目录
Ⅰ Bypass部署
一、Bypass模式
RG-WALL 1600系列全新下一代防火墙只有X8500支持2组电口bypass接口,即设备断电后或者重启,依然能够通讯。2组接口分别为 wan1---port1, wan2---port1,port1, port2 下方的2个指示灯为bypass指示灯。
说明:全新NGFW仅有X8500支持2组电口bypass,其它型号均不支持;所有型号均不支持光口bypass。
二、应用场景
防火墙工作在透明模式下,开启防病毒功能。使用bypass口,当防火墙故障后,确保链路工作正常。
三、配置要点
1 将防火墙配置为透明模式
2 配置防火墙策略
3 开启旁路模式
四、配置步骤
1、将防火墙配置为透明模式
进入 系统管理--面板--状态,在首页的系统信息框
点击运行模式后面的“修改”按钮,在随后的模式修改菜单内,将模式修改为“透明模式”同时为设备配置好管理地址和网关。
2、配置防火墙策略
进入 防火墙--策略--策略,添加上网策略,并开启防病毒功能:
3、开Bypass路模式
config system bypass
set bypass-watchdog enable
set poweroff-bypass enable
end
五、验证效果
将系统断电或重启设备,客户业务不中断。
Ⅱ 透明模式注意事项
配置建议
1.在 vlan接口上使用 forwarding domains 。转发域ID,尽量与vlanID相同,减少出错,便于排障。
2.只在转发域的接口之间配置策略。
3.如果需要带外管理,可以单独建立个NAT模式虚拟域作为管理之用。
4.默认情况下生成树的BPDUs 包不会被转发,注意防止2层形成环路。
5.多播默认不会被转发,对于 RIP2,OSPF,需要建立多播策略。
6.当配置 HSRP or VRRP时,需要为虚拟地址添加静态MAC(会话会检查MAC地址是否异步)。
透明模式注意事项
1、P3版本切换时请确保关闭wan1、wan2口的auto-ipsec属性
1. 切换前请确保关闭wan1、wan2接口下的auto-ipsec管理属性(需要在命令行下操作,不关闭会导致P3版本透明模式切换报错)
1)查看接口管理属性
RG-WALL # show system interface
config system interface
edit "wan1"
set vdom "root"
set ip 192.168.57.74 255.255.255.0
set allowaccess ping https ssh telnet auto-ipsec
set type physical
set snmp-index 1
next
edit "wan2"
set vdom "root"
set ip 192.168.101.200 255.255.255.0
set allowaccess ping auto-ipsec
set type physical
set snmp-index 2
2)关闭wan1、wan2口auto ipsec属性
RG-WALL # config system interface
RG-WALL (interface) # edit wan1
RG-WALL (wan1) # set allowaccess ping https ssh
RG-WALL (wan1) # next
RG-WALL (interface) # edit wan2
RG-WALL (wan2) # set allowaccess ping
RG-WALL (wan2) # end
3).各型号auto-ipsec默认开启情况辅助说明:
1) S3100:wan1 和 wan2默认启用auto-ipsec
2) S3600:wan1 和 wan2默认启用auto-ipsec
3) M5100:wan1默认启用auto-ipsec
4) M6600、X8500、X9300:没有接口开启auto-ipsec
2、默认情况下全新NGFW不转发BPDU报文,这样可能会导致STP问题从而引起网络出现二层环路,可以登陆到全新NGFW命令行下,进入到接口编辑下面,执行命令启用BPDU转发:set stpforward enable;
RG-WALL # config system interface
RG-WALL (interface) #edit port1
RG-WALL (port1) #set stpforwad enable #默认为关闭
RG-WALL (port1) #next
然后依次登陆各接口启用stpforward功能;
3、可以使用forward domain来控制指定的接口间数据转发,具有相同的forward domain号不同的接口间数据包可转发;
说明:forward-domain无需提前定义,直接配置生效;forward-domain如同转发域的概念,广播包只会在同个转发域进行广播。
RG-WALL # config system interface
RG-WALL (interface) # edit wan1
RG-WALL (wan1) # set forward-domain 10
RG-WALL (wan1) # next
RG-WALL (interface) # edit wan2
RG-WALL (wan2) # set forward-domain 10
RG-WALL (wan2) # end
4、只有Ethernet II类型帧可以被转发,在默认的配置下,所有的其他类型的二层协议都不能被转发。需要转发这些帧请在接口下面启用l2forward功能;
RG-WALL # config system interface
RG-WALL (interface) #edit port1
RG-WALL (port1) #set l2forward enable #默认为关闭
RG-WALL (port1) #next
依次登陆各接口启用l2forward功能;
5、多播包默认情况下是不转发的,所以如果部署透明模式的防火墙接入到多播环境中请添加对应的多播策略以允许相关多播数据流通过全新NGFW,如把防火 墙部署到OSPF或RIP V2环境中的话需要在防火墙策略里面双向添加允许目的地址是224.0.0.5和224.0.0.6或224.0.0.9的策略;
RG-WALL # config system settings
RG-WALL (settings)set multicast-skip-policy enable #默认为关闭
RG-WALL (settings)end
6、如果明确需要带外管理功能的话,请设置多VDOM,其中VDOM root仅用来管理其他相关的透明VDOM使用;
7、如果部署透明模式的全新NGFW到路由器和主机直接的时候,请注意在这段线路中是否会出现相同的源目的IP地址数据流在防火墙不同方向上时的MAC 地址不一致的情况,简单的应用如VRRP,HSRP之类的主机路由备份协议,这种情况下请尽量在防火墙上面设置静态IP/MAC以告诉全新NGFW 指定的虚拟MAC地址属于某个VRRP组或HSRP组。注意,一个forward_domain里面只能指定一个相同MAC地址对。
手工添加MAC地址表:
RG-WALL #config system mac-address-table
edit 00:01:02:03:04:05
set interface "port3"
next
end
8、透明模式下查查看mac表
使用diag netlink brctl name host <VDOM_name>.b查看,以下以root的vdom为例;
RGFW# diag netlink brctl name host root.b
show bridge control interface root.b host.
fdb: size=256, used=6, num=7, depth=2, simple=no
Bridge root.b host table
port no device devname mac addr ttl attributes
2 7 wan2 02:09:0f:78:69:00 0 Local Static
5 6 trunk_1 02:09:0f:78:69:01 0 Local Static
3 8 dmz 02:09:0f:78:69:01 0 Local Static
4 9 internal 02:09:0f:78:69:02 0 Local Static
3 8 dmz 00:80:c8:39:87:5a 194
4 9 internal 02:09:0f:78:67:68 8
1 3 wan1 00:09:0f:78:69:fe 0 Local Static
9、透明模式的功能限制
- 只支持策略模式的ipsec vpn,支持用户认证;
- 不支持接口模式, 不支持SSL vpn, 不支持动态路由和策略路由、不支持DHCP
- 桥模式的管理地址只能设置一个;如需要设置多个IP,需要使用虚拟域。