】总部新老架构防火墙替换+分支VPN逐步切换

【背景】客户总部原防火墙设备版本为8.0.8，控制台登录、管理界面卡顿。客户运维管理人员体验不佳，同时设备维保服务过期。同时，原有防火墙与分支防火墙使用Sangfor VPN组网，分支与总部之间可以互访。

【客户预期】客户为提高组网的可靠性、安全性，以及提升运维人员的体验。新购两台新防火墙替换原有的出口防火墙。同时完成分支VPN的接入切换，尽量小影响完成VPN的切换。

【实施步骤】

新旧防火墙配置同步：

1、导出8.0.8防火墙的配置。

2、联系二线400同事，协助完成配置转换为bin包。

注意事项：低版本老架构的配置不能直接导入新架构中。

配置转换的基本路线是8.0.8 -->8.0.35 --> 8.0.75 -->8.0.95。

要注意新老设备的网口数量。

3、完成配置转换后，通过打补丁的方式完成配置导入。

注意事项：可以在虚拟环境中，验证配置是否和原来的一致。需要认真校验。

下图是支持转换的配置信息。不支持的部分需要自行手动配置。

分支VPN切换实施方案：

1、客户侧针对完成配置转换后的设备，修改互联网接口的IP地址为新的IP地址。内网接口为也为新的地址。完成上架部署。

2、此时修改新防火墙设备中VPN的主接入地址端口以及互联网线路。

注意：此处线路修改为全新的公网地址信息。检查时要保证线路接口信息与公网IP保持一致！！！！

3、在接入账号管理中，新建用于分支接入的新账号。与原有分支接入账号区分开。

4、此时分支VPN接入前准备工作已完成。

分支VPN切换步骤：

1、原先总部访问分支防火墙设备通过隧道实现。为避免新建隧道影响总部对分支设备的操作管理。在本地访问控制以及互联网接口开放WEBUI总部的互联网管理权限。

2、在分支防火墙设备上完成新VPN账号接入。

3、完成账号接入之后，在连接管理上禁用原有的接入账号。

4、此时等待新隧道的建立。直至新隧道的建立。

5、此时需要客户侧的运维老师修改原有的路由。下一跳指向新的防火墙地址。

6、整体分支VPN设备切换完成。

7、配合客户完成业务校验。

说明：总部+多分支情况下，可以逐步切换，直至完成全部切换。旧设备下架。

感谢分享，学习一下

项目实施介绍得非常清楚，感谢分享