本帖最后由 清风慕竹 于 2019-11-14 17:54 编辑
一、背景 深信服的NGAF主要提供了五种接入方式,分别路由模式、透明模式、混合模式、虚拟网线、旁路模式。今天分享的主要是虚拟网线模式。 二、简介 虚拟网线模式是指在NGAF设备上设置一个物理接口组,如A接口与B接口组成一组虚拟网线,数据包从A接口进入设备后,除了目标IP地址是NGAF设备本身的数据外,其他所有的数据均从B接口转发,即不经过二层MAC 地址表查找以及三层的路由检查就将数据直接发送出去,但数据仍然受各种安全策略的控制。通过虚拟网线功能,能提高NGAF设备数据转发的效率,也能防止由于MAC 表的混乱导致数据转发错误。 三、拓扑图 说明:防火墙上启用虚拟网线模式,将NGAF设备Eth2和Eth3设置成为一个接口对,那么从终端PC1的流量,只要到达了NGAF上之后,都会直接的把包传送到Eth3的接口出去。也不需要经过mac或者是路由的查找。 四、配置步骤 4.1、终端PC1、PC2、PC3配置不同的IP地址 4.2、在防火墙上创建相应的区域 网络配置 > 接口/区域 > 区域 4.3、把对应的接口划入到对应的区域 网络配置 > 接口/区域 > 物理接口 4.4、设置虚拟网线接口 网络配置 > 虚拟网线 > 新增 4.5、创建对应的IP组 网络对象 > IP组 > 新增 4.6、放行对应的策略 思科的防火墙从inside到outside是可以直接出去的,但是深信服的防火墙是有默认策略的且全部阻断,因此我们在测试之前需要把对应的流量给放行。测试放行从inside区域到达outside区域的icmp和telnet的流量。 策略 > 应用策略控制 > 新增 4.7、测试虚拟网线 从PC1 ping 和telnet PC2,由于我们放行的是从Inside到Outside去的流量,所以这个测试是可以看到现象的。 现在我们反向的从PC2 ping 和telnet PC1,由于我们放行的策略是从Inside到Outside去的流量,所以这个现象应该是完全不通的。 4.8、查看相关的日志 我们需要首先点击右上角的内置数据中心的选项。 日志查询 > 应用控制 > 查询 4.9、桥接PC3到Eth1口 4.10.在防火墙上创建区域并且在Eth1上配置接口 4.11、放行相应的策略 4.12、测试 从PC1ping 和telnet PC3,我们放行了策略,应该可以从PC1 到达PC3的,但是我们是虚拟网线的,所以PC1过来的流量到达本身是不会查询路由和mac地址的,会直接把包给自己的接口对,所以PC1和PC3应该是不通的。 五、总结 虚拟网线的流量确实是直接从一端到达另一端,并且是不查询路由表的。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-8-20 10:00
技术研究员1级 
