一、原理介绍：    

          在多业务承载网融合防火墙部署的方案拓扑和极简X典型拓扑一样，只是在核心上加入防火墙卡。 目前极简仅支持的防火墙卡部署模式为透明模式，该模式对指定VLAN或三层口的流量进行防火墙业务处理。引流后防火墙将默认进行数据包的TCP全状态检查。

   

二、控制器及设备配置：

【控制器配置】

无

【设备配置】

步骤一、配置交换机和防火墙互联的聚合口      

交换机与防火墙卡是通过设备内部的5个万兆口互联，在插入防火墙模块后，交换机在FW所在槽位生成7个万兆端口，其中两个是防火墙卡面板的交换机端口，还有5个是交换机和防火墙的内联口，       其中4个万兆内联口要组成一个聚合口，另外一个是故障检测口。

在交换机上配置将交换机与防火墙互联的聚合口：

Ruijie>enable------>进入特权模式      

Ruijie#configure terminal  ------>进入全局配置模式      

Ruijie(config)#firewall-group group-id 1 aggregateport 1   ------>【必配】配置5个内联口组成一个聚合口

Ruijie(config)#interface aggregateport 1        

Ruijie(config-if-AggregatePort 1)#aggregateport load-balance src-dst-ip------>均衡方式选择根据源IP和目的IP进行均衡

 

步骤二、创建虚拟防火墙，配置防护区域vlan 2001，2002，2003，2004。

Ruijie#config terminal

Ruijie(config)#firewall-config vfw1------>【必配】创建虚拟防火墙vfw1      

Ruijie(config-vfw)#protect interface vlan 2001 use vlan 1001------>【必配】配置防护区域vlan2001，消耗一个vlan1001      

Automatically migrate interface vlan 2001 configuration to interface vlan 1001?[no]Y

当输入Y时，表示用户同意迁移配置，此时系统自动检测vlan 2001三层接口是否有三层配置，若有则迁移配置到新的三层vlan 1001接口

Ruijie(config-vfw)#protect interface vlan 2002 use vlan 1002------>配置防护区域vlan2002，消耗一个vlan1002      

Automatically migrate interface vlan 2002 configuration to interface vlan 1002?[no]Y

Ruijie(config-vfw)#protect interface vlan 2003 use vlan 1003------>配置防护区域vlan2003，消耗一个vlan1003      

Automatically migrate interface vlan 2003 configuration to interface vlan 1003?[no]Y

Ruijie(config-vfw)#protect interface vlan 2004 use vlan 1004------>配置防护区域vlan2004，消耗一个vlan1004      

Automatically migrate interface vlan 2004 configuration to interface vlan 1004?[no]Y

Ruijie(config-vfw)# loose-inner-zone-access                                       ------>缺省允许互通（见安全域的说明）      

在配置protect口前，需要防火墙卡上关掉状态检测，同时放行所有的流量。十分钟过后，重新启用状态检测，并布署访问策略和防攻击策略。不然会导致断流。      

     

步骤三、修改核心交换机配置（步骤二非自动迁移时）

     

Ruijie#configure  terminal

Ruijie(config)#interface vlan 1001------>照搬原来interface VLAN2001 接口下的原有配置      

Ruijie(config-if-VLAN 1001)# ip address 172.16.0.10 255.255.255.252

Ruijie(config-if-VLAN 1001)# ip address 10.12.33.1 255.255.255.0 secondary

...

     

步骤四、如果涉及三层口的配置迁移，检查三层口的配置是否正常迁移，检查配置中与该接口有关的其他配置并进行替换。

Ruijie#configure terminal

Ruijie(config)#router ospf

Ruijie(config-router)# no passive-interface vlan 1001

Ruijie(config-router)#end

     

至此已经通过防火墙的透明桥接功能，将通过核心交换机的VLAN2001-2004网段的流量引入到防火墙进行安全过滤。可以在根据客户的需求在防火墙卡进行安全策略的部署。        

     

三、功能验证      

     

1. show ip fpm statistics，查看活动的流表数，应大于零

FW#show ip fpm 1 1 statistics------>设备号1，槽号1        

The capacity of the flow table:8000000

Number of active flows: 545077

Fpm attribute is fw.      

2.  show ip fpm 1 1 flow，查看流表，正常的TCP应用下flow_state列应大部分为TCP_ESTABLISHED和UDP_ESTABLISHED状态。------>设备号1，槽号1