【原创首篇】深信服网闸GAP端口链路聚合与快速上线,慎重查看。
  

安城丶 18667

{{ttag.title}}



项目要求:
由于客户等保要求,在重要业务区域需要部署网闸进行物理隔离。但是由于客户要求过高,防范区域服务器网段杂乱,只能启用某公司网闸的透明代理模式,以进行五元组的限制,达到限制的目的。

脱敏拓扑:
95355d6e00c0eb5aa.png
实施方案:
1、 将GAP部署在核心交换与服务器交换之间。
2、 进行业务端口统计,源目统计。
3、 由于服务器较多,使用某公司网闸自带的链路聚合模式。

实施步骤:
(1)、配置GAP工作模式
使用系统管理员账户登录系统,在 【设备管理】-【基本设置】处更改当前工作模式, 点击应用保存。
896205d6e00cd79463.png
(2)、配置链路聚合
【设备管理】-【网络接口】-【负载均衡】
878925d6e00d89f985.png
说明:负载均衡模式mod说明
使用之前整理的表格,此表也适合交换机与服务器绑定聚合。
665385d6e00e2c9d0d.png
根据上表我们将网闸聚合模式设置为Mod=4,对应网络设备的lacp模式。交换机配置如下。

(3)友商配置交换机聚合模式:
HUAWEI聚合
interface Eth-Trunk1
description Sangfor_wangzha_H3C_server
portlink-type trunk
port trunk allow-pass vlan 2 to 4094
modelacp

interface GigabitEthernet3/0/34
eth-trunk 1
#
interface GigabitEthernet3/0/35
eth-trunk 1

H3C聚合(查证默认好像就是lacp模式)
interface Bridge-Aggregation1
description Sangfor_GAP
portlink-type trunk
porttrunk permit vlan all

interface GigabitEthernet1/0/23
portlink-type trunk
porttrunk permit vlan all
portlink-aggregation group 1
#
interface GigabitEthernet1/0/24
portlink-type trunk
porttrunk permit vlan all
portlink-aggregation group 1


(4)、配置网络对象
【 策略管理】-【对象】可绑定对象组包含多个对象进行管理
注:由于服务器区域有对外发布业务,由于公网地址变化问题,所以网络对象中需要包含any的对象。
l  定义服务器网段
l  定义访问区网段
l  定义公网区网段
976615d6e01ab9b76b.png
(5)、定义端口服务
【 策略管理】-【应用】可绑定应用组包含多个应用端口进行管理进行端口控制。
88015d6e01b2b37c7.png

(6)、配置安全端口
【策略管理】-【安全通道】处定义策略所需安全通道(内到外)
注:由于前面配置链路聚合接口需要配置为Bond。
985845d6e01bd24be7.png
(7)、配置规则
【策略管理】- 【规则】处选定已配置的信息,动作为允许。
注:GAP与防火墙类似,未匹配到的流量或者不在规则中的都已禁止动作处理,默认隐藏全拒绝。
148405d6e01c4cb74a.png
由于规则端口无法细化确认。此规则仅做上线处理。
(8)、业务测试
使用PC访问服务器,发现大量丢包。无截图。经过江苏区400确认后,发现GAP会通告大量的日志占满带宽,导致丢包严重。经研发处理后打上补丁业务正常,无丢包现象。
补丁文件见附件:
操作方式:【设备管理】- 【备份升级】
374245d6e03c91e8a2.png

深信服网闸链路聚合不稳定补丁包.rar

2.86 MB, 阅读权限: 10, 下载次数: 25

【原创首篇】深信服网闸GAP端口链路聚合与快速上线.pdf

656.74 KB, 阅读权限: 10, 下载次数: 65

华为、Cisco交换机与服务器对接链路聚合配置.pdf

551.88 KB, 阅读权限: 10, 下载次数: 50

打赏鼓励作者,期待更多好文!

打赏
11人已打赏

dengjiaheng 发表于 2019-9-3 15:56
  
学习学习
秋水伊人 发表于 2019-9-3 17:26
  
谢谢分享
蓝海 发表于 2019-9-3 17:26
  
谢谢分享
rico 发表于 2019-9-4 11:30
  
牛叉,很牛叉,很努力学习了
狗蛋 发表于 2019-9-4 21:25
  
网闸部署很难遇到啊
沧海 发表于 2019-9-4 22:45
  
谢谢分享
夏末未至 发表于 2019-9-5 08:00
  
感谢分享
少攀 发表于 2019-9-5 09:16
  
谢谢分享
adds 发表于 2019-9-6 14:03
  
感觉妥妥的防火墙配置啊。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
标准化排查
秒懂零信任
自助服务平台操作指引
信服课堂视频
新版本体验
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人