防火墙部署模式和维护经验.ppt

防火墙部署模式和维护经验 目　录 银行系统部署模式的优选 其它部署模式简介 维护经验介绍 银行系统部署模式的优选 静态路由-A/P 部署最广泛、最成熟的双机组网模式 方案特点：可靠稳定/易于扩展及维护/环境适应性强 企业不需要A/A的理由： 1、网络流量不超过单台处理能力情况下，A/P性能等同于A/A性能 2、A/P方式非常便于网络维护，设备和链路调整维护时，无需反复切换网络流量，减少业务中断风险。 3、A/P方式可平滑升级为A/A 4、A/P方式经广泛部署和实践验证，发现的已知问题最少 5、静态路由-A/P的切换速度最快 A/P-静态路由 防火墙部署建议 路由模式比透明模式具有更广泛的使用范围和部署经验，更加灵活。 静态路由优点多于动态路由。 A/A模式对网络整体结构提出更多要求。 银行客户最广泛的部署模式：A/P Layer3 口型或fullmesh结构。 Base policy比base route方式有很大灵活性，建议在结构复杂的情况下部署base policy nat和base policy vpn。 其它部署模式介绍 透明模式-TRUNK透传 路由模式-内网访问控制 Multi zone-A/P 动态路由环境-透明模式-A/P 动态路由环境-路由模式-A/A 静态路由环境-路由模式-A/A 动态非对称路由环境-路由模式-A/A 部署模式- 透明模式-TRUNK透传 部署模式-路由模式-内网访问控制 部署模式- Multi zone-A/P 部署模式-动态路由环境 部署模式-动态路由环境透明模式-A/P 部署模式-动态路由环境路由模式- A/A 部署模式-静态路由环境路由模式-A/A 部署模式-静态路由环境路由模式-A/A 部署模式-动态非对称路由环境路由模式- A/A 部署模式-配置示例 set nsrp cluster id 1 set nsrp rto-mirror sync set nsrp rto-mirror session non-vsi unset nsrp vsd-group id 0 unset nsrp config sync Set arp always-on-dest 维护经验介绍 获得基本信息 检查NSRP状态 提高预警水平 策略配置与优化 攻击防御 特殊应用处理 整理业务拓扑和记录 搭建模拟环境 常规维护－获得系统基本信息 Get sys-cfg：了解系统的各种缺省参数设置 Get clock：确定系统时间 get session info：85% Get session：查看session列表 Get performance session detail：查看session的历史记录 get session id number：查看session细节 get performance cpu：50% get performance cpu detail：查看CPU历史记录 get performance cpu all detail 常规维护－获得系统基本信息 Get memory：采用“预分配”机制 ，90％ Get interface：查看端口细节 Get route：查看路由表 Get log event：查看普通事件记录 Get alarm event：查看告警事件记录 可以通过《Netscreen防火墙日志信息速查表.pdf》检索所关心的日志信息的具体含义。 Get chassis：查看防火墙硬件板卡状态和温度等（只针对高端防火墙） 常规维护－检查NSRP状态 exec nsrp sync global-config check-sum 检查双机配置命令是否同步 exec nsrp sync global-config save 如双机配置信息没有自动同步，请手动执行此同步命令，需要重启系统。 get nsrp 查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。 Exec nsrp sync rto all from peer 手动执行RTO信息同步，使双机保持会话信息一致 get alarm event 检查设备告警信息，其中将包含NSRP状态切换信息 常规维护－检查NSRP状态 exec nsrp vsd-group 0 mode backup 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备没有启用抢占模式。 exec nsrp vsd-group 0 mode ineligible 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备已启用抢占模式。 set failover on/set failover auto启用并容许冗余接口自动切换 exec fail