东莞市XX有限公司深信服行为管理设备调整方案

　　一、整改目的

　　东莞市XX公司的深信服行为管理设备目前是部署在核心交换机S12700与绿盟SG1000防火墙之间的，这导致内网用户访问DMZ区域的流量都经过行为管理设备，通常行为管理设备之对访问互联网的行为进行管控，对于内网访问DMZ的流量识别并不擅长，而且管控这部分流量的意义不大，反而增加了行为管理设备的负载。因此，需要进行整改，把深信服行为管理设备调整到防火墙前面的位置。

　　二、整改方案

　　1、网络拓扑图

　　整改说明：

　　1) 如上图所示，把深信服行为管理设备从核心交换机S12712和绿盟防火墙SG1000之间的位置，调整到绿盟防火墙SG1000前面的位置。

　　2) 目前深信服行为管理设备是透明网桥的方式部署，因此调整位置并不影响网络的逻辑结构，不影响上网，但仍需要调整以下几方面的数据：

　　a) 深信服行为管理设备的管理地址要更改，改为：172.16.201.10/29。

　　b) 深信服行为管理设备的路由要改，主要是到OCC和车辆段S7706交换机的路由，用于获取交换机的MAC地址。

　　c) 绿盟防火墙要放通策略，让深信服行为管理设备通过SNMP访问S7706交换机获取MAC地址。

　　2、整改前准备工作

　　1) 对绿盟防火墙和深信服行为管理设备的数据进行备份。

　　2) 检查绿盟防火墙和深信服行为管理设备上联和下联网线，做好标识。

　　3) 准备好割接使用的耗材，如：扎带、网络跳线、水晶头等。

　　4) 准备好割接使用的工具，如：笔记本电脑、网络测线仪、压线钳、斜口钳等。

　　3、整改操作步骤

　　1)调整深信服行为管理设备的数据

　　1>用笔记本连接到行为管理设备的管理口ETH1，笔记本电脑IP地址配置为10.252.252.200/24，用浏览器访问https://10.252.252.252/，登录深信服设备。

　　2>把深信服行为管理设备网桥1的IP地址修改为：172.16.201.10 255.255.255.248

　　3>修改深信服行为管理设备的路由，172.16.0.0 255.255.0.0的下一跳修改为172.16.201.14，修改此路由的主要目的是让深信服设备调整位置之后可以连上OCC和车辆段S7706交换机，获取交换机的MAC地址表。

　　2)调整绿盟防火墙的数据

　　增加一条从Extranet到Intranet的访问控制策略，源地址为172.16.201.10，目标地址为172.16.202.1和172.16.200.18，端口为UDP 161 、UDP 162，此策略是为了让行为管理设备可以通过SNMP访问OCC和车辆段S7706交换机。

　　3)调整网络跳线，把深信服行为管理设备前置到绿盟防火墙和IPS之间，按下面的方式进行接线：

　　1> 绿盟IPS的G1/2连接深信服行为管理的E2接口

　　2> 深信服行为管理的E0接口连接绿盟防火墙的E3接口

　　3> 绿盟防火墙的E4接口连接核心交换机S12712的GE1/1/0/0接口

　　网络跳线调整完之后，可以开始测试业务。

　　4、整改后的业务测试

　　1)测试OCC内网电脑，运营分公司内网电脑和WIFI网络是否上网正常，并检查网络质量，确保没有网络丢包。

　　2)检查行为管理设备运行是否正常，是否能够正常抓取上网用户的信息，流量控制是否正常。

　　3)分别检查内网和外网访问DMZ区服务器是否正常，系统是否能正常使用。

　　三、风险控制及整改回退

　　1、风险控制

　　1)整改操作需要断网，预计需要半小时，因此建议在周末或者下班时间进行操作。

　　2)在操作前需要备份好绿盟防火墙和深信服行为管理设备的数据。

　　2、整改回退

　　假如整改后网络异常，并且在预定时间内未能解决问题，可进行整改回退。

　　1)按整改前的网络拓扑还原深信服行为管理设备的网络跳线。

　　2)把行为深信服管理设备网桥1的IP地址改回172.16.201.19 255.255.255.248。

　　3)还原深信服行为管理设备的路由和访问控制策略。