400-618-8070

11alt" />
乾颐堂大学堂
Large School
技术文档
乾颐盾之深信服防火墙(一)—乾颐堂
发布时间:2016-07-11   浏览次数:   分享:

深信服防火墙的接口并不像其他的防火墙那么的丰富,简单的就是物理接口,子接口,Vlan接口,聚合接口这么几个接口类型。那么我们今天就来简单的说下他的这个聚合接口。

刚刚开始我理解的就是这个聚合接口就是交换机连接的那个port-channel。然后他这个聚合接口呢并不简单的只是port-channel,他还可以作为冗余接口,也就是他说的主备模式,同时他的这个聚合接口还支持基于hash的负载均衡还有基于轮询的负载均衡。下面我们就来看下今天的实验,如何简单的配置聚合接口。

这次的实验主要是做聚合接口,同时采用基于hash的负载均衡模式,当然也可以用其他的模式,然后在FW1上创建一个vlan200的SVI接口,也就是深信服的VLAN接口。然后从R1上来测试通过聚合接口到达设备的连通性。

一:进行对应的二层桥接,并且在SW1上配置成port-channel。

SW1(config)#interface f0/4

SW1(config-if)#switchport mode access

SW1(config-if)#switchport access vlan 200

SW1(config-if)#no shutdown

SW1(config)#interface range fastEthernet 0/1 -2

SW1(config-if-range)#channel-group 1 mode on

SW1(config-if-range)#exit

二:配置好R1上的IP地址和路由。

R1(config)#interface fastEthernet 0/0

R1(config-if)#ip address 10.1.1.1 255.255.255.0

R1(config-if)#no shutdown                

三:在防火墙上创建相应的二层Zone

网络配置 > 接口/区域 > 区域 > 新增

四:新建聚合接口

在新建聚合接口的时候,我们需要注意的是这个聚合接口可以是三层接口,可以是二层接口,只是在这边我们做实验的是二层接口。然后我们要选的是基于hash的负载均衡的方式。

可以看到的是当我们新建完了聚合接口之后,SW1上的port-channel立刻就UP了。

五:划分SW1上的port-channel到vlan200

由于我们创建port-channel的时候,只是创建了port-channel,但是我们没有划分入对应的vlan,而我们防火墙的设备是已经划分入了VLAN200的,所以我们需要在SW1上划分port-channel接口到VLAN200。

SW1(config)#interface port-channel 1

SW1(config-if)#switchport mode access

SW1(config-if)#switchport mode access

SW1(config-if)#switchport access vlan 200

SW1(config-if)#no shutdown

SW1(config-if)#end

六:查看port-channel的状态

七:在防火墙上创建VLAN接口

先为VLAN接口创建Zone

网络配置 > 接口/区域 > 区域 > 新增

创建VLAN接口

网络配置 > 接口/区域 > VLAN接口 > 新增

八:放行对应的策略

这边测试我们是从R1到FW的流量,所以这边放行的策略是从聚合接口Zone到VLAN200的流量,我们放行icmp和ssh的流量。

内容安全 > 应用控制策略 > 新增

九:测试R1到VLAN200的连通性

由于我们放行了对应的策略,所以这边我们直接用R1来进行相关的测试。

到这边,简单的聚合接口的实验就结束了。总的来说她的聚合接口的实验还是很好做的。


 ©2013-2014  乾颐堂网络工程师培训  版权所有  京ICP备14044984号-2 

 中国权威 Cisco (思科) CCNA CCNP CCIE 认证培训 企业定制培训

 咨询报名电话:400-618-8070   

CCNA论坛