深信服NGAF 虛擬網(wǎng)線模式部署案例

NGAF  虛擬網(wǎng)線模式部署案例

1.1NGAF  虛擬網(wǎng)線部署介紹

虛擬網(wǎng)線部署與透明部署類似，但是應(yīng)用場景有所不同。虛擬網(wǎng)線主要應(yīng)用于多網(wǎng)橋的情況下。當(dāng)客戶需要利用多網(wǎng)橋來部署 NGAF 設(shè)備，建議使用虛擬網(wǎng)線，而不用透明部署。主要是由于多網(wǎng)橋下容易出現(xiàn) MAC 表錯亂問題，虛擬網(wǎng)線設(shè)置后，不需要查找 MAC 表，數(shù)據(jù)從一個口進(jìn)來，直接從虛擬網(wǎng)線設(shè)置的另外一個口轉(zhuǎn)發(fā)。

客戶環(huán)境與需求：某客戶網(wǎng)絡(luò)環(huán)境如下圖所示，出口為艾泰路由器，內(nèi)網(wǎng)兩個三層交

換機(jī)，H3C-A劃分出5個網(wǎng)段VLAN10到50，內(nèi)網(wǎng)有AD域控做DNS和DHCP服務(wù)通過VLAN10鏈接交換機(jī)和路由器?？蛻粝Ｍ该鞑渴?/span> NGAF 設(shè)備，不更改原來的上網(wǎng)方式。該環(huán)境下需要使用虛擬網(wǎng)線來部署。

2原網(wǎng)絡(luò)配置

艾泰本地LAN192.168.10.2

路由表

H3C-A 配置情況

默認(rèn)路由

1. 0.0.0.0  .0.0.0.0 192.168.10.2

VLAN劃分如圖

H3C-B鏈接VLAN40端口，擴(kuò)展物理LAN口，內(nèi)部PC通過VLAN40上網(wǎng)

1.3深信服NGAF配置虛擬網(wǎng)線（WAN為eth2,LAN為eth3）

2.1對物理接口劃分區(qū)域

接口/區(qū)域———物理接口

接口/區(qū)域———區(qū)域

2.2進(jìn)入『網(wǎng)絡(luò)配置』→『接口/區(qū)域』→『接口聯(lián)動』，點(diǎn)擊新增，界面設(shè)置如下：

2.3放通防火墻規(guī)則，由于防火墻默認(rèn)禁止所有數(shù)據(jù)，需要在『內(nèi)容安全』→『應(yīng)用控制策略』，新增一條規(guī)則，放通內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)互通的數(shù)據(jù)。界面配置如下：

3配置NGAF可遠(yuǎn)程管理

NGAF配置eht3連接類型為DHCP，連接H3C-B獲取VLAN40的ip192.168.40.161，連通外網(wǎng)可更新規(guī)則庫等信息

艾泰路由添加一條IP/MAC規(guī)則把NGAF的ip 192.168.40.161綁定，添加L2TP的×××賬號，可遠(yuǎn)程管理內(nèi)網(wǎng).