Hillstone虚拟线配置及解决方案.PDF

Hillstone 虚拟线配置及解决方案 Hillstone Networks Inc. 2016 年 10 月 26 日 1 / 6 内容提交人 审核人 更新内容 日期 陈天骄 陈天骄 V1 2016/10/26 目录 1 需求分析3 2 解决方案3 2.1 拓扑3 2.2 软硬件信息4 2.3 环境说明4 2.4 防火墙配置4 2.5 核心交换部分配置5 3 建设效果6 4 拓展6 2 / 6 1 需求分析 核心交换机采用点对点 VLAN 方式连接各分支，每个分支都拥有独立的网段。现需要防火 墙采用透明模式部署在核心交换机和分支交换机之间。由于防火墙一旦采用 VLAN 接口部 署，则无法对 VLAN 流量进行访问控制。因此可以采用 virtual-wire 功能，防火墙上联划 分逻辑子接口与下联物理接口分别配置成 virtual-wire 接口对，配置成 virtual-wire 对的两 个接口属于二层安全域，可以实现攻击防护和策略控制，并且不同的virtual-wire 对接口之 间相互隔离无法通信。 2 解决方案 2.1 拓扑 分支1 分支2 分支3 Aggregate 1 分支1 分支2 分支3 3 / 6 2.2 软硬件信息 硬件平台 SG-6000-E1700 软件版本 SG6000-M-3-5.5R1P10 2.3 环境说明 核心交换机划分 3 个业务VLAN 和一个管理 VLAN ，每个业务VLAN 配置一个 SVI 虚拟接 口分别配置分支互联 IP 地址。原有分支互联物理接口分别配置 access 模式划分到各自对应 的VLAN ，与防火墙互联接口配置 trunk 允许对应 VLAN 通过。 防火墙透明模式部署，下联分别与分支互联 ，上联使用两个口划分逻辑子接口与核心交换互 联。每个业务逻辑子接口与一个物理下联口属于一个 virtual-wire 接口对，管理子接口配置 管理 IP 做带内管理。测试环境策略为全通。 2.4 防火墙配置 interface ethernet0/1 zone l2-trust exit interface ethernet0/2 zone l2-trust exit interface ethernet0/3 zone l2-trust exit interface ethernet0/7 aggregate aggregate1 exit interface ethernet0/8 aggregate aggregate1 exit interface aggregate1.6 zone trust ip address manage ssh manage https 4 / 6 man