NGAF 虚拟网线模式部署案例1.1NGAF 虚拟网线部署介绍2.2进入『网络配置』→『接口/区域』→『接口联动』,点击新增,界面设置如下:
虚拟网线部署与透明部署类似,但是应用场景有所不同。虚拟网线主要应用于多网桥的情况下。当客户需要利用多网桥来部署 NGAF 设备,建议使用虚拟网线,而不用透明部署。主要是由于多网桥下容易出现 MAC 表错乱问题,虚拟网线设置后,不需要查找 MAC 表,数据从一个口进来,直接从虚拟网线设置的另外一个口转发。
客户环境与需求:某客户网络环境如下图所示,出口为艾泰路由器,内网两个三层交
换机,H3C-A划分出5个网段VLAN10到50,内网有AD域控做DNS和DHCP服务通过VLAN10链接交换机和路由器。客户希望透明部署 NGAF 设备,不更改原来的上网方式。该环境下需要使用虚拟网线来部署。
艾泰本地LAN192.168.10.2
路由表
H3C-A 配置情况
默认路由
0.0.0.0 .0.0.0.0 192.168.10.2
VLAN划分如图
H3C-B链接VLAN40端口,扩展物理LAN口,内部PC通过VLAN40上网
1.3深信服NGAF配置虚拟网线(WAN为eth1,LAN为eth2)
2.1对物理接口划分区域
接口/区域———物理接口
接口/区域———区域
2.2进入『网络配置』→『接口/区域』→『接口联动』,点击新增,界面设置如下:
2.3放通防火墙规则,由于防火墙默认禁止所有数据,需要在『内容安全』→『应用控制策略』,新增一条规则,放通内网区和外网区互通的数据。界面配置如下:
NGAF配置eht3连接类型为DHCP,连接H3C-B获取VLAN40的ip192.168.40.161,连通外网可更新规则库等信息
艾泰路由添加一条IP/MAC规则把NGAF的ip 192.168.40.161绑定,添加L2TP的×××账号,可远程管理内网.
