NGFW防火墙常见组网方式有哪些?
适用系列:通用
单机部署:
1、三层模式,部署在局域网出口,承担安全检测、阻断功能和上网功能,上网方式又分为固定IP地址上网、自动获取IP(DHCP)上网、PPPOE拨号上网;
2、部署在内网,透明模式,承担安全检测和阻断功能;
3、旁挂组网,一般旁挂在核心侧或者出口侧,承担流量的检测功能,记录相应的日志;
适用系列:
F1000系列 |
型号 |
说明 |
F1000-X-G5系列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
F1000-X-G3系列 |
F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3 |
支持 |
F1000-X-G2系列 |
F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2 |
支持 |
F1000-9X0-AI系列 |
F1000-9390-AI、F1000-9385-AI、F1000-9380-AI、F1000-9370-AI、F1000-9360-AI、F1000-9350-AI、F1000-9330-AI、F1000-9320-AI、F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI 、F1000-910-AI、F1000-905-AI |
支持 |
F1000-C83X0系列 |
F1000-C8395、F1000-C8390、F1000-C8385、F1000-C8380、F1000-C8370、F1000-C8360、F1000-C8350、F1000-C8330 |
支持 |
F1000-C81X0系列 |
F1000-C8180、F1000-C8170、F1000-C8160、F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110 |
支持 |
F1000-7X0-HI系列 |
F1000-770-HI、F1000-750-HI、F1000-740-HI、F1000-730-HI、F1000-720-HI、F1000-710-HI |
支持 |
F1000-C-X系列 |
F1000-C-EI、F1000-C-HI、F1000-C-XI、F1000-E-XI |
支持 |
F1000-V系列 |
F1000-E-VG、F1000-S-VG |
支持 |
SecBlade IV |
LSPM6FWD8、LSQM2FWDSC8 |
支持 |
F100系列 |
型号 |
说明 |
F100-X-G5系列 |
F100-A-G5、F100-C-G5、F100-E-G5、F100-M-G5、F100-S-G5 |
支持 |
F100-X-G3系列 |
F100-A-G3、F100-C-G3、F100-E-G3、F100-M-G3、F100-S-G3 |
支持 |
F100-X-G2系列 |
F100-A-G2、F100-C-G2、F100-E-G2、F100-M-G2、F100-S-G2 |
支持 |
F100-WiNet系列 |
F100-A80-WiNet、F100-C80-WiNet、F100-C60-WiNet、F100-S80-WiNet、F100-A81-WiNet、F100-A91-WiNet、F100-C50-WiNet |
支持 |
F100-C-A系列 |
F100-C-A6、F100-C-A5、F100-C-A3、F100-C-A2、F100-C-A1 |
支持 |
F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W |
不支持 |
|
F100-X-XI系列 |
F100-A-EI、F100-A-HI、F100-A-SI、F100-C-EI、F100-C-HI、F100-C-XI、F100-E-EI、F100-S-HI、F100-S-XI |
支持 |
双机部署:
双机热备支持如下几种部署方式:
l
l
l
l
如图2-11所示,双机热备三层主备直路部署方式的适用场景为:需要将Device A与Device B串联部署在上下行设备之间,Device的上、下行业务接口均为三层接口,所有业务流量都必须经过Device。正常情况下只有一台设备处理业务流量,当主设备或链路故障时,可以将业务流量平滑迁移到备设备进行处理。
仅以双机热备与VRRP联动的方案为例,介绍此种双机热备部署方式的部署思路,具体如下:
· 两台Device上下行分别连接二层交换机,Device的上下行接口工作在三层模式。
· 两台Device之间建立一条RBM通道。
· 两台Device上下行分别配置一个VRRP备份组,并与双机热备关联。Device A上下行业务接口的VRRP备份组1和2加入Active group;Device B上下行业务接口的VRRP备份组1和2加入Standby group。
· 两台Device上需要将去往Internet路由的下一跳指定为Router连接Device的接口IP地址(此示例中为2.1.1.15)。
· Router上需要将去往Host网段路由的下一跳指定为VRRP备份组1的虚拟IP地址(此示例中为2.1.1.3)。
· Host上需要设置默认网关IP地址为VRRP备份组2的虚拟IP地址(此示例中为10.1.1.3)。
· Switch A需要将连接Device和Router的接口加入相同的VLAN。
· Switch B需要将连接Device和Host的接口加入相同的VLAN。
如图2-12所示,双机热备三层双主直路部署方式的适用场景为:需要将Device A与Device B串联部署在上下行设备之间,Device的上、下行业务接口均为三层接口,所有业务流量都必须经过Device。正常情况下两台设备都需要处理业务流量,当其中一台设备或链路故障时,可以将业务流量平滑迁移到另一设备进行处理。
仅以双机热备与VRRP联动的方案为例,介绍此种双机热备部署方式的部署思路,具体如下:
· 两台Device上下行分别接入二层交换机,Device的上下行接口工作在三层模式。
· 两台Device之间建立一条RBM通道。
· 两台Device上下行分别配置两个VRRP备份组,并与双机热备关联,具体如下:
¡ Device A上下行业务接口的VRRP备份组1和3加入Active group;Device A上下行业务接口的VRRP备份组2和4加入Standby group。
¡ Device B上下行业务接口的VRRP备份组1和3加入Standby group;Device B上下行业务接口的VRRP备份组2和4加入Active group。
· 两台Device上需要将去往Internet路由的下一跳指定为Router连接Device的接口IP地址(此示例中为2.1.1.15)。
· Router上需要将去往Host A路由的下一跳指定为VRRP备份组1的虚拟IP地址(此示例中为2.1.1.3)。
· Router上需要将去往Host B路由的下一跳指定为VRRP备份组2的虚拟IP地址(此示例中为2.1.1.4)。
· Host A上需要设置默认网关IP地址为VRRP备份组3的虚拟IP地址(此示例中为10.1.1.3)。
· Host B上需要设置默认网关IP地址为VRRP备份组4的虚拟IP地址(此示例中为10.1.1.4)。
· Switch A需要将连接Device和Router的接口加入相同的VLAN。
· Switch B需要将连接Device和Host的接口加入相同的VLAN。
设备作为二层设备,上下行连接二层交换机的组网方式仅支持主备组网,不支持双主组网,否则二层网络中会出现网络环路。
如图2-13所示,双机热备二层主备直路部署方式的适用场景为:需要将Device A与Device B作为二层设备串联部署在上下行二层网络之间,Device的上、下行业务接口均为二层接口,所有业务流量都必须经过Device。正常情况下只有一台设备处理业务流量,当主设备或链路故障时,可以将业务流量平滑迁移到备设备进行处理。
此种双机热备部署方式的部署思路如下:
· 两台Device上下行分别连接二层交换机,Device的上下行接口工作在二层模式。
· 两台Device上下行接口加入相同VLAN。
· 两台Device之间建立一条RBM通道。
· 配置双机热备监控功能,保证Device上下行接口状态统一切换。以下双机热备监控功能仅能二选其一。
¡ 配置双机热备监控VLAN状态:此种方式下只需要将Device配置为双机热备主备工作模式即可,Device的上下行二层交换机无需开启生成树协议,双机热备可以保证无环路。
¡ 配置双机热备监控上下行接口状态:此种方式下Device的上下行二层交换机上必须开启生成树协议保证无环路。
· Switch A需要将连接Device和Router的接口加入相同的VLAN。
· Switch B需要将连接Device和Host的接口加入相同的VLAN。
如图2-14所示,双机热备二层双主直路部署方式的适用场景为:需要将Device A与Device B作为二层设备串联部署在上下行三层网络之间,Device的上、下行业务接口均为二层接口,所有业务流量都必须经过Device。正常情况下两台设备都需要处理业务流量,当其中一台设备或链路故障时,可以将业务流量平滑迁移到另一设备进行处理。
此种双机热备部署方式的部署思路如下:
· 两台Device上下行分别连接三层网络设备,Device的上下行接口工作在二层模式。
· 两台Device上下行接口加入相同VLAN。
· 两台Device之间建立一条RBM通道。
· 配置双机热备监控接口状态功能,保证Device上下行接口状态统一切换。
· 上、下行连接的Router上通过配置开销值相同的OSPF协议实现流量的负载分担,并配置等价路由基于报文逐流进行负载分担,以保证报文传输路径的稳定性。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作