|
方案:交换机上下行网络跨网段、跨VLAN转发(交换机通过VLAN引流,NGFW Module工作在路由模式) 组网需求
如图1所示,NGFW Module安装在交换机的1号槽位,要对VLAN 301和VLAN 302之间的流量做安全检测。
图1 NGFW Module的部署场景
![]()
部署方案
如图2所示,交换机采用划分VLAN方式引流。NGFW Module工作在路由模式,使用三层子接口接收交换机转发过来的流量。图2仅画出了从VLAN 301到VLAN 302的业务路径,反向流量沿相同路径转发。
图2 交换机上下行网络跨网段、跨VLAN转发(交换机通过VLAN引流,NGFW Module工作在路由模式)
![]()
交换机和NGFW Module上的配置分别如下:
交换机上下行接口配置为Trunk模式,分别允许VLAN 301和VLAN 302通过。 交换机内部以太网接口捆绑为Eth-Trunk接口并配置为Trunk模式,允许VLAN 301和VLAN 302通过。 交换机的内部以太网接口配置接口上报状态变化事件的延时时间。在重启NGFW Module的场景下,交换机侧内部以太网接口先于NGFW Module侧内部以太网接口Up,此时交换机将流量转发给插卡,会导致流量中断。因此,需要在交换机的内部以太网接口配置接口上报状态变化事件的延时时间,建议不少于10秒。 NGFW Module的内部以太网接口捆绑为Eth-Trunk接口并创建两个三层子接口,分别用于dot1q终结VLAN 301和VLAN 302。 NGFW Module的两个子接口上配置IP地址,分别作为上下行网络的网关。 NGFW Module的两个子接口分别加入安全域,并配置安全策略。
推荐将两个内部以太网接口捆绑成Eth-Trunk接口来提高带宽和可靠性,此处以Eth-Trunk为例。 此处在交换机上下行VLAN中只给出了一个接口作为示例,实际网络环境中,交换机上下行的VLAN中可以包含多个接口。 如果要实现在多个VLAN的二层转发,只需在交换机接口上允许相应的VLAN通过,同时在NGFW Module的内部以太网接口上创建多个子接口,并将子接口加入相应的安全域。
操作步骤
交换机:创建VLAN,配置上下行接口为Trunk模式并允许相应的VLAN通过。
<sysname> system-view [sysname] vlan batch 301 302 [sysname] interface GigabitEthernet 3/0/1 [sysname-GigabitEthernet3/0/1] port link-type trunk [sysname-GigabitEthernet3/0/1] port trunk allow-pass vlan 301 [sysname-GigabitEthernet3/0/1] quit [sysname] interface GigabitEthernet 3/0/0 [sysname-GigabitEthernet3/0/0] port link-type trunk [sysname-GigabitEthernet3/0/0] port trunk allow-pass vlan 302 [sysname-GigabitEthernet3/0/0] quit 交换机:配置Eth-Trunk接口。
[sysname] interface Eth-Trunk 1 [sysname-Eth-Trunk1] trunkport XGigabitEthernet 1/0/0 [sysname-Eth-Trunk1] trunkport XGigabitEthernet 1/0/1 [sysname-Eth-Trunk1] port link-type trunk [sysname-Eth-Trunk1] port trunk allow-pass vlan 301 302 [sysname-Eth-Trunk1] quit 交换机:配置内部以太网接口上报状态变化事件的延时时间。
[sysname] interface XGigabitEthernet 1/0/0 [sysname-XGigabitEthernet1/0/0] carrier up-hold-time 10000 [sysname-XGigabitEthernet1/0/0] quit [sysname] interface XGigabitEthernet 1/0/1 [sysname-XGigabitEthernet1/0/1] carrier up-hold-time 10000 [sysname-XGigabitEthernet1/0/1] quit NGFW Module:配置Eth-Trunk接口。
<sysname> system-view [sysname] interface Eth-Trunk 0 [sysname-Eth-Trunk0] quit [sysname] interface GigabitEthernet 1/0/0 [sysname-GigabitEthernet1/0/0] Eth-Trunk 0 [sysname-GigabitEthernet1/0/0] quit [sysname] interface GigabitEthernet 1/0/1 [sysname-GigabitEthernet1/0/1] Eth-Trunk 0 [sysname-GigabitEthernet1/0/1] quit NGFW Module:创建两个子接口,分别用于终结VLAN 301和VLAN 302。
[sysname] interface Eth-Trunk 0.1 [sysname-Eth-Trunk0.1] vlan-type dot1q 301 [sysname-Eth-Trunk0.1] ip address 10.10.10.1 24 [sysname-Eth-Trunk0.1] quit [sysname] interface Eth-Trunk 0.2 [sysname-Eth-Trunk0.2] vlan-type dot1q 302 [sysname-Eth-Trunk0.2] ip address 10.10.20.1 24 [sysname-Eth-Trunk0.2] quit NGFW Module:接口加入安全域,并配置安全策略。
# 接口加入安全域。 [sysname] firewall zone trust [sysname-zone-trust] add interface Eth-Trunk 0.1 [sysname-zone-trust] quit [sysname] firewall zone untrust [sysname-zone-untrust] add interface Eth-Trunk 0.2 [sysname-zone-untrust] quit # 配置安全策略。 为便于验证部署结果,此处以允许VLAN 301和VLAN 302之间的所有流量为例介绍配置方法。请在验证结束后配置更精细的安全策略。 [sysname] security-policy [sysname-policy-security] rule name policy1 [sysname-policy-security-rule-policy1] source-zone trust [sysname-policy-security-rule-policy1] destination-zone untrust [sysname-policy-security-rule-policy1] action permit [sysname-policy-security-rule-policy1] quit [sysname-policy-security] rule name policy2 [sysname-policy-security-rule-policy2] source-zone untrust [sysname-policy-security-rule-policy2] destination-zone trust [sysname-policy-security-rule-policy2] action permit [sysname-policy-security-rule-policy2] quit [sysname-policy-security] quit 后续处理
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-10-17 00:52
坚持每日学习打卡
工程师3级 
