Sådan migreres ADC-konfigurationer fra Sangfor til ZEVENET

SLAGT DEN 7. februar 2023

Oversigt

At læse denne artikel viser, at du overvejer andre ADC-muligheder udover Sangfor og muligvis afgør, om ZEVENET ville levere det nødvendige til din virksomhed. Sangfor annoncerede livets afslutning (salg) for nogle af deres sikkerheds- og netværksprodukter. ZEVENET er det, du skal bruge for at bringe dine forretningsbehov til det næste eventyr.

I modsætning til Sangfor tilbyder ZEVENET alle funktioner, en ADC kræver for at fungere effektivt. Disse omfatter Layer 4 og 7 belastningsbalancering, webapplikation og netværkssikkerhed, høj tilgængelighed, global belastningsbalancering osv.

Denne artikel vil demonstrere et par konfigurationer baseret på Sangfor IAM og NGAF. Disse vil hjælpe med at tilpasse sig ZEVENET hurtigt.

Forudsætninger

For at migrere fra Sangfor ADC til ZEVENET skal du sørge for at udtømme følgende forudsætninger.

  1. Installer en instans af ZEVENET ADC på din pc, bare-metal, virtuelt miljø eller et sky platform. Til on-premise implementering, anmode om en vurdering.
  2. Få adgang til webbrugergrænsefladen ved at følge dette hurtigt Installationsvejledning.
  3. Sørg for, at du stadig er fortrolig med Sangfor Networking-koncepter. Vi vil diskutere flere af dem i afsnittet nedenfor.
  4. Lær hvordan du opretter en virtuel server i ZEVENET load balancer ved at følge vejledningen: Layer 4 og Layer 7 Virtual Server Configuration.

Basale koncepter

Link belastningsbalancering: Denne funktionalitet i Sangfor NGAF gør det muligt for udgående trafik at balancere mellem flere WAN-forbindelser, hvilket forhindrer nedetid i tilfælde af, at en internetudbyder går ned. ZEVENET implementerer link belastningsbalancering gennem DSLB Gård.

NGAF: Denne næste generations firewall giver sikkerhedsfunktionaliteten til at beskytte et netværk mod ondsindede nyttelaster. Det omfatter web-app-beskyttelse, adgangskontrol, IPS osv. ZEVENET bruger IPDS modul til at levere Next-Gen firewall-funktionalitet. IPDS-modulet giver API-beskyttelse, web-app-beskyttelse, RBL, sortlister osv.

Høj tilgængelighed: Vedligeholder oppetid for et netværk i aktiv-passive eller aktive-aktive parkonfigurationer. I tilfælde af hændelsesfejl i en masterknude eller en knude i en aktiv-aktiv situation, vil netværket skifte til den sunde knude. ZEVENET implementerer høj tilgængelighed gennem en klynge. Man kan navigere igennem System >> Klynge.

Adgangskontrol: Denne funktionalitet nægter eller tillader adgang til et enkelt IP- eller IP-område. Disse IP'er kan være spammeres IP'er. Man kan også nægte adgang eller tillade hele geografiske placeringer ved hjælp af adgangskontrol. ZEVENET implementerer adgangskontrol gennem IPDS >> Sortlister. Man kan konfigurere Kilder som enten "Lokal" eller "Fjern".

SSL-dekryptering og inspektion: For at firewallen kan overvåge krypteret HTTPS-trafik effektivt, skal man aktivere SSL-dekryptering, således at firewallen inspicerer og filtrerer alle ondsindede nyttelaster fra. ZEVENET tilbyder lignende funktionalitet på en HTTPS Farm. Man kan konfigurere ciphers til "SSL Offloading" for at dekryptere SSL-trafik.

IPSEC VPN: Denne Sangfor VPN-funktionalitet muliggør site-to-site-forbindelse af en virksomheds filialnetværk til hovedkvarteret gennem en sikker tunnel. For at aktivere en site-to-site VPN på ZEVENET, Access Netværk >> VPN og oprette en ZSS(site til site) profil.

Eksempel konfigurationer: IPSEC VPN

En site-to-site VPN muliggør sikre forbindelser af to eller flere private netværk over internettet. For eksempel kan du være nødt til at forbinde filialer af en organisation til dens hovedkvarter og lade dem optræde, som om de var i det samme private netværk.

IPSec er ofte den anvendte protokol. Denne protokol giver datakryptering, integritet og autentificering mellem deltagende peers, både ZEVENET og Sangfor VPN'er kommer med site-to-site VPN-funktionalitet.

Hvis du migrerer fra Sangfor, vil dette afsnit demonstrere begge konfigurationer for en lettere overgang.

Sangfor konfigurationer

Med Sangfor kan man konfigurere Branch- og HQ-konfigurationer separat. Lad os starte med filialkonfigurationer.

Opret VPN-grænseflade

  1. Opret VPN >> IPSec VPN >> VPN-grænseflade.
  2. I sektionen Grænseflader skal du klikke på Tilføj .
  3. Vælg en grænseflade fra rullemenuen.
  4. Indtast en netmaske og klik på Gem .
  5. Klik på afkrydsningsfeltet på grænsefladen for at slå dets status til aktiveret.
  6. I boksen VPN-grænseflade IP sektion, skal du indtaste IP-adresse og klik Gem.

Opret grundlæggende konfigurationer

  1. Klik VPN >> IPSec VPN >> Grundlæggende.
  2. Indtast Primær webAgent(Primær stikkontakt).
  3. Sørg for, at MTU-værdi (224-2000) er "1500".
  4. Forlad Standard lytteport som "4009".
  5. Klik på knappen Gem .

Tilføj lokale brugere

  1. Klik VPN >> IPSec VPN >> Lokale brugere.
  2. Klik på knappen Ny bruger.
  3. Indtast Brugernavn at identificere en gren.
  4. Indtast en Adgangskode for den pågældende bruger og bekræft det.
  5. Vælg Godkendelse metode som "Lokal".
  6. Vælg Algoritme som "DES."
  7. Vælg Bruger type som "filialbruger".
  8. Vælg Brugergruppe, eller lad den være en "Standardgruppe".
  9. Klik på knappen Gem .

Disse er HQ-konfigurationerne, hvor alle filialer vil forbinde.

Tilføj en virtuel grænseflade

  1. Klik VPN >> IPSec VPN >> VPN-grænseflade.
  2. Klik på knappen Tilføj knappen i sektionen Interface.
  3. Vælg et netværk grænseflade til din VPN.
  4. Indtast netmaske og klik på Gem .
  5. Inden for VPN-grænseflade IP sektion, skal du indtaste IP-adresse i IPV4 og klik på Gem .

Tilføj VPN-forbindelser

  1. Klik VPN >> IPSec VPN >> VPN-forbindelser.
  2. Klik på knappen Tilføj .
  3. Indtast en Navn for at identificere denne forbindelse.
  4. Inden for Primær webAgent indtast webAgent-socket, f.eks. 192.168.0.102:4009.
  5. Gå ind i filialen Brugernavn, Adgangskodeog bekræftelse PWD.
  6. Man kan overvåge konfigurationerne gennem Status Navigation.

ZEVENET konfigurationer

I dette afsnit vil vi bruge de tidligere konfigurationer fra Sangfor til at opsætte ZEVENET IPSec-konfigurationer med Site-site-site VPN-profilen.

VPN-profil

  1. Klik Netværk >> VPN >> Opret VPN.
  2. Indtast en Navn for at identificere VPN.
  3. Vælg VPN Profil som "ZSS(Site to Site)."
  4. Godkendelse metoden er en hemmelighed. Indtast en Adgangskode til denne profil.

Lokale gateway-konfigurationer

  1. Indtast Lokal gateway* i IPV4 eller IPV6.
  2. Indtast undernettet i feltet Lokalt net/CIDR*.

Remote Gateway-konfigurationer

  1. Indtast Remote Gateway* i IPV4 eller IPV6.
  2. Indtast undernettet i feltet Fjernnet/CIDR*

IKE fase 1 konfigurationer

  1. Vælg en passende Godkendelse* metoder).
  2. Vælg passende Kryptering* metoder.
  3. Vælg det nødvendige DH gruppe(S).

IKE fase 2 konfigurationer

  1. Vælg protokol som enten "AH" eller "ESP."
  2. Vælg en passende Godkendelse metoder).
  3. Vælg lignende Kryptering(s) som i fase 1.
  4. Vælg DH gruppe(s) som i fase 1.
  5. Vælg en Pseudo-tilfældig funktion(s) efter din egen præference.
  6. Klik på knappen Indløs knappen for at gemme konfigurationerne.

For flere ressourcer, læs:
Forstå VPN IPSec-tilstande
Netværk | VPN | skab

Eksempel på konfigurationer: Høj tilgængelighed

Med skalering af netværk og stigende antal brugere har organisationer brug for en netværksinfrastruktur til at fungere kontinuerligt og pålideligt uden afbrydelser, selv under komponentfejl eller planlagt vedligeholdelse. Med produkter som ZEVENET kan vi opnå dette gennem redundans og failover-mekanismer, der minimerer nedetid og sikrer, at kritiske applikationer og tjenester altid er tilgængelige.
Når du migrerer fra Sangfor, vil vi beskrive både Sangfor- og ZEVENET-konfigurationer for at adressere lignende funktionalitet.

Sangfor konfigurationer

  1. Klik System >> Netværk >> Høj tilgængelighed.
  2. For aktiv-passive konfigurationer, klik på Aktiv-standby valgmulighed.
  3. Klik på Indstillinger knappen for at åbne konfigurationssiden.
  4. Indstil Device Name.
  5. Vælg Prioritet af den aktuelle enhed som enten Høj eller Lav. Prioritet på både aktive og standby-enheder kan ikke være den samme.

Grundlæggende

  1. På siden Grundlæggende skal du vælge Primært link fra netværksgrænseflader, og indtast Fjern IP.
  2. Vælg eventuelt Sekundært link fra netværksgrænseflader og indtast Fjern IP.
  3. Indtast en delt hemmelighed for enhederne at tilslutte sig High Availability.
  4. I boksen Sporet grænsefladegruppe sektion, vælg Produktionsgrænseflader.
  5. Klik Næste for at gå til registreringssiden.

Detektion

  1. Indstil Timeout for hjerteslag i sekunder.
  2. Aktiver ARP sonde for enheden.
  3. Indtast Probe IP Adresse, Registreringstimeout (sek.), Detektionsgendannelsesinterval (sek.)og Registreringsinterval (ms).
  4. Aktiver ICMP-sonde og indtast en IP eller domæne til probetest.
  5. Klik Næste for at gå til fanen Handlinger.

Handling

  1. Sørg for, at Fjern sporingskapacitet fra grænsefladerne afkrydsningsfeltet er deaktiveret.
  2. Klik Næste for at skifte til fanen Avanceret.

Avanceret

  1. Sørg for, at du har aktiveret Samtidige opgraderinger.
  2. Klik på knappen Commit knappen for at gemme indstillingerne. Enheden skal logge på igen.
  3. Gentag indstillingerne i standby-enheden. Sørg dog for, at prioriteringen er sat til lav.

ZEVENET konfigurationer

I dette afsnit vil vi konfigurere HA til at vise lignende funktionalitet som det, vi beskrev i det forrige Sangfor.

  1. Klik System >> Klynge.
  2. Vælg Lokal IP adresse på den lokale knude fra grænsefladerne.
  3. Indtast Fjern IP af den eksterne node.
  4. Indtast Adgangskode til ekstern knude.
  5. Indtast adgangskoden igen til Bekræft adgangskoden til fjernknudepunktet.
  6. Klik på knappen Indløs knappen for at gemme konfigurationerne.
  7. Inden for konfigurere klynge sektion, skal du klikke på redigeringsknappen med blyantikonet, når du holder musemarkøren over den konfigurerede fjernknude.
  8. For aktiv-aktiv HA, lev den failback til "deaktiveret". For aktiv-passive konfigurationer skal du ændre failback til den for den aktuelle enhed.
  9. Indtast en for hjerteslagskontrol Tjek interval.
  10. Klik på knappen Indløs knappen for at gemme.

For flere ressourcer om høj tilgængelighed, læs: System | Cluster

Se videoressourcer

Yderligere ressourcer

Web Application Firewall-konfiguration.
Konfiguration af SSL-certifikater til belastningsbalanceren.
Brug af programmet Let's encrypt til at autogenerere et SSL-certifikat.
Datalink/Uplink belastningsbalancering Med ZEVENET ADC.
DNS belastningsbalancering med ZEVENET ADC.

Del på:

Dokumentation i henhold til GNU Free Documentation License.

Var denne artikel til hjælp?

Relaterede artikler