绿盟防火墙配置手册_双链路环境下不同品牌防火墙更换案例分享
引言
? ? ? 不同品牌防火墻在整體更換時,實施遷移時除了將防火墻的接口IP地址,路由,安全策略進行遷移時,在實際更換時還可能遇到一切奇怪的問題,尤其是在雙鏈路的環境下。
案例背景
? ? ??因業務需要,需要把正在運行的Juniper ISG-2000換成啟明星辰 T12600。防火墻與局域網互聯工作在三層路由互聯模式,防火墻與IDC交換機工作在二層互聯模式。
實施前準備工作
? ? ??正式實施前,首先測試了整個網絡的聯通性,方便對比實施前后網絡的聯通情況,然后再次核對一下更換前后防火墻的配置,確認防火墻IP接口地址,路由等重要信息無誤。如果割接后出現的重大問題,無法在短時間內解決而影響業務,需快速回退,保護業務在較短時間內恢復。
實施中出現的問題以及解決問題思路
? ? ??核實一些重要配置無誤后,開始實施。下線ISG2000,上線啟明T12600,立即進行網絡測試。
???第一步,先要測試的是防火墻與上層網關的聯通性,先在防火墻測試與局域網互聯接口IP之間的聯通性,在防火墻上嘗試PING 10.x.x.3,發現PING不通,查看對應的ARP表項也不存在。
? ? ??網絡出現故障后,按照網絡OSI七層架構從下往上逐一排查。
? ? ??物理層:接口指示燈正常閃亮并無告警,查看接口對應的標簽發現A,B與C,D線路接反了,把線路換回去,再測試鏈路,發現PING?10.x.x.3可以通。
??防火墻與上聯局域網鏈路正常聯通,接下來要在終端測試IDC區業務,在終端PING IDC區業務地址10.x.x.8存在不定時丟包現象。
? ? ????防火墻B接口斷開,只留A接口,然后測試業務,發現終端長PING IDC區10.x.x.1業務地址并無丟包。
? ? ???因為防火墻與局域網互聯的鏈路采用的是雙鏈路模式,可能是防火墻雙鏈路路徑來回不一致的問題導致的,接下來要驗證這個想法。
????? ????將防火墻B接口斷開,只留A接口,然后測試業務,發現終端長PING?IDC區10.x.x.1業務地址并無丟包
????? ????將防火墻A接口斷開,只留B接口,然后測試業務,發現終端長PING IDC區10.x.x.1業務地址并無丟包。? ? ? ? ?
????? ????將防火墻A,B接口都接上,然后測試業務,發現終端長PING IDC區10.x.x.3業務地址又丟包。
???從上述幾個測試步驟可以證明是PING測試流量通過防火墻時,很可能是由于防火墻的雙鏈路的環境導致來回路徑不一致產生的。
? ? ??為了解決這個問題,登陸防火墻T12600找到“參數管理”的子選項“來回路徑一致性”勾去掉(來回路徑不一致,可以從B接口進A接口回,也可以A接口進B接口回,通過防火墻的數據包都是不會丟的。如果驗證來回路徑一致,只能A接口進A接口回,或者只能B接口出B接口回,進出接口不一致易出現丟包現象)。
? ? ??修改防火墻系統參數后,將防火墻A,B接口都接上,然后測試業務,發現終端長PING IDC區10.x.x.3業務地址不丟包。
此次實施過程中出現問題的原因是:
? ? 1.?不同品牌防火墻在雙鏈路的網絡環境下,系統默認參數設置不一致,導致來回數據包在雙鏈路環境下出現丟包現象。
? ? 2.?實施時工程師操作上的失誤,防火墻上聯口A,B與下聯口C,D接口接反。
往期文章推薦:
網絡攻防-網絡工程師之防范手冊
客戶體驗越來越重要,要如何做好客戶體驗管理?
中間件運維僅僅只剩下重啟嗎?
【經驗分享】ARP故障專題案例分享一
【經驗分享】ARP故障專題案例分享二
【經驗分享】系統Oracle數據庫集群節點啟動失敗故障處理案例
【職場經驗】如何寫一份得體的職業郵件?
【經驗分享】ARP映射錯誤處理案例分享
【經驗分享】使用sqlldr工具導入oracle數據庫方法
【經驗分享】GoldenGate Replicat 進程延遲問題處理案例分享
▼更多精彩推薦,請關注我們▼總結
以上是生活随笔為你收集整理的绿盟防火墙配置手册_双链路环境下不同品牌防火墙更换案例分享的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python日志模块备份_Python
- 下一篇: 【Pytorch神经网络实战案例】01