网神防火墙与H3C网关通过透明模式进行对接的方法
数码知识
2024-02-08
4136
现网环境
H3C FW1000防火墙充当出口网关。GE1/0/0&GE1/0/1接口上联光猫,GE1/0/7-GE1/0/10下接四台接入交换机,接口类型:access,默认VLAN100,内网电脑的网关地址是192.168.100.1,网关在FW1000上。
组网需求
为了加强网络防护,内网电脑访问外网的所有流量必须经过NSG2000,但不能改变原有网络的结构。因此,网神SecGate3600防火墙采用透明模式进行部署,串接在FW1000与四台接入交换机之间,防火墙的接口工作在二层。为了增强链路的稳定并增加带宽,上联光猫口需要配置链路聚合。
组网拓扑
SecGate3600上的GE2-GE5接口下连原来的四台接入交换机,GE7&GE8接口与FW1000的GE1/0/7&GE1/0/8接口互联,参考下图:
![网神防火墙与H3C网关通过透明模式进行对接的方法](/storage/article/20240208/5bb742f0322a00591a1e5cb699c56e2a.jpg)
调试过程
一、配置SecGate3600
1、导入许可证,操作步骤过于简单,略过。
2、SecGate3600上的GE2-5接口绑定为同一个桥接口BR1,用于对接原有的四台接入交换机;GE7&GE8接口配置端口聚合,加入CH1聚合接口,Channel模式:手工方式。再把CH1聚合组也绑定至BR1桥接口。
![网神防火墙与H3C网关通过透明模式进行对接的方法](/storage/article/20240208/8a6a76501b4c0c930a401f2de606839f.jpg)
3、将桥接口BR1的接口IP地址改为VLAN100网段内的空闲IP地址,如192.168.100.253,开启ping、https和SSH,方便VLAN100的电脑进行远程管理SecGate3600。
![网神防火墙与H3C网关通过透明模式进行对接的方法](/storage/article/20240208/7e91f76bf3f5d91bc1a8bfb9e9a09fff.jpg)
![网神防火墙与H3C网关通过透明模式进行对接的方法](/storage/article/20240208/0c34c4bc3bc60c287b545521240f08ca.jpg)
4、选择系统配置 > 管理主机,单击 添加,添加可信主机。设置IP地址范围,依实际VLAN设置,可设置为一个或一段IP地址,这里设置成网管电脑IP地址192.168.100.99,服务选择默认的设备管理。
二、配置FW1000
1、新建端口聚合接口1,将GE1/0/7-GE1/0/8加入聚合接口BAGG1,接口类型改为access,PVID:VLAN100,聚合模式:静态。
![网神防火墙与H3C网关通过透明模式进行对接的方法](/storage/article/20240208/417ed0d4d3ace551740b7809c679d197.jpg)
配置验证
内网电脑可以正常访问外网,内网192.168.100.99打开浏览器,输入https://192.168.100.253,可以远程登录SecGate3600的Web后台,对设备进行监控和管理。
#网络安全# #网络工程师# #防火墙# #调试#
作者简介:90年代末入行的通信&网络工程师,拥有25年从业经验。感谢阅读,欢迎关注!
本站涵盖的内容、图片、视频等数据系网络收集,部分未能与原作者取得联系。若涉及版权问题,请联系我们进行删除!谢谢大家!
现网环境
H3C FW1000防火墙充当出口网关。GE1/0/0&GE1/0/1接口上联光猫,GE1/0/7-GE1/0/10下接四台接入交换机,接口类型:access,默认VLAN100,内网电脑的网关地址是192.168.100.1,网关在FW1000上。
组网需求
为了加强网络防护,内网电脑访问外网的所有流量必须经过NSG2000,但不能改变原有网络的结构。因此,网神SecGate3600防火墙采用透明模式进行部署,串接在FW1000与四台接入交换机之间,防火墙的接口工作在二层。为了增强链路的稳定并增加带宽,上联光猫口需要配置链路聚合。
组网拓扑
SecGate3600上的GE2-GE5接口下连原来的四台接入交换机,GE7&GE8接口与FW1000的GE1/0/7&GE1/0/8接口互联,参考下图:
调试过程
一、配置SecGate3600
1、导入许可证,操作步骤过于简单,略过。
2、SecGate3600上的GE2-5接口绑定为同一个桥接口BR1,用于对接原有的四台接入交换机;GE7&GE8接口配置端口聚合,加入CH1聚合接口,Channel模式:手工方式。再把CH1聚合组也绑定至BR1桥接口。
3、将桥接口BR1的接口IP地址改为VLAN100网段内的空闲IP地址,如192.168.100.253,开启ping、https和SSH,方便VLAN100的电脑进行远程管理SecGate3600。
4、选择系统配置 > 管理主机,单击 添加,添加可信主机。设置IP地址范围,依实际VLAN设置,可设置为一个或一段IP地址,这里设置成网管电脑IP地址192.168.100.99,服务选择默认的设备管理。
二、配置FW1000
1、新建端口聚合接口1,将GE1/0/7-GE1/0/8加入聚合接口BAGG1,接口类型改为access,PVID:VLAN100,聚合模式:静态。
配置验证
内网电脑可以正常访问外网,内网192.168.100.99打开浏览器,输入https://192.168.100.253,可以远程登录SecGate3600的Web后台,对设备进行监控和管理。
#网络安全# #网络工程师# #防火墙# #调试#
作者简介:90年代末入行的通信&网络工程师,拥有25年从业经验。感谢阅读,欢迎关注!
本站涵盖的内容、图片、视频等数据系网络收集,部分未能与原作者取得联系。若涉及版权问题,请联系我们进行删除!谢谢大家!