Comment migrer les configurations ADC de Sangfor vers ZEVENET

PUBLIÉ LE 7 février 2023

Aperçu

La lecture de cet article montre que vous envisagez d'autres options ADC en plus de Sangfor et que vous déterminez éventuellement si ZEVENET fournirait les nécessités pour votre entreprise. Sangfor a annoncé la fin de vie (vente) pour certains de leurs produits de sécurité et de mise en réseau. ZEVENET est ce dont vous avez besoin pour mener à bien les besoins de votre entreprise vers la prochaine aventure.

Contrairement à Sangfor, ZEVENET fournit toutes les fonctionnalités dont un ADC a besoin pour fonctionner efficacement. Ceux-ci incluent l'équilibrage de charge des couches 4 et 7, la sécurité des applications Web et du réseau, la haute disponibilité, l'équilibrage de charge global, etc.

Cet article présente quelques configurations basées sur Sangfor IAM et NGAF. Ceux-ci aideront à s'adapter rapidement à ZEVENET.

Pré-requis

Pour migrer de Sangfor ADC vers ZEVENET, assurez-vous d'avoir rempli les conditions préalables suivantes.

  1. Installez une instance de ZEVENET ADC sur votre PC, bare-metal, environnement virtuel ou un plateforme cloud. Pour un déploiement sur site, demander une évaluation.
  2. Accédez à l'interface utilisateur Web en suivant ce rapide Guide d'installation.
  3. Assurez-vous que vous êtes toujours familiarisé avec les concepts de Sangfor Networking. Nous en discuterons plus dans la section ci-dessous.
  4. Apprenez à créer un serveur virtuel dans l'équilibreur de charge ZEVENET en suivant le guide : Configuration du serveur virtuel de couche 4 et de couche 7.

Concepts de base

Équilibrage de charge de lien : Cette fonctionnalité de Sangfor NGAF permet au trafic sortant de s'équilibrer entre plusieurs connexions WAN, évitant ainsi les temps d'arrêt en cas de panne d'un FAI. ZEVENET met en œuvre l'équilibrage de charge de lien via le DSLB Ferme.

NGAF : Ce pare-feu de nouvelle génération fournit la fonctionnalité de sécurité pour protéger un réseau contre les charges utiles malveillantes. Il comprend la protection des applications Web, le contrôle d'accès, l'IPS, etc. ZEVENET utilise le IPDS module pour fournir la fonctionnalité de pare-feu de nouvelle génération. Le module IPDS fournit une protection API, une protection des applications Web, RBL, des listes noires, etc.

La haute disponibilité: Maintient la disponibilité d'un réseau dans des configurations de paire active-passive ou active-active. En cas de défaillance d'un événement d'un nœud maître ou d'un nœud dans une situation active-active, le réseau basculera vers le nœud sain. ZEVENET met en œuvre la haute disponibilité via un cluster. On peut naviguer à travers Système >> Grappe.

Contrôle d'accès: Cette fonctionnalité refuse ou autorise l'accès à une seule adresse IP ou plage d'adresses IP. Ces adresses IP pourraient être les adresses IP des spammeurs. On peut également refuser l'accès ou autoriser des emplacements géographiques entiers à l'aide du contrôle d'accès. ZEVENET implémente le contrôle d'accès via IPDS >> Listes noires. On peut configurer Sources comme "Local" ou "Distant".

Déchiffrement et inspection SSL : Pour que le pare-feu surveille efficacement le trafic HTTPS chiffré, il faut activer le déchiffrement SSL de sorte que le pare-feu inspecte et filtre toutes les charges utiles malveillantes. ZEVENET offre des fonctionnalités similaires sur une ferme HTTPS. On peut configurer chiffrements à « Déchargement SSL » pour déchiffrer le trafic SSL.

VPN IPSec : Cette fonctionnalité Sangfor VPN permet une connexion site à site des réseaux de succursales d'une entreprise au siège social via un tunnel sécurisé. Pour activer un VPN de site à site sur ZEVENET, accédez Réseau >> VPN et créer un ZSS (site à site) profil.

Exemples de configurations : VPN IPSEC

Un VPN de site à site permet des connexions sécurisées de deux ou plusieurs réseaux privés sur Internet. Par exemple, vous devrez peut-être connecter les succursales d'une organisation à son siège social et les laisser fonctionner comme si elles se trouvaient dans le même réseau privé.

IPSec est souvent le protocole utilisé. Ce protocole fournit le cryptage, l'intégrité et l'authentification des données entre les pairs participants, les VPN ZEVENET et Sangfor sont livrés avec une fonctionnalité VPN de site à site.

Si vous migrez depuis Sangfor, cette section présentera les deux configurations pour une transition plus facile.

Configurations Sangfor

Avec Sangfor, on peut configurer séparément les configurations Branch et HQ. Commençons par les configurations de branche.

Créer une interface VPN

  1. Création VPN >> VPN IPSec >> Interface VPN.
  2. Dans la section Interfaces, cliquez sur le Ajouter .
  3. Sélectionnez une interface dans la liste déroulante.
  4. Entrez Masque de réseau Et cliquez sur le Épargnez .
  5. Cliquez sur la coche de l'interface pour activer son statut.
  6. Dans le IP de l'interface VPN section, entrez la Adresse IP et cliquez sur Épargnez.

Créer des configurations de base

  1. Cliquez VPN >> VPN IPSec >> Notions de base.
  2. Entrer le WebAgent principal(Prise principale).
  3. Assurer le Valeur MTU (224-2000) est «1500 XNUMX».
  4. Quitter le Port d'écoute par défaut comme « 4009 ».
  5. Cliquez Épargnez .

Ajouter des utilisateurs locaux

  1. Cliquez VPN >> VPN IPSec >> Utilisateurs locaux.
  2. Cliquez sur le bouton Nouvel utilisateur.
  3. Entrer le Nom d'utilisateur pour identifier une branche.
  4. Entrez Mot de passe pour cet utilisateur et confirmez-le.
  5. Sélectionnez le Authentification méthode comme "Local".
  6. Sélectionnez le Algorithme comme "DES".
  7. Sélectionnez le Type d'utilisateur en tant qu'"utilisateur de la succursale".
  8. Sélectionnez le Groupe d'utilisateurs, ou laissez-le comme "Groupe par défaut".
  9. Cliquez Épargnez .

Ce sont les configurations HQ où toutes les succursales se connecteront.

Ajouter une interface virtuelle

  1. Cliquez VPN >> VPN IPSec >> Interface VPN.
  2. Cliquez Ajouter bouton dans la section Interface.
  3. Sélectionnez un réseau Interfaces pour votre VPN.
  4. Entrer le Masque de réseau Et cliquez sur le Épargnez .
  5. au sein de la IP de l'interface VPN section, entrez la Adresse IP dans IPV4 et cliquez sur le Épargnez .

Ajouter des connexions VPN

  1. Cliquez VPN >> VPN IPSec >> Connexions VPN.
  2. Cliquez Ajouter .
  3. Entrez Nom pour identifier cette connexion.
  4. au sein de la WebAgent principal champ, entrez le socket webAgent, par exemple, 192.168.0.102:4009.
  5. Entrez dans la succursale Nom d'utilisateur, Mot de passe et Confirmation PWD.
  6. On peut surveiller les configurations à travers le Statut Navigation.

Configurations ZEVENET

Dans cette section, nous utiliserons les configurations précédentes de Sangfor pour configurer les configurations ZEVENET IPSec avec le profil VPN site-site-site.

Profil VPN

  1. Cliquez Réseau >> VPN >> Créer un VPN.
  2. Entrez Nom pour identifier le VPN.
  3. Sélectionnez le VPN Profil comme « ZSS (site à site) ».
  4. Les Authentification méthode est un secret. Entrez un Mot de passe pour ce profil.

Configurations de la passerelle locale

  1. Entrer le Passerelle locale* en IPV4 ou IPV6.
  2. Entrez le sous-réseau dans le champ Réseau local/CIDR*.

Configurations de la passerelle distante

  1. Entrer le Passerelle distante* en IPV4 ou IPV6.
  2. Entrez le sous-réseau dans le champ Réseau distant/CIDR*

Configurations IKE Phase 1

  1. Sélectionnez un Authentification* méthode(s).
  2. Sélectionnez approprié Chiffrement* méthodes.
  3. Sélectionnez le nécessaire Groupe DH(S).

Configurations IKE Phase 2

  1. Sélectionnez le Passerelle comme « AH » ou « ESP ».
  2. Sélectionnez un Authentification méthode(s).
  3. Sélectionner similaire Chiffrement(s) comme dans la Phase 1.
  4. Sélectionnez le Groupe DH(s) comme dans la Phase 1.
  5. Choisissez un Fonction pseudo-aléatoire(s) de votre choix.
  6. Cliquez Appliquer bouton pour enregistrer les configurations.

Pour plus de ressources, lisez :
Comprendre les modes VPN IPSec
Réseau | VPN | Créer

Exemples de configurations : haute disponibilité

Avec des réseaux évolutifs et un nombre croissant d'utilisateurs, les entreprises ont besoin d'une infrastructure réseau pour fonctionner de manière continue et fiable sans interruption, même en cas de panne de composant ou de maintenance planifiée. Avec des produits comme ZEVENET, nous pouvons y parvenir grâce à des mécanismes de redondance et de basculement qui minimisent les temps d'arrêt et garantissent que les applications et services critiques sont toujours accessibles.
Au fur et à mesure que vous migrez depuis Sangfor, nous décrirons les configurations Sangfor et ZEVENET pour traiter des fonctionnalités similaires.

Configurations Sangfor

  1. Cliquez Système >> Réseau >> Haute disponibilité.
  2. Pour les configurations Actif-Passif, cliquez sur le Actif-Veille option.
  3. Cliquez sur le Paramètres bouton pour ouvrir la page de configuration.
  4. Met le Nom du périphérique.
  5. Sélectionnez le Priorité de l'appareil actuel comme High ou Low. La priorité sur les appareils actifs et en veille ne peut pas être la même.

Basics

  1. Dans la page Bases, sélectionnez le Lien principal à partir des interfaces réseau, et entrez le IP à distance.
  2. Sélectionnez éventuellement le Lien secondaire à partir des interfaces réseau et entrez le IP à distance.
  3. Entrez secret partagé pour que les appareils rejoignent la haute disponibilité.
  4. Dans le Groupe d'interface suivi section, choisissez Interfaces de production.
  5. Cliquez Suivant pour accéder à la page Détection.

Détection

  1. Met le Délai de pulsation en secondes.
  2. Activer Sonde ARP pour l'appareil.
  3. Entrer le Sonde IP Adresse, Délai de détection (sec), Intervalle de récupération de détection (sec) et Intervalle de détection (ms).
  4. Activer Sonde ICMP et entrez une adresse IP ou un domaine pour le test de sonde.
  5. Cliquez Suivant pour accéder à l'onglet Actions.

Action

  1. Assurer le Supprimer la capacité de suivi des interfaces la case à cocher est désactivée.
  2. Cliquez Suivant pour passer à l'onglet Avancé.

Avancé

  1. Assurez-vous d'avoir activé Mises à niveau simultanées.
  2. Cliquez S’ENGAGER bouton pour enregistrer les paramètres. L'appareil devra se reconnecter.
  3. Répétez les réglages dans l'appareil de veille. Cependant, assurez-vous que la priorité est définie sur faible.

Configurations ZEVENET

Dans cette section, nous allons configurer HA pour afficher des fonctionnalités similaires à ce que nous avons décrit dans le Sangfor précédent.

  1. Cliquez Système >> Grappe.
  2. Sélectionnez le IP locale l'adresse du nœud local à partir des interfaces.
  3. Entrer le IP à distance du nœud distant.
  4. Entrer le Mot de passe du nœud distant.
  5. Entrez à nouveau le mot de passe pour Confirmer le mot de passe du nœud distant.
  6. Cliquez Appliquer bouton pour enregistrer les configurations.
  7. au sein de la configurer le cluster section, cliquez sur le bouton d'édition avec l'icône en forme de crayon lorsque vous survolez le nœud distant configuré.
  8. Pour la HA active-active, vivez la Failback à « handicapé ». Pour les configurations actives-passives, remplacez la restauration par celle du périphérique actuel.
  9. Pour les vérifications de pulsation, entrez un Intervalle de vérification.
  10. Cliquez Appliquer bouton pour enregistrer.

Pour plus de ressources sur la haute disponibilité, lisez : Système | Grappe

Pour les ressources vidéo, regardez

Ressources additionnelles

Configuration du pare-feu applicatif Web.
Configuration des certificats SSL pour l'équilibreur de charge.
Utilisation du programme Let's encrypt pour générer automatiquement un certificat SSL.
Équilibrage de charge Datalink/Uplink Avec ZEVENET ADC.
Équilibrage de charge DNS avec ZEVENET ADC.

Partager sur:

Documentation sous les termes de la licence de documentation libre GNU.

Cet article a-t-il été utile?

Oui Non

Articles Relatifs