X80防火墙维护经验浅谈

【前言】X80防火墙维护经验浅谈由文秘帮小编整理而成，但愿对你的学习工作带来帮助。X80具有在一个平台上可同时支持多种安全应用的特性，X80系统中可安装三种不同的设备模块，分别是网络处理模块NPM、安全应用处理模块APM和管理控制模块CPM。 网络处理模块 NPM 提供设备的网络处理功能，所有数据流量均通过 NPM 上的网络端口进出。每台X80设备最多可配...

摘要：本文作者通过2年多对x80中checkpoint防火墙的维护管理及故障处理，总结出X80的防火墙的一些维护经验，并且在最后给出了一些组网建议。

关键词： X80；防火墙；接口；checkpoint；虚电路

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 (2012) 11-0000-02

X80是由CROSSBEAM公司生产的一种高端网络安全防护产品，处理能力强、稳定性高，在网络中经常被安装在网络的核心位置。因核心位置的重要性如果X80出现故障就必须及时处理并恢复通信，否则会造成大量业务的长时间中断，影响公司的声誉。下面就从X80的特点及工作原理来谈一些维护中的经验。

一、X80特点及工作原理

X80具有在一个平台上可同时支持多种安全应用的特性，X80系统中可安装三种不同的设备模块，分别是网络处理模块NPM、安全应用处理模块APM和管理控制模块CPM。

网络处理模块 NPM 提供设备的网络处理功能，所有数据流量均通过 NPM 上的网络端口进出。每台X80设备最多可配置4块NPM 。NPM作为数据流的调度者，还可以以硬件方式在多个APM之间实现负载均衡。

安全应用处理模块 APM 是各种安全应用的执行者，独立处理各种安全应用，例如checkpoint防火墙等。数据流从网络处理模块 NPM 进入，经过NPM的一些预处理后，NPM 根据数据流的类型分发到 APM 进行处理。

管理控制模块CPM负责集中管理及监控X80设备上所有部件的健康及负载状况，包括在X80设备上运行的各种进程的当前运行状况，并根据这些收集到的信息进行相应的处理。

X80结合了交换机、路由器、防火墙、负载均衡等多种功能，为了在不同的网络中使X80发挥应有的作用，网络管理员就需要进行复杂的配置和管理。

二、维护中的经验总结

笔者负责维护的X80防火墙上安装的是checkpoint的VSX。其维护管理软件是smartcenter。新增业务时，首先需要在CPM中定义虚电路和接口，完成后还需要通过smartcenter添加所定义的接口、新建虚拟设备，再为新建设备添加接口、设置IP和路由，这样才能够完成业务接入，不仅步骤繁多，所需时间较长，而且是一环扣一环，若有哪个关键配置配错了，则可能需要重头再来一遍。对于新开通的防火墙，如果要求对一些应用做策略限制，或者因为某些原因需要重新配置，时间就会更长。笔者在开始维护的一段时间里，经常会遇到这样那样的问题，以致经常会花费更长的时间。但通过在2年多时间里对X80防火墙的维护管理及故障处理，逐渐地对X80有了一个全面的了解，并总结出了几条维护经验，以便维护人员参考。

（一）配置管理方面

1.接口描述配置要求不同

X80防火墙对下联的各种业务定义了三种接口：三层路由接口、二层交换接口和trunk接口，分别用来连接路由器、交换机。我们根据需要在配置三层路由接口和二层交换接口描述时可以有10个字符，但是trunk接口描述是不能超过4个英文字符的。且X80上的trunk接口不是在接口上设置的，而是在smartcenter上添加接口时，在接口属性上选择trunk就可以实现。因此在定义接口时，如果你想把该接口用于trunk接口,则在描述时描述的字符数一定不要超过4个，否则在smartcenter上添加时系统就会出现提示，必须重新定义接口描述。

2.不同接口对应所需要建的虚拟设备也不一样

对于上述的三种接口，X80要求设置的虚拟设备也不一样。对于三层路由接口和trunk接口，需要创建虚拟路由设备（防火墙或虚拟路由器）来实现与其他设备互连，而且对于三层路由接口，在虚拟设备中添加该接口的IP地址即可；但对于trunk接口，则需要在虚拟设备中添加vlan信息绑定后，再配置相应vlan的接口IP地址；另外对于二层交换但又不做trunk的接口，则需要建一个虚拟交换机（switch）以实现与其相连的设备连接。

（二）维护管理方面

1.接口启用的方式特殊

在第一次在X80上配置业务和接口时，只要按照先后顺序完成即可，不存在其他问题。但如果业务已经配置并启用，在出现故障时需要将接口更换到其他接口时，trunk接口因需要配置虚电路以及多个vlan下接口需绑定vlan问题，处理起来就复杂了。不仅需要先将原绑定信息删除然后再重启设备进行新接口的配置，而且还需要把系统自动生成的circuit的信息在配置中删除后，再重启设备业务才能正常使用。下面就笔者处理的一个故障过程做一做详细说明，来解释其接口的启用时的特殊性。

当时出现的问题是：2槽NPM板卡坏了，上面有4个接口没有备份接口，所以需要换到其他的板卡的接口上。这4个接口中，有一个接口是trunk接口，其他三个接口都是三层路由接口。接入三层路由接口的业务是经过策略路由上联至防火墙的，出现故障后笔者就把策略路由去掉了，所以经过三层接口接入的业务已经在路由绕开防火墙后恢复了，于是紧急处理trunk接口问题。在该trunk接口下绑定有两个vlan，分别是44和45，设备在正常工作的情况下接口完整的配置如下：

interface gigabitethernet 2/3

logical inv2

circuit inv2

logical vsx_log_idcvsx_2_3_44 ingress-vlan-tag 44 44

circuit vsx_ckt_idcvsx_2_3_44

logical vsx_log_idcvsx_2_3_45 ingress-vlan-tag 45 45

circuit vsx_ckt_idcvsx_2_3_45

上述的vlan信息（绑定44和45的）不是手动配置的，而是在虚拟防火墙上配置加载后自动产生的。于是在X80上找了一个空闲接口按trunk的配置对该接口配置，完成后通过smartcenter重新加载vlan后，笔者认为新端口上的vlan绑定信息就应该生成了。而事实是，新端口的vlan绑定信息并未生成，且原端口的绑定信息也未删除，网络不通。原端口配置仍存在， 而在新配置的端口上只有下面两条命令：