双向nat环境40升级50脚本升级实施方案-HillstoneNetworks.PDF

双向 nat 环境4.0 升级 5.0 脚本升级 实施方案 Hillstone Networks Inc. 2015 年 10 月 20 日 1 / 7 内容提交人 审核人 更新内容 日期 安辉 陈天骄 V1 2015/10/20 目录 1 需求分析3 1.1 SNAT 逻辑变化3 2 解决方案4 2.1 硬件信息 4 2.2 拓扑 4 2.3 升级说明 5 2.4 配置 5 3 注意事项6 4 脚本使用方法7 2 / 7 1 需求分析 某银行基于安全需求 ，通过配置一对一的双向网络地址转换（NAT ）配置，实现对分 支机构 IP 和中心机构 IP 双向隐藏。同时配合严格安全策略配置，只允许一对一的有效业 务访问，禁止其他非法访问。 该银行主要使用网络地址转换（NAT ）功能，因此无法使用 Bypass 来解决单点故障 问题。该银行使用两台 SG-6000-M3108 安全网关 ，配置 HA 运行在主备（AP ）模式下。 当前系统软件为StoneOS 4.0R6P6 版本 ，已确认存在主备切换问题 ，急需升级消除不安全 隐患 ，为此建议升级到 StoneOS 5.0R4P8.3 版本。 1.1 SNAT 逻辑变化 由于4.0 与 5.0 软件版本 SNAT 配置逻辑变化，SNAT 匹配原则发生变化，在升级过程 中需要对SNAT 配置进行修改。 举例 ：A-B 做双向 NAT 时转换为 C-D ，实例图如下： 转换后地址：C 转换后地址：D 原地址A 原地址B 4.0 模型 DNAT ，匹配A-B 转换成 A-D SNAT ，匹配A-D 转换成 C-D 3 / 7 5.0 模型 DNAT ，匹配A-B 转换成 A-D SNAT ，匹配A-B 转换成 C-B ，系统中记录状态，最终转换为 C-D 为了避免人工转换出错 ，开发帮忙做了个脚本转换工具 ，具体使用方法脚本说明文档 中有详细介绍。 2 解决方案 2.1 硬件信息 两台 SG-6000-M3108 ，当前软件版本 StoneOS 4.0R6P6 ，目标软件版本5.0R4P8.3。 2.2 拓扑 中心服务器 分支机构客户端 分支机构通过 SG-6000-M3108 访问中心机构服务器。SG-6000-M3108 利用双向 4 / 7 NAT 对客户端和服务器 IP 进行隐藏。 2.3 升级说明 版本升级： 由于版本跨度过大，为避免配置丢失，先从 4.0R6P6 版本过渡升级到 5.0R2P2 版本 后，升级至最终版本 5.0R4P8.3。 升级过程： 第一天升级M3108主设备至5.0版本，备份配置和软件版本，升级至5.0R2P2版本， 设备重启过程中使用串口线连接设备，如果升级过程中出现配置中命令无法识别可以在串 口下看到。比如，5.0R2P2 中地址簿不再有 reference-zone untrust命令 ，系统启动时 会提示无法识别。确认没有配置丢失后，升级到 5.0R4P8.3 版本，同时验证配置。 升级成功后，验证业务无误，业务在 5.0 版本设备运行一天；M3108 备设备保持原 4.0 状态，做为保障服务冷备机。如一天后业务运行正常，则第二天升级 M3108 备设备， 由 4.0 升至 5.0 ，恢复双机HA 状态。否则进行冷备切换，查找原因或版本和配置回退到 4.0 版本。 2.4