#原创分享#虚拟网线原来是这么一回事

一、背景        

      深信服的NGAF主要提供了五种接入方式，分别路由模式、透明模式、混合模式、虚拟网线、旁路模式。今天分享的主要是虚拟网线模式。

二、简介

       虚拟网线模式是指在NGAF设备上设置一个物理接口组，如A接口与B接口组成一组虚拟网线，数据包从A接口进入设备后，除了目标IP地址是NGAF设备本身的数据外，其他所有的数据均从B接口转发，即不经过二层MAC 地址表查找以及三层的路由检查就将数据直接发送出去，但数据仍然受各种安全策略的控制。通过虚拟网线功能，能提高NGAF设备数据转发的效率，也能防止由于MAC 表的混乱导致数据转发错误。

三、拓扑图

       说明：防火墙上启用虚拟网线模式，将NGAF设备Eth2和Eth3设置成为一个接口对，那么从终端PC1的流量，只要到达了NGAF上之后，都会直接的把包传送到Eth3的接口出去。也不需要经过mac或者是路由的查找。

四、配置步骤

4.1、终端PC1、PC2、PC3配置不同的IP地址

4.2、在防火墙上创建相应的区域

    网络配置 > 接口/区域 > 区域

4.3、把对应的接口划入到对应的区域

    网络配置 > 接口/区域 > 物理接口

4.4、设置虚拟网线接口

网络配置 > 虚拟网线 > 新增

4.5、创建对应的IP组

    网络对象 > IP组 > 新增

4.6、放行对应的策略

       思科的防火墙从inside到outside是可以直接出去的，但是深信服的防火墙是有默认策略的且全部阻断，因此我们在测试之前需要把对应的流量给放行。测试放行从inside区域到达outside区域的icmp和telnet的流量。

策略 > 应用策略控制 > 新增

4.7、测试虚拟网线

       从PC1 ping 和telnet PC2，由于我们放行的是从Inside到Outside去的流量，所以这个测试是可以看到现象的。

       现在我们反向的从PC2 ping 和telnet PC1，由于我们放行的策略是从Inside到Outside去的流量，所以这个现象应该是完全不通的。

4.8、查看相关的日志

我们需要首先点击右上角的内置数据中心的选项。

日志查询 > 应用控制 > 查询

4.9、桥接PC3到Eth1口

4.10.在防火墙上创建区域并且在Eth1上配置接口

4.11、放行相应的策略

4.12、测试

       从PC1ping 和telnet PC3,我们放行了策略，应该可以从PC1 到达PC3的，但是我们是虚拟网线的，所以PC1过来的流量到达本身是不会查询路由和mac地址的，会直接把包给自己的接口对，所以PC1和PC3应该是不通的。

五、总结

       虚拟网线的流量确实是直接从一端到达另一端，并且是不查询路由表的。

您好，感谢您参与社区原创分享计划4，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

感谢分享。

感谢分享

学习打卡。

学习打卡，感谢分享

学习打卡，来咯

来学习打卡

感谢分享。

学习打卡了，谢谢楼主的分享。