标签归档:深信服

深信服AC增加备HA口的配置方案

一、现有情况

目前有两台深信服AC使用eth2口作为HA口,使用一根网线互联。

二、本次需求

再增加一根心跳线,启用备HA口,以实现两台AC之间有两根心跳线。

三、实现步骤

操作前备份AC配置!

1、在AC主机A上修改部署模式,将eth3口加入到DMZ口,配置IP地址9.9.9.1/24,然后提交,此时A会重启, B由备机切换成主机,A重启完成后,此时B仍然是主机,A是备机;

2、修改B的部署模式,将eth3口加入到DMZ口,配置IP地址9.9.9.2/24,然后提交,此时B重启,A由备机切换成主机,B重启完成后,仍然是备机;

3、修改A的高可用性配置,将eth3口加入到备HA口,修改HA口的配置会提交重启高可用的进程,一旦进程重启时没有检测到备机,就会切换,一般设置的间隔时间是5秒钟,一般是不会引起主备切换,但是仍有一定几率会引起主备切换,B由备机切换成主机;

4、修改B的高可用性配置,将eth3口加入到备HA口,修改HA口的配置有一定几率会引起主备切换,A由备机切换成主机;

5、将A的eth3口与B的eth3口连接网线,整个过程完成。

四、影响范围

整个过程会发生4次主备切换,每次切换预计30秒左右,会短暂影响业务。

五、回退措施

如果配置后,HA状态异常或者业务中断,则优先恢复业务,回退本次修改的配置,并处理相关问题。

两台深信服防火墙主备部署在出口,前置两台运营商线路接入交换机场景的配置方法

现有两台深信服防火墙,部署在公网出口,做HA,有电信、联通两条运营商线路,拓扑大概如下:

用户为了防止单台接入交换机故障,所以增加一台接入交换机,并且这两台接入交换机做堆叠。

交换机1的1口接电信线路,2口和3口做聚合,配置trunk,仅允许vlan100、vlan200通过,2口连接主防火墙的1口,3口连接备防火墙的1口。交换机2的1口接联通线路,2口和3口做聚合,配置trunk,仅允许vlan100、vlan200通过,2口连接主防火墙的5口,3口连备防火墙的5口。

主防火墙的1口和5口配置聚合口,二层透明口,新建vlan100配置电信公网IP地址,vlan200配置联通公网IP地址。2口、3口做聚合分别接下面两台核心交换机,4口为HA口连接备防火墙,备防火墙也做相同的连线方法。

下面两台核心交换机做堆叠,聚合模式要与防火墙的接口聚合模式一致。

防火墙上配置策略路由,第一条电信走电信,第二条联通走联通,第三条轮询,也可再配置一条走电信的默认路由,以防止策略路由失效。再配置代理上网,做放通策略,再配置用户防护策略和业务防护策略,再开启相关日志。

两台深信服防火墙主备部署在出口,前置一台运营商线路接入交换机场景的配置方法

现有两台深信服防火墙,部署在公网出口,做HA,有电信、联通两条运营商线路,拓扑大概如下:

接入交换机上1口接电信线路,2口接联通线路,3口接主防火墙的1口,4口接主防火墙的2口,5口接备防火墙的1口,6口接备防火墙的2口。交换机的1口、3口、5口属于vlan100,2口、4口、6口属于vlan200。

主防火墙1口配置电信公网IP,2口配置联通公网IP,3口和4口做聚合,分别接下面两台交换机,5口为HA口连接备防火墙,备防火墙的网口也做相同的接线方法。

下面两台核心交换机做堆叠,聚合模式要与防火墙的接口聚合模式一致。

防火墙上配置策略路由,也可再配置一条走电信的默认路由,以防止策略路由失效。

深信服VSSL管理员密码恢复的办法

对于硬件SSL VPN设备,可以通过U盘来恢复admin的密码,大概方法是将U盘格式化成FAT32分区,新建reset-password.txt文件,插入设备,重启设备,等设备重启完成后,拔下U盘查看是否生成reset-password.log文件,如果生成则恢复成功,有时候需要多试几次才会恢复成功。

但是对于VSSL,即虚拟化的VPN,截止最新的769R1版本,都不支持这种方式(虚拟机挂载U盘)来恢复密码。

如果要恢复VSSL的管理员密码,一般可以通过将VSSL的虚拟磁盘挂载到linux虚拟机上,然后查看ctrl_user.sfr,路径是/config/etc/sangfor/或者/sftmpfs/etc/sangfor/,这两个路径下的ctrl_user.sfr保存的密码是一样的,但是admin密码加密过了,可以联系深信服厂家人员解密。

配置备份文件里也会保存admin密码,如果有配置备份文件,也可以将配置文件交给深信服厂家获取admin密码。

深信服防火墙AF上arp表数量限制导致网络问题的处理说明

现有一台深信服防火墙AF,内网口上启用多个vlan接口,每个vlan接口为该各自网段的网关,测试时总用户数大概在2000左右,正式上线后总用户数在7000左右。

测试时,使用一切正常,CPU利用率低于10%,内存利用率低于30%,网络也都正常。

但是用户陆续开机上线后,发现部分用户网络不通,到网关(防火墙上vlan接口)都不通。

在深信服AF上查看arp,发现总数是4095,与研发确认,发现深信服AF上arp表总数就是4096个,也就是在这种场景下,总用户也只能达到4000多点。

与研发商量后,预计要做定制包实现,但是用户强烈要求当天解决,后来多名研发确认只需要修改AF后台的某个参数即可实现对限制的放开,且修改该参数不影响业务。

对主备两台参数分别修改为20000后,已正常使用。

截止目前最新的AF版本8.0.26,都存在这个问题。当然在大规模的网络中,一般也很少会将内网用户的网关都启用在防火墙上,更多是将网关放在核心交换机上。对于这种少见的特殊的部署场景才将这个问题暴露了出来。

另外深信服AF的arp老化时间是15秒,且无法修改。并且AF上的vlan数量也有限制,限制为256个vlan,dhcp地址池也有限制,限制为1万个。不过对于vlan数量以及dhcp地址池的限制可以通过定制来解决。

具体修改方法,参见:修改linux系统的arp缓存数量的方法

深信服设备限制导致tracert不显示设备地址的说明

现有一网络,拓扑为出口深信服上网行为管理AC,下接深信服防火墙AF,AC的WAN口接公网,AC的LAN口接AF的WAN口,AF的LAN口为内网PC的网关。AC上做NAT代理上网,AF上不启用NAT。现在内网PC上网正常,ping百度也正常,但是tracert百度的时候,第一跳是AF的内网,第二跳第三跳都是星号*,第四跳就是AC的WAN口的网关,就是运营商的地址了。

在防火墙上去traceroute百度,前两跳仍然不显示。继续排查,发现是深信服AC的机制问题。

关于深信服AC跟踪路由不显示的说明如下:

1、AC设备主要用于上网管理和审计,为了避免被内网终端窥探,及出于网络安全考虑,默认不回复跟踪路由的请求,因此跟踪路由时会显示为*号。
2、截止标准版本上网行为管理12.0.42和全网行为管理13.0.7,AC暂不支持界面设置开启tracert显示AC IP地址功能

深信服防火墙AF做双机时虚拟MAC问题的处理办法

现有四台深信服防火墙AF,名称分别为A、B、C、D,A和B做成HA,C和D做成HA,都是路由模式,网口1都是带外管理口,并且都加入到了监视网口,双机热备配置的虚拟ID组都是默认的100,A、B两台带外管理口地址是192.168.1.1/24,C、D两台带外管理口地址是192.168.1.2/24。

做好配置后,发现192.168.1.1/24和192.168.1.2/24无法同时管理,当可以打开192.168.1.1控制台时,192.168.1.2则打不开,并且两个IP也无法同时ping通,当192.168.1.1可以ping通时,192.168.1.2则ping不通,当192.168.1.2可以ping通时,则192.168.1.1ping不通,在同网段设备上查看arp,发现192.168.1.1和192.168.1.2的MAC地址是一样的。

经确认,深信服防火墙AF做双机时,网卡的虚拟MAC是根据虚拟ID组和网口编号计算得出的,所以这个环境中,虚拟ID组都是100,网卡编号都是eth1口,它们的虚拟MAC就是一样的。

这种情况的处理办法非常简单,一是修改其中一个的虚拟ID组即可,还有一种办法是将A、B或者C、D的带外管理口不要加到网口监视中,并且每台带外管理口配置成-HA的不同的地址即可。

针对这个问题,建议厂家可以将虚拟MAC的计算方式复杂一点,比较加个随机数或者加个网关编号、硬盘ID等等,使得每个虚拟MAC都不相同。

有的环境下,尤其一个项目中,防火墙设备数量较多的情况下,建议修改默认的虚拟ID组,并且不同的HA设备采用的心跳口都设置成不同的网段,比如A、B用5.5.5.0/24段,C、D用6.6.6.0/24段,来避免一些问题。

深信服防火墙AF管理员登录地址限制以及SNMP源地址限制的方法

深信服防火墙AF管理员登录地址限制的配置方法是在控制台页面,网络——接口/区域,区域,在WEBUI下勾选允许管理此设备的IP选择指定的IP即可。如图:

对SNMP源地址限制,其实在配置SNMPd的时候就要配置主机或者网段,只需要在这里配置即可。如图:

深信服上网行为管理AC的OID表

zabbix监控深信服上网行为管理AC时,会需要用到上网行为管理的OID,以下就是截止2020年9月,最新的OID表格:

CPU占用率,以百分比为单位1.3.6.1.4.1.33333.1.1.1.0
设备类型(如M5000)1.3.6.1.4.1.33333.1.1.2.0
剩余内存,free+buffers,以KB为单位1.3.6.1.4.1.33333.1.1.3.0 
设备运行时间(UPTIME),以1/100秒为单位。1.3.6.1.2.1.1.3.0
系统描述1.3.6.1.2.1.1.1.0
设备型号1.3.6.1.2.1.1.5.0 
接口数量1.3.6.1.2.1.2.1.0
接口描述信息(不同的x数值代表不同的接口,视设备回复而定)1.3.6.1.2.1.2.2.1.2.x 
接口接收总流量,以Byte为单位(不同的x数值代表不同的接口,视设备回复而定)1.3.6.1.2.1.2.2.1.10.x
接口发送总流量,以Byte为单位(不同的x数值代表不同的接口,视设备回复而定)1.3.6.1.2.1.2.2.1.16.x
接口接口状态(1-up,2-down)(不同的x数值代表不同的接口,视设备回复而定)1.3.6.1.2.1.2.2.1.8.x
接口速率,以10bps为单位(不同的x数值代表不同的接口,视设备回复而定)(查看接口是千兆还是百兆)1.3.6.1.2.1.2.2.1.5.x

关于深信服防火墙AF的OID可查看这篇文章:深信服防火墙AF的OID表https://www.eumz.com/2020-10/2064.html

深信服防火墙AF的OID表

zabbix监控深信服防火墙AF时,会需要用到防火墙的OID,以下就是截止2020年9月,最新的OID表格:

NameDescriptionOID
sysDescr系统描述.1.3.6.1.2.1.1.1
sysContact联系.1.3.6.1.2.1.1.4
sysName系统名.1.3.6.1.2.1.1.5
sysLocation位置.1.3.6.1.2.1.1.6
sysServices系统服务.1.3.6.1.2.1.1.7
sysConnNum连接数.1.3.6.1.2.1.1.10
sysCpuUsagcpu占用率.1.3.6.1.2.1.1.11
sysMemUsage内存占用率.1.3.6.1.2.1.1.12
sysDiskUsage磁盘占用率.1.3.6.1.2.1.1.13
sysNewConnTable新建连接表.1.3.6.1.2.1.1.14
hrSystemDate系统日期.1.3.6.1.2.1.25.1.2
hrSystemUptime运行的时间.1.3.6.1.2.1.25.1.1

系统信息

NameDescriptionOID
hrSystemUptime运行的时间.1.3.6.1.2.1.25.1.1
hrSystemDate系统日期.1.3.6.1.2.1.25.1.2
hrSystemNumUsers用户数.1.3.6.1.2.1.25.1.5
hrSystemProcesses进程数.1.3.6.1.2.1.25.1.6
hrSystemMaxProcesses最大进程数.1.3.6.1.2.1.25.1.7
hrMemorySize系统内存.1.3.6.1.2.1.25.2.2
hrStorageTable存储设备信息表(内存,磁盘的使用情况).1.3.6.1.2.1.25.2.3
hrDeviceTable系统设备列表.1.3.6.1.2.1.25.3.2
hrSWRunTable系统进程列表.1.3.6.1.2.1.25.4.2

CPU

NameDescriptionOID
ssCpuUser用户使用CPU情况.1.3.6.1.4.1.2021.11.9
ssCpuSystem系统使用CPU情况.1.3.6.1.4.1.2021.11.10
ssCpuIdle空闲CPU.1.3.6.1.4.1.2021.11.11
sysCpuUsagcpu占用率.1.3.6.1.2.1.1.11.0

内存

NameDescriptionOID
memTotalSwap总swap分区.1.3.6.1.4.1.2021.4.3
memAvailSwap可用swap分区.1.3.6.1.4.1.2021.4.4
memTotalReal内存总量(真实内存).1.3.6.1.4.1.2021.4.5
memAvailReal可用内存(真实内存).1.3.6.1.4.1.2021.4.6
memTotalFree可用内存(真实内存+虚拟内存).1.3.6.1.4.1.2021.4.11
memShared共享内存数量.1.3.6.1.4.1.2021.4.13
memBufferbuffer内存数量.1.3.6.1.4.1.2021.4.14
memCachedCache内存数量.1.3.6.1.4.1.2021.4.15
hrMemorySize内存总量.1.3.6.1.2.1.25.2.2
hrStorageTable存储设备信息表(内存,磁盘).1.3.6.1.2.1.25.2.3

硬盘

NameDescriptionOID
sysDiskUsage磁盘占用率.1.3.6.1.2.1.1.13
hrStorageTable存储设备信息表(内存,磁盘).1.3.6.1.2.1.25.2.3

网口

NameDescriptionOID
ifNumber接口总数.1.3.6.1.2.1.2.1
ifTable接口表(接口名,开启状态,MAC,出口流量,入口流量等).1.3.6.1.2.1.2.2
ifIndex索引.1.3.6.1.2.1.2.2.1.1
ifName网口.1.3.6.1.2.1.2.2.1.2
ifType接口类型.1.3.6.1.2.1.2.2.1.3
ifMtu接口MTU.1.3.6.1.2.1.2.2.1.4
ifPhysAddress接口mac地址.1.3.6.1.2.1.2.2.1.6
ifAdminStatus所希望的接口工作状态.1.3.6.1.2.1.2.2.1.7
ifOperStatus当前接口工作状态.1.3.6.1.2.1.2.2.1.8
ifInOctets接口收到的字节总数.1.3.6.1.2.1.2.2.1.10
ifOutOctets接口发送的字节总数.1.3.6.1.2.1.2.2.1.16

地址转换表

NameDescriptionOID
atTable地址转换表.1.3.6.1.2.1.3.1

IP

NameDescriptionOID
ipForwarding是否作为一个IP网关.1.3.6.1.2.1.4.1
ipDefaultTTLIP头中的Time To Live字段的值.1.3.6.1.2.1.4.2
ipInReceivesIP层从下层接收的数据报总数.1.3.6.1.2.1.4.3
ipInHdrErrors由于IP头出错而丢弃的数据报.1.3.6.1.2.1.4.4
ipInAddrErrors地址出错(无效地址、不支持的地址和非本地主机地址)的数据报.1.3.6.1.2.1.4.5
ipForwDatagrams已转发的数据报.1.3.6.1.2.1.4.6
ipInUnknownProtos不支持数据报的协议,因而被丢弃.1.3.6.1.2.1.4.7
ipInDiscards因缺乏缓冲资源而丢弃的数据报.1.3.6.1.2.1.4.8
ipInDelivers由IP层提交给上层的数据报.1.3.6.1.2.1.4.9
ipOutRequests由IP层交给下层需要发送的数据报,不包括ipForwDatagrams.1.3.6.1.2.1.4.10
ipOutDiscards在输出端因缺乏缓冲资源而丢弃的数据报.1.3.6.1.2.1.4.11
ipOutNoRoutes没有到达目标的路由而丢弃的数据报.1.3.6.1.2.1.4.12
ipReasmTimeout数据段等待重装配的最长时间(秒).1.3.6.1.2.1.4.13
ipReasmReqds需要重装配的数据段.1.3.6.1.2.1.4.14
ipReasmOKs成功重装配的数据段.1.3.6.1.2.1.4.15
ipReasmFails不能重装配的数据段.1.3.6.1.2.1.4.16
ipFragOKs分段成功的数据段.1.3.6.1.2.1.4.17
ipFragFails不能分段的数据段.1.3.6.1.2.1.4.18
ipFragCreates产生的数据报分段数.1.3.6.1.2.1.4.19
ipAddrTableIP地址表.1.3.6.1.2.1.4.20
ipRouteTableIP路由表.1.3.6.1.2.1.4.21
ipNetToMediaTableIP与物理地址转换表.1.3.6.1.2.1.4.22
ipRoutingDiscards无效的路由项,包括为释放缓冲空间而丢弃路由项.1.3.6.1.2.1.4.23

TCP

NameDescriptionOID
tcpRtoAlgorithm重传时间算法.1.3.6.1.2.1.6.1
tcpRtoMin 重传时间最小值.1.3.6.1.2.1.6.2
tcpRtoMax重传时间最大值.1.3.6.1.2.1.6.3
tcpMaxConn可建立的最大连接数.1.3.6.1.2.1.6.4
tcpActiveOpens主动打开的连接数.1.3.6.1.2.1.6.5
tcpPassiveOpens被动打开的连接数.1.3.6.1.2.1.6.6
tcpAttemptFails连接建立失败数.1.3.6.1.2.1.6.7
tcpEstabResets连接复位数.1.3.6.1.2.1.6.8
tcpCurrEstab状态为established或closeWait的连接数.1.3.6.1.2.1.6.9
tcpInSegs接收的TCP段总数.1.3.6.1.2.1.6.10
tcpOutSegs发送的TCP段总数.1.3.6.1.2.1.6.11
tcpRetransSegs重传的TCP段总数.1.3.6.1.2.1.6.12
tcpConnTable连接表.1.3.6.1.2.1.6.13
tcpInErrors接收的出错TCP段数.1.3.6.1.2.1.6.14
tcpOutRests发出的含RST标志的段数.1.3.6.1.2.1.6.15

UDP

udpInDatagrams接收的数据报总数.1.3.6.1.2.1.7.1
udpNoPorts没有发现端口而无法提交的数据报.1.3.6.1.2.1.7.2
udpInErrors出错的数据报.1.3.6.1.2.1.7.3
udpOutDatagrams上层协议要求输出的数据报.1.3.6.1.2.1.7.4
udpTableUDP表.1.3.6.1.2.1.7.5

SNMP

snmpInPktsSNMP模块接收到的分组数.1.3.6.1.2.1.11.1
snmpInTotalReqVars被成功读取的Object数,包括get-request和get-next操作.1.3.6.1.2.1.11.13
snmpInGetRequestsSNMP模块接收到并处理的get-request的分组数.1.3.6.1.2.1.11.15
snmpInGetNextsSNMP模块接收到并处理的get-next的分组数.1.3.6.1.2.1.11.16
snmpOutGetResponsesSNMP模块发出的get-responses的分组数.1.3.6.1.2.1.11.28
snmpEnableAuthenTraps标记是否允许代理程序产生检验失败警告.1.3.6.1.2.1.11.30

关于深信服上网行为管理AC的OID可查看这篇文章:深信服上网行为管理AC的OID表https://www.eumz.com/2020-10/2064.html