同城双中心网络同步测试报告_第1页
同城双中心网络同步测试报告_第2页
同城双中心网络同步测试报告_第3页
同城双中心网络同步测试报告_第4页
同城双中心网络同步测试报告_第5页
已阅读5页,还剩22页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、 Page * MERGEFORMAT 27同城双中心网络同步测试报告防火墙同步脚本介绍脚本用途:当双中心部署防火墙时,为保证跨中心迁移后业务连续性,需保证两数据中心相同区域防火墙策略及策略相关地址定义、ZONE设置、接口地址设置和NAT设置等参数完全一致。通过配置同步脚本可以实现配置提交后自动在另一中心防火墙上加载相同配置并检查配置同步结果。脚本原理远端命令执行配置同步脚本通过SSH方式传送RPC指令,因此需保证A、B中心两组防火墙之间IP可达,并启用SSH服务。当脚本运行后,运行脚本侧设备将设置的配置层级命令通过SSH+RPC方式写入指定的远端设备相应层级。该脚本提供双链路冗余方式的配置同

2、步,比如带内同步链路作为主同步链路,带外链路作为备份同步链路。当主同步链路不通时,防火墙将自动使用备份链路进行配置同步。脚本触发在防火墙上通过event-options配置触发脚本,触发判断条件为管理员输入”commit comment sync”指令。当修改或增、删了策略相关配置时,管理员输入”commit comment sync”命令提交配置,此命令将在本地防火墙提交配置,并触发脚本进行配置同步。配置同步脚本设计为同步策略相关配置部分,目前包括有schedulers层级配置,applications层级配置,security policies层级配置,security zones层级配置

3、,security nat层级配置以及M2区防火墙reth1接口地址的配置同步。同步结果检查脚本在同步完成后,将本地需要同步的层级命令拷贝至文件”/var/tmp/local-config”中,将远端设备被同步层级的命令拷贝至文件”/var/tmp/remote-config”中。之后脚本会对这两个文件进行比较,当比较结果不为空时,表示存在不一致的配置部分,脚本会将比较结果记录在文件”/var/tmp/compare-config”中供管理员检查。这三个文件以替换方式使用,每次触发脚本都将覆盖上次写入文件的内容。生成日志脚本在执行过程中会将关键步骤及错误信息生成日志供管理员审计。本脚本所有产生

4、日志facility为”external”, severity为”info”。并以关键字”CONFIG-SYNC”标示。日志包括:与远端SSH连接失败日志:CONFIG-SYNC can not ssh to the backup cluster, please check the connectivity 在双链路冗余方式的配置同步时,第一条同步路径不可达时的日志:CONFIG-SYNC can not ssh to the backup cluster at first connection, please check the connectivity两条同步路径均不可达,同步失败的日志:

5、CONFIG-SYNC , both connections were unreachable, sync failed同步结果检查一致日志:CONFIG-SYNC sync between cluster is successful同步结果检查不一致日志:“CONFIG-SYNC there were something unsynchronized, please using command run file show /var/tmp/compare to check the difference脚本配置将脚本文件sync.slax上传至798数据中心主备防火墙目录/var/db/scr

6、ipts/event下,M2区防火墙使用的脚本文件为sync-m2.slax。在event-option配置层级设置如下:set event-options policy sync attributes-match ui_commit.message matches sync 脚本触发条件1 执行commit comment sync set event-options policy sync events within 30 events ui_commit 在执行commit comment sync之后 30秒内commit完成set event-options policy sync

7、events ui_commit_progress set event-options policy sync attributes-match ui_commit_progress.message matches commit complete脚本触发条件2 等待 commit完成后,match日志commit completeset event-options policy sync then event-script sync.slax满足条件1和2时,触发脚本执行,M2区脚本文件为sync-m2.slaxset event-options event-script file sync.

8、slax remote-execution username labset event-options event-script file sync.slax remote-execution passphrase lab123第一条同步路径指定对端马坡数据中心防火墙的地址,读写账户lab密码lab123需在马坡防火墙上预先创建set event-options event-script file sync.slax remote-execution username labset event-options event-script file sync.slax remote-executi

9、on passphrase lab123第二条同步路径指定对端马坡数据中心防火墙的地址,读写账户lab密码lab123需在马坡防火墙上预先创建set system service ssh在马坡防火墙开启ssh服务在security ssh-known-host配置SSH连接参数security ssh-known-hosts host 第一远端马坡防火墙主机地址 security ssh-known-hosts host 第二远端马坡防火墙主机地址 需要配置set security ssh-known-hosts fetch-from-server 地址1以获取SSH KEY(配置文件不显示该

10、命令)需要配置set security ssh-known-hosts fetch-from-server 地址2以获取SSH KEY(配置文件不显示该命令)。另外,注意需要在远端设备开启SSH服务,若通过带内接口访问,需打开host-inbound-traffic限制。建议单独建立日志文件增加可读性set system syslog user * external info 同步完成后,脚本同步日志自动输出在操作屏幕上set system syslog file script external info set system syslog file script archive size 5

11、mset system syslog file script archive files 3set system syslog file script explicit-priority定义脚本同步事件日志名字为script脚本执行:根据上述设置,当维护管理员在798数据中心防火墙上执行commit comment sync,并在commit完成后即系统发生事件“commit complete”时进入事件判断流程,则触发脚本进行配置同步;如果不需要执行配置同步,可以直接进行commit进行配置提交,将不执行任何同步动作。脚本测试案例增加配置同步测试测试项目:配置增加同步测试测试目的:两套Clu

12、ster防火墙在同城双中心部署时,通过配置同步脚本可以实现配置增加提交后自动在另一中心防火墙上加载相同配置并检查配置同步结果。测试拓扑:测试方法1、在798数据中心防火墙上增加zone、地址、服务、schedulers、策略、NAT配置并commit comment sync提交2、在马坡数据中心防火墙上查看配置同步结果3、在798数据中心防火墙上查看同步脚本同步文件和日志预期结果:在马坡数据中心防火墙上可以看到对应的配置已经同步完成在798数据中心防火墙上可以看到同步的配置文件和同步成功的日志测试结果在马坡数据中心防火墙上可以看到对应的配置已经同步完成在798数据中心防火墙上可以看到同步的配

13、置文件和同步成功的日志测试记录在798数据中心防火墙增加地址、服务、schedulers、策略配置set security zone untrust interface reth1.0 host-inbound-traffic system-services allset security zone trust interface reth0.0 host-inbound-traffic system-services allset security nat source rule-set 1 from zone untrustset security nat source rule-set

14、1 to zone trustset security nat source rule-set 1 rule 1 match destination-address /0set security nat source rule-set 1 rule 1 then source-nat interfaceset security policies from-zone untrust to-zone trust policy test match source-address /32set security policies from-zone untrust to-zone trust poli

15、cy test match destination-address /32set security policies from-zone untrust to-zone trust policy test match application testset security policies from-zone untrust to-zone trust policy test then permitset security policies from-zone untrust to-zone trust policy test scheduler-name testset security

16、zones security-zone trust address-book address /32 /32set security zones security-zone untrust address-book address /32 /32set applications application test protocol tcpset applications application test source-port 100set applications application test destination-port 100set schedulers scheduler tes

17、t daily start-time 00:00:00 stop-time 12:00:00在798数据中心commit comment sync提交完成后,在马坡数据中心查看配置已经同步完成。配置同步成功的日志在操作屏幕上弹出,也可以通过show log script查看配置同步日志,提示798数据中心和马坡 数据中心的配置已经同步完成 CONFIG-SYNC sync between cluster is successful 通过file list /var/tmp/*config 可以看到本次同步的本端和对端的配置文件798-01 file list /var/tmp/*config

18、/var/tmp/local-config/var/tmp/remote-config测试人员删减配置同步测试测试项目:配置删减同步测试测试目的:两套Cluster防火墙在同城双中心部署时,通过配置同步脚本可以实现配置删减提交后自动在另一中心防火墙上删减相同配置并检查配置同步结果。测试拓扑:测试方法1、在798数据中心防火墙上删减zone、地址、服务、schedulers、策略和NAT配置commit comment sync提交2、在马坡数据中心防火墙上查看配置同步结果3、在798数据中心防火墙上查看同步脚本同步文件和日志预期结果:在马坡数据中心防火墙上可以看到对应的配置已经同步完成2、在7

19、98数据中心防火墙上可以看到同步的配置文件和同步成功的日志测试结果在马坡数据中心防火墙上可以看到对应的配置已经同步完成在798数据中心防火墙上可以看到同步的配置文件和同步成功的日志测试记录在798数据中心防火墙删减zone、地址、服务、schedulers、策略和NAT配置delete security nat source rule-set 1 from zone untrustdelete security nat source rule-set 1 to zone trustdelete security nat source rule-set 1 rule 1 match destin

20、ation-address /0delete security nat source rule-set 1 rule 1 then source-nat interfacedelete security zone untrust interface reth1.0 host-inbound-traffic system-services alldelete security zone trust interface reth0.0 host-inbound-traffic system-services alldelete security policies from-zone untrust

21、 to-zone trust policy test match source-address /32delete security policies from-zone untrust to-zone trust policy test match destination-address /32delete security policies from-zone untrust to-zone trust policy test match application testdelete security policies from-zone untrust to-zone trust pol

22、icy test then permitdelete security policies from-zone untrust to-zone trust policy test scheduler-name testdelete security zones security-zone trust address-book address /32 /32delete security zones security-zone untrust address-book address /32 /32delete applications application test protocol tcpd

23、elete applications application test source-port 100delete applications application test destination-port 100delete schedulers scheduler test daily start-time 00:00:00 stop-time 12:00:00在798数据中心commit comment sync提交完成后,在马坡数据中心查看配置已经同步完成。配置同步成功的日志在操作屏幕上弹出,也可以通过show log script查看配置同步日志,提示798数据中心和马坡 数据中心

24、的配置已经同步完成 CONFIG-SYNC sync between cluster is successful 通过file list /var/tmp/*config 可以看到本次同步的本端和对端的配置文件798-01 file list /var/tmp/*config /var/tmp/local-config/var/tmp/remote-config测试人员增加策略元素同步测试测试项目:增加策略元素同步测试测试目的:两套Cluster防火墙在同城双中心部署时,通过配置同步脚本可以实现策略元素增加提交后自动在另一中心防火墙上加载相同的配置并检查配置同步结果。测试拓扑:测试方法1、在7

25、98数据中心防火墙上增加策略中的 源地址、目的地址、服务并commit comment sync提交2、在马坡数据中心防火墙上查看配置同步结果3、在798数据中心防火墙上查看同步脚本同步文件和日志预期结果:在马坡数据中心防火墙上可以看到对应的配置已经同步完成在798数据中心防火墙上可以看到同步的配置文件和同步成功的日志测试结果在马坡数据中心防火墙上可以看到对应的配置已经同步完成在798数据中心防火墙上可以看到同步的配置文件和同步成功的日志测试记录在798数据中心防火墙上增加策略中的 地址、服务并commit提交set security zones security-zone trust add

26、ress-book address /32 /32set security zones security-zone untrust address-book address /32 /32set security policies from-zone untrust to-zone trust policy test match source-address /32set security policies from-zone untrust to-zone trust policy test match destination-address /32set security policies

27、 from-zone untrust to-zone trust policy test match application junos-http在798数据中心commit comment sync提交完成后,在马坡数据中心查看配置已经同步完成。配置同步成功的日志在操作屏幕上弹出,也可以通过show log script查看配置同步日志,提示798数据中心和马坡 数据中心的配置已经同步完成 CONFIG-SYNC sync between cluster is successful 通过file list /var/tmp/*config 可以看到本次同步的本端和对端的配置文件798-01

28、file list /var/tmp/*config /var/tmp/local-config/var/tmp/remote-config测试人员删减策略元素同步测试测试项目:策略元素删减同步测试测试目的:两套Cluster防火墙在同城双中心部署时,通过配置同步脚本可以实现配置删减提交后自动在另一中心防火墙上删减相同的配置并检查配置同步结果。测试拓扑:测试方法1、在798数据中心防火墙上删减策略中的源地址、目的地址和服务并commit comment sync提交2、在马坡数据中心防火墙上查看配置同步结果3、在798数据中心防火墙上查看同步脚本同步文件和日志预期结果:在马坡数据中心防火墙上可

29、以看到对应的配置已经同步完成2、在798数据中心防火墙上可以看到同步的配置文件和同步成功的日志测试结果在马坡数据中心防火墙上可以看到对应的配置已经同步完成在798数据中心防火墙上可以看到同步的配置文件和同步成功的日志测试记录在798数据中心防火墙上删减策略中的源地址、目的地址和服务并commit提交delete security policies from-zone untrust to-zone trust policy test match source-address /32delete security policies from-zone untrust to-zone trust

30、policy test match destination-address /32delete security policies from-zone untrust to-zone trust policy test match application junos-http在798数据中心commit comment sync提交完成后,在马坡数据中心查看配置已经同步完成。配置同步成功的日志在操作屏幕上弹出,通过show log script查看配置同步日志,提示798数据中心和马坡 数据中心的配置已经同步完成 CONFIG-SYNC sync between cluster is succ

31、essful 通过file list /var/tmp/*config 可以看到本次同步的本端和对端的配置文件798-01 file list /var/tmp/*config /var/tmp/local-config/var/tmp/remote-config测试人员增加RETH1接口地址同步测试测试项目:RETH1接口地址同步测试测试目的:两套Cluster防火墙在同城双中心部署时,通过配置同步脚本可以实现配置增加提交后自动在另一中心防火墙上加载相同配置并检查配置同步结果。测试拓扑:测试方法1、在798数据中心防火墙上配置RETH1接口地址并commit comment sync提交2、

32、在马坡数据中心防火墙上查看配置同步结果3、在798数据中心防火墙上查看同步脚本同步文件和日志预期结果:在马坡数据中心防火墙上可以看到对应的配置已经同步完成在798数据中心防火墙上可以看到同步的配置文件和同步成功的日志测试结果在马坡数据中心防火墙上可以看到对应的配置已经同步完成在798数据中心防火墙上可以看到同步的配置文件和同步成功的日志测试记录在798数据中心防火墙增加RETH1接口的配置set interfaces reth1 vlan-taggingset interfaces reth1 redundant-ether-options redundancy-group 1set inte

33、rfaces reth1 unit 10 vlan-id 10set interfaces reth1 unit 10 family inet address /24set interfaces reth1 unit 20 vlan-id 20set interfaces reth1 unit 20 family inet address /24在798数据中心commit comment sync提交完成后,在马坡数据中心查看配置已经同步完成。通过show log script查看配置同步日志,提示798数据中心和马坡 数据中心的配置已经同步完成 CONFIG-SYNC sync betwe

34、en cluster is successful 配置同步成功的日志在操作屏幕上弹出,通过file list /var/tmp/*config 可以看到本次同步的本端和对端的配置文件798-01 file list /var/tmp/*config /var/tmp/local-config/var/tmp/remote-config测试人员删减RETH1接口地址同步测试测试项目:RETH1接口地址删减同步测试测试目的:两套Cluster防火墙在同城双中心部署时,通过配置同步脚本可以实现配置增加提交后自动在另一中心防火墙上加载相同配置并检查配置同步结果。测试拓扑:测试方法1、在798数据中心防

35、火墙上删除RETH1接口的部分接口配置并commit comment sync提交2、在马坡数据中心防火墙上查看配置同步结果3、在798数据中心防火墙上查看同步脚本同步文件和日志预期结果:在马坡数据中心防火墙上可以看到对应的配置已经同步完成在798数据中心防火墙上可以看到同步的配置文件和同步成功的日志测试结果在马坡数据中心防火墙上可以看到对应的配置已经同步完成在798数据中心防火墙上可以看到同步的配置文件和同步成功的日志测试记录在798数据中心防火墙删除RETH1.10的地址定义delete interfaces reth1 unit 10 vlan-id 10delete interface

36、s reth1 unit 10 family inet address /24在798数据中心commit commit sync提交完成后,在马坡数据中心查看配置已经同步完成。配置同步成功的日志在操作屏幕上弹出,通过show log script查看配置同步日志,提示798数据中心和马坡 数据中心的配置已经同步完成 CONFIG-SYNC sync between cluster is successful 通过file list /var/tmp/*config 可以看到本次同步的本端和对端的配置文件798-01 file list /var/tmp/*config /var/tmp/lo

37、cal-config/var/tmp/remote-config测试人员同步链路冗余测试测试项目:同步链路冗余测试测试目的:两套Cluster防火墙在同城双中心部署时,当配置同步脚本检查到第一条不通时,将自动选用第二条备用线路进行同步。测试拓扑:测试方法模拟第一条同步链路中断的情况,进行如下测试。1、在798数据中心防火墙上增加地址、服务、schedulers、策略配置commit comment sync提交2、在马坡数据中心防火墙上查看配置同步结果3、在798数据中心防火墙上查看同步脚本同步文件和日志预期结果:在马坡数据中心防火墙上可以看到对应的配置同步完成2、在798数据中心防火墙上可以

38、看到第一条链路不可达和同步成功的日志信息测试结果在马坡数据中心防火墙上可以看到对应的配置未能同步完成2、在798数据中心防火墙上可以看到第一条链路不可达和同步成功的日志信息测试记录在798数据中心防火墙增加地址、服务、schedulers、策略配置set security policies from-zone untrust to-zone trust policy test match source-address /32set security policies from-zone untrust to-zone trust policy test match destination-ad

39、dress /32set security policies from-zone untrust to-zone trust policy test match application testset security policies from-zone untrust to-zone trust policy test then permitset security policies from-zone untrust to-zone trust policy test scheduler-name testset security zones security-zone trust ad

40、dress-book address /32 /32set security zones security-zone untrust address-book address /32 /32set applications application test protocol tcpset applications application test source-port 100set applications application test destination-port 100set schedulers scheduler test daily start-time 00:00:00

41、stop-time 12:00:00在798数据中心commit comment sync提交完成后,在马坡数据中心查看配置同步完成。第一次同步链路不可达和配置同步成功的日志在操作屏幕上弹出,通过show log script查看配置同步日志,提示第一次同步链路不可达和798数据中心,马坡 数据中心配置已经同步完成的日志。 CONFIG-SYNC can not ssh to the backup cluster at first connection, please check the connectivityCONFIG-SYNC sync between cluster is successful 通过file list /var/tmp/*config 可以看到本次同步的本端和对端的配置文件798-01 file list /var/tmp/*config /var/tmp/local-config/var/tmp/remote-config测试人员同步链路中断测试测试项目:同步链路中断测试测试目的:两套Cluster防火墙在

人人文库> 全部分类> 专业文献 > IT计算机

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论