huawei01-25NGFWModule配置案例.doc

25 ?NGFW Module配置案例 25.1 ?NGFW Module二层双机部署，交换机集群，重定向引流 25.2 ?NGFW Module三层双机部署，交换机集群，静态路由引流 25.3 ?NGFW Module三层双机部署，交换机集群，策略路由引流 25.4 ?NGFW Module三层双机部署，交换机集群，VLAN引流 25??NGFW Module配置案例 NGFW Module是交换机上的业务单板。NGFW Module与交换机之间通过2条20GE内部以太网链路连接。这2条内部以太网链路两端的端口，一端位于交换机上，另一端位于NGFW Module上。需要分别在交换机侧和NGFW Module侧进行业务配置，NGFW Module才能正常工作。 与交换机配套的NGFW Module单板的最低版本如表25-1所示，交换机支持的最低版本为V200R005C00。业务单板与交换机之间没有强制的软件版本配套关系，只需要在最低支持的版本以上。 表25-1??NGFW Module业务单板配套交换机的最低版本 业务单板 支持的最低版本 NGFW Module V100R001C10 25.1 NGFW Module二层双机部署，交换机集群，重定向引流 25.2 NGFW Module三层双机部署，交换机集群，静态路由引流 25.3 NGFW Module三层双机部署，交换机集群，策略路由引流 25.4 NGFW Module三层双机部署，交换机集群，VLAN引流 25.1??NGFW Module二层双机部署，交换机集群，重定向引流 业务需求 如图25-1所示，两台交换机集群组网，两块NGFW Module分别安装在两台交换机的1号槽位组成双机负载分担组网。NGFW Module工作在二层，也就是透明接入网络。NGFW Module对内网用户访问外网的流量进行安全检测，不同VLAN的内网流量互访不经过NGFW Module直接由交换机转发。 本案例中以NGFW Module V100R001C30版本、交换机V200R008C00版本为例。NGFW Module其他版本的配置案例请参见对应版本的部署指南（可以直接在搜索栏中搜索“部署指南”）。 图25-1??NGFW Module二层双机部署，交换机集群组网? ?说明： 在NGFW Module侧，两个内部以太网接口的编号固定为GE1/0/0～GE1/0/1。在交换机侧，内部以太网接口的编号由NGFW Module安装的槽位号决定。例如，当NGFW Module安装在交换机的1号槽位时，交换机侧的两个内部以太网接口编号为XGE1/1/0/0～XGE1/1/0/1。 Eth-Trunk2和Eth-Trunk3是CSS内交换机下的接口。 部署方案 总体部署方案为在交换机上将其与两块NGFW Module相连的4个接口捆绑为一个Eth-Trunk接口，然后将流量分担到两块NGFW Module上。两块NGFW Module组成二层负载分担双机热备组网。 将两台交换机上的4个接口都加入Eth-Trunk 10，分别将两块NGFW Module上的4个接口加入Eth-Trunk 1。 交换机配置重定向将内网用户和外网之间的流量引导至NGFW Module，NGFW Module的Eth-Trunk 1组成同进同出接口对将流量会送回交换机。 ?说明： 当NGFW Module工作在接口对模式时，交换机不能开启loop-detection功能。交换机上开启了loop-detection功能后，会在接口上外发广播包。NGFW Module配置了接口对模式，从接口收到的所有报文又从这个接口发出去。这样就导致交换机检测到流量成环，会把接口关闭。 两块NGFW Module组成二层负载分担方式的双机热备组网，因此需要配置监控上下行接口所属VLAN。 图25-2给出了逻辑组网图，便于理解。 图25-2??NGFW Module配置双机热备? ?说明： 图25-2中仅给出交换机与NGFW Module有关的接口信息。 将NGFW Module面板上的GE0/0/1和GE0/0/2接口捆绑为Eth-Trunk0接口，作为心跳口和备份通道，并启用双机热备功能。 双机热备功能配置完成后，需要在NGFW Module_A上配置安全策略、IPS安全功能。NGFW Module_A的配置会自动备份到NGFW Module_B。 操作步骤 配置NGFW Module接口，完成网络基本配置。 # 在NGFW Module_A上配置设备名称。 sysname system-view [sysname] sysname Module_A # 在NGFW Module_A上创建VLAN。 [Module_A] v