Sådan migreres ADC-konfigurationer fra Sangfor til RELIANOID

  • Blog
  • Sådan migreres ADC-konfigurationer fra Sangfor til RELIANOID

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

Sådan migreres ADC-konfigurationer fra Sangfor til RELIANOID

8 min læses

Indholdsfortegnelse

Oversigt #

Når du læser denne artikel, ser du, at du overvejer andre ADC-muligheder udover Sangfor, og muligvis afgør, om RELIANOID ville levere det nødvendige for din virksomhed. Sangfor annoncerede udløbet af levetiden (salg) for nogle af deres sikkerheds- og netværksprodukter. RELIANOID er hvad du behøver for at føre dine forretningsbehov videre til det næste eventyr.

I modsætning til Sangfor, RELIANOID tilbyder alle funktioner, som en ADC kræver for at fungere effektivt. Disse inkluderer load balancing på lag 4 og 7, webapplikations- og netværkssikkerhed, høj tilgængelighed, global load balancing osv.

Denne artikel vil demonstrere et par konfigurationer baseret på Sangfor IAM og NGAF. Disse vil hjælpe med at tilpasse sig RELIANOID hurtig.

Forudsætninger #

At migrere fra Sangfor ADC til RELIANOID, sørg for at du opfylder følgende forudsætninger.

  1. Installer en instans af RELIANOID ADC på din pc, bare-metal, virtuelt miljø eller et sky platform. For on-premise implementering, anmode om en vurdering.
  2. Få adgang til webbrugergrænsefladen ved at følge denne hurtige Installationsvejledning.
  3. Sørg for, at du stadig er bekendt med Sangfor Networking-koncepterne. Vi vil diskutere flere af dem i afsnittet nedenfor.
  4. Lær hvordan du opretter en virtuel server i RELIANOID load balancer ved at følge vejledningen: Layer 4 og Layer 7 Virtual Server Configuration.

Basale koncepter #

Linkbelastningsbalancering: Denne funktionalitet i Sangfor NGAF gør det muligt at balancere udgående trafik mellem flere WAN-forbindelser, hvilket forhindrer nedetid i tilfælde af at én internetudbyder går ned. RELIANOID Implementerer Link load balancing gennem DSLB Gård.

NGAF: Denne næstegenerations firewall leverer sikkerhedsfunktionaliteten til at beskytte et netværk mod skadelige data. Den omfatter webapp-beskyttelse, adgangskontrol, IPS osv. RELIANOID anvender IPDS modul til at levere næste generations firewallfunktionalitet. IPDS-modulet leverer API-beskyttelse, webapp-beskyttelse, RBL, sortlister osv.

Høj tilgængelighed: Opretholder oppetid for et netværk i aktiv-passive eller aktiv-aktive parkonfigurationer. I tilfælde af fejl i en masternode eller én node i en aktiv-aktiv situation, skifter netværket til den sunde node. RELIANOID Implementerer høj tilgængelighed gennem en klynge. Man kan navigere igennem System >> Klynge.

Adgangskontrol: Denne funktionalitet nægter eller tillader adgang til en enkelt IP-adresse eller et IP-interval. Disse IP-adresser kan være spammers IP-adresser. Man kan også nægte adgang eller tillade hele geografiske placeringer ved hjælp af adgangskontrol. RELIANOID implementerer adgangskontrol via IPDS >> SortlisterMan kan konfigurere Kilder enten som "Lokal" eller "Fjern".

SSL-dekryptering og -inspektion: For at firewallen effektivt kan overvåge krypteret HTTPS-trafik, skal man aktivere SSL-dekryptering, så firewallen inspicerer og filtrerer alle skadelige data fra. RELIANOID tilbyder lignende funktionalitet på en HTTPS-farm. Man kan konfigurere ciphers til “SSL Offloading” for at dekryptere SSL-trafik.

IPSEC VPN: Denne Sangfor VPN-funktionalitet muliggør site-to-site-forbindelse mellem en virksomheds filialnetværk og hovedkvarteret via en sikker tunnel. For at aktivere en site-to-site VPN på RELIANOID, Adgang Netværk >> VPN og oprette en ZSS (sted til sted) profil.

Eksempelkonfigurationer: IPSEC VPN #

En site-to-site VPN muliggør sikre forbindelser mellem to eller flere private netværk over internettet. For eksempel kan du have brug for at forbinde en organisations filialer til dens hovedkvarter og lade dem fungere, som om de var i det samme private netværk.

IPSec er ofte den anvendte protokol. Denne protokol sørger for datakryptering, integritet og godkendelse mellem deltagende peers, både RELIANOID og Sangfor VPN'er leveres med site-to-site VPN-funktionalitet.

Hvis du migrerer fra Sangfor, vil dette afsnit demonstrere begge konfigurationer for at gøre overgangen nemmere.

Sangfor-konfigurationer #

Med Sangfor kan man konfigurere Branch- og HQ-konfigurationer separat. Lad os starte med Branch-konfigurationer.

Opret VPN-grænseflade #

  1. Opret VPN >> IPSec VPN >> VPN-grænseflade.
  2. I afsnittet Grænseflader skal du klikke på Tilføj .
  3. Vælg en grænseflade fra rullemenuen.
  4. Indtast en netmaske og klik på Gem .
  5. Klik på fluebenet på grænsefladen for at ændre dens status til aktiveret.
  6. I VPN-grænseflade-IP afsnittet, indtast IP-adresse og klik Gem.

Opret grundlæggende konfigurationer #

  1. Klik VPN >> IPSec VPN >> Grundlæggende.
  2. Indtast Primær webagent(Primær stikkontakt).
  3. Sørg for, at MTU-værdi (224-2000) er "1500".
  4. Forlad Standard lytteport som “4009”.
  5. Klik på knappen Gem .

Tilføj lokale brugere #

  1. Klik VPN >> IPSec VPN >> Lokale brugere.
  2. Klik på knappen Ny bruger.
  3. Indtast Brugernavn at identificere en gren.
  4. Indtast en Adgangskode for den pågældende bruger og bekræft den.
  5. Vælg Godkendelse metode som "Lokal".
  6. Vælg Algoritme som "DES".
  7. Vælg Bruger type som "Filialbruger".
  8. Vælg Brugergruppe, eller lad den være en "Standardgruppe".
  9. Klik på knappen Gem .

Dette er HQ-konfigurationerne, hvor alle grene vil blive forbundet.

Tilføj en virtuel grænseflade #

  1. Klik VPN >> IPSec VPN >> VPN-grænseflade.
  2. Klik på knappen Tilføj knappen i afsnittet Grænseflade.
  3. Vælg et netværk grænseflade til din VPN.
  4. Indtast netmaske og klik på Gem .
  5. Inden for VPN-grænseflade-IP afsnittet, indtast IP-adresse i IPV4 og klik på Gem .

Tilføj VPN-forbindelser #

  1. Klik VPN >> IPSec VPN >> VPN-forbindelser.
  2. Klik på knappen Tilføj .
  3. Indtast en Navn at identificere denne forbindelse.
  4. Inden for Primær webagent I feltet skal du indtaste webAgent-socket'en, f.eks. 192.168.0.102:4009.
  5. Gå ind i filialens Brugernavn, Adgangskodeog bekræftelses-PWD.
  6. Man kan overvåge konfigurationerne via Status Navigation.

RELIANOID konfigurationer #

I dette afsnit bruger vi de tidligere konfigurationer fra Sangfor til at konfigurere RELIANOID IPSec-konfigurationer med Site-site-site VPN-profilen.

VPN-profil #

  1. Klik Netværk >> VPN >> Opret VPN.
  2. Indtast en Navn for at identificere VPN'en.
  3. Vælg VPN'en Profil som "ZSS (sted til sted)."
  4. Godkendelse Metoden er en hemmelighed. Indtast en Adgangskode til denne profil.

Lokale gateway-konfigurationer #

  1. Indtast Lokal gateway* i IPV4 eller IPV6.
  2. Indtast undernettet i feltet Lokalt net/CIDR*.

Konfigurationer af fjerngateway #

  1. Indtast Fjerngateway* i IPV4 eller IPV6.
  2. Indtast undernettet i feltet Fjernnet/CIDR*

IKE Fase 1-konfigurationer #

  1. Vælg en passende Godkendelse* metoder).
  2. Vælg passende Kryptering* metoder.
  3. Vælg det nødvendige DH gruppe(S).

IKE Fase 2-konfigurationer #

  1. Vælg protokol enten som "AH" eller "ESP".
  2. Vælg en passende Godkendelse metoder).
  3. Vælg lignende Kryptering(s) som i fase 1.
  4. Vælg DH gruppe(s) som i fase 1.
  5. Vælg en Pseudo-tilfældig funktion(s) efter din egen præference.
  6. Klik på knappen Ansøg knappen for at gemme konfigurationerne.

For flere ressourcer, læs:
Forståelse af VPN IPSec-tilstande
Netværk | VPN | skab

Eksempel på konfigurationer: Høj tilgængelighed #

Med skalerende netværk og stigende antal brugere har organisationer brug for en netværksinfrastruktur, der kan fungere kontinuerligt og pålideligt uden afbrydelser, selv under komponentfejl eller planlagt vedligeholdelse. Med produkter som RELIANOID, kan vi opnå dette gennem redundans- og failover-mekanismer, der minimerer nedetid og sikrer, at kritiske applikationer og tjenester altid er tilgængelige.
Når du migrerer fra Sangfor, vil vi beskrive både Sangfor og RELIANOID konfigurationer til at håndtere lignende funktioner.

Sangfor-konfigurationer #

  1. Klik System >> Netværk >> Høj tilgængelighed.
  2. For aktiv-passiv konfiguration skal du klikke på Aktiv standby valgmulighed.
  3. Klik på Indstillinger knappen for at åbne konfigurationssiden.
  4. Indstil Device Name.
  5. Vælg Prioritet for den aktuelle enhed som enten Høj eller Lav. Prioriteten på både aktive og standby-enheder kan ikke være den samme.

Grundlæggende #

  1. På siden Grundlæggende skal du vælge Primært link fra netværksgrænsefladerne, og indtast Fjern IP.
  2. Vælg eventuelt Sekundært link fra netværksgrænsefladerne og indtast Fjern IP.
  3. Indtast en delt hemmelighed for at enhederne kan tilslutte sig Høj tilgængelighed.
  4. I Sporet grænsefladegruppe I afsnittet skal du vælge Produktionsgrænseflader.
  5. Klik Næste for at gå til siden Detektion.

Detektion #

  1. Indstil Timeout for hjerteslag i sekunder.
  2. Aktiver ARP-sonde for enheden.
  3. Indtast Probe-IP Adresse, Detektionstimeout (sek.), Interval for gendannelse af detektion (sek.)og Detektionsinterval (ms).
  4. Aktiver ICMP-sonde og indtast en IP-adresse eller et domæne til probetestning.
  5. Klik Næste for at gå til fanen Handlinger.

Handling #

  1. Sørg for, at Fjern sporingsfunktion fra grænsefladerne afkrydsningsfeltet er deaktiveret.
  2. Klik Næste for at skifte til fanen Avanceret.

Avanceret #

  1. Sørg for at du har aktiveret Samtidige opgraderinger.
  2. Klik på knappen Commit knappen for at gemme indstillingerne. Enheden skal logge ind igen.
  3. Gentag indstillingerne i standby-enheden. Sørg dog for, at prioriteten er indstillet til lav.

RELIANOID Konfigurationer #

I dette afsnit vil vi konfigurere HA til at vise lignende funktionalitet som den, vi beskrev i den forrige Sangfor.

  1. Klik System >> Klynge.
  2. Vælg Lokal IP adressen på den lokale node fra grænsefladerne.
  3. Indtast Fjern IP af den fjerne node.
  4. Indtast Adgangskode til ekstern node.
  5. Indtast adgangskoden igen for at Bekræft adgangskoden til fjernknudepunktet.
  6. Klik på knappen Ansøg knappen for at gemme konfigurationerne.
  7. Inden for konfigurere klynge afsnittet skal du klikke på redigeringsknappen med blyantikonet, når du holder markøren over den konfigurerede fjernnode.
  8. For aktiv-aktiv HA, lev failback til "deaktiveret". For aktiv-passive konfigurationer skal du ændre failback til den aktuelle enheds.
  9. For pulsmålinger, indtast en Kontrolinterval.
  10. Klik på knappen Ansøg knappen for at gemme.

For flere ressourcer om høj tilgængelighed, læs: System | Klynge

Yderligere ressourcer #

Web Application Firewall-konfiguration.
Konfiguration af SSL-certifikater til belastningsbalanceren.
Brug af programmet Let's encrypt til at autogenerere et SSL-certifikat.
Datalink/Uplink belastningsbalancering Med RELIANOID ADC.
DNS belastningsbalancering med RELIANOID ADC.

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs