本文主要是介绍锐捷防火墙(WEB)—— 接口—DMZ、MGMT、接口转换,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
目录
Ⅰ DMZ口和MGMT口说明
Ⅱ S31和S36接口转换
Ⅲ M51接口转换
Ⅰ DMZ口和MGMT口说明
一、不要使用MGMT管理口作为业务口
MGMT口直接在CPU芯片上,无法实现数据流的硬件加速(有MGMT口的设备有:M5100、M6600、X8500以及X9300) ,数据流硬件加速过程如下(下图以X9300为例)
(1)新建流三次握手时经过cpu处理
(2)已建立会话的流量经过NP加速芯片处理,不再经过CPU
(3)MGMT口直连在CPU芯片上,无法享受硬件加速
二、DMZ接口属性说明
(1)DMZ接口与其他接口一样,在物理特性、软件特性上无任何不同;同时各型号DMZ接口都连接在加速芯片上,可以当作业务口使用(MGMT管理口直连CPU,不建议当作业务口)
(2)DMZ仅是一个标贴标识,便于提示用户当前线路所连接的区域,例如WAN1口用来连接外网线路,LAN口用来连接内网线路;
(3) DMZ口建议连接的区域:DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”,该接口下可以连接一些公开的服务器设施,如企业Web服务器、FTP服务器和论坛等
Ⅱ S31和S36接口转换
一、S3100和S3600内置交换口说明
S3100的1-7交换口和S3600的1-14的交换口默认属于internal口;防火墙上只能基于internal进行安全策略的控制,只能在internal口上配置IP;从设备的外观上识别如下:
(1)S3100internal口既可以作为带有8个交换接口的internal口工作,也可以拆分8个独立的接口工作
(2)S3600的internal口既可以作为带有14个交换机口internal接口工作,也可以拆分14个独立的口工作。
登陆设备WEB上仅能查看到internal口,无法查看到具体的交换口
二、接口转换需求说明
通常在以下情况下需要进行接口的转换:
(1)接口数不够;如:有3条以上的外网线路;
(2)安全策略需要对具体接口进行控制;如:禁止交换接口3与交换接口5进行数据互访;
注意:
1、交换口转换为实际接口,此时是CPU模拟接口,相对消耗设备性能,所以尽量不使用;如果使用优先使用设备的物理接口(有经过专用物理芯片加速),如:wan1、wan2;
2、不支持将部分交换口转为实际接口;如:1-5口转为实际接口;剩下的不转换;
三、配置说明
配置方法一:
登录WEB界面,点击编辑internal接口,“一键拆分”。适用于P5及以上的版本新功能,该操作设备恢复出厂设置,接口拆分的同时也清空当前的所有配置,作为出口设备谨慎配置!
配置方法二:
步骤1、删除internal关联接口
模式如果要将internal口拆分多个独立的路由口,需要清除与internal接口相关联的所有配置,否则会出现如下的错误提示:
Interface internal is in use
需要删除的相关配置可能包括如下几个方面:
(1) 防火墙策略, 如有为internal 口配置策略,作为源接口或目的接口。
(2) 静态路由, 删除与internal相关的路由条目。
(3) DHCP 服务。
(4) IPsec,VIP等。
(5)地址对象。
检查命令:
RG-WALL # diagnose sys checkused system.interface.name port1 // 查看internal在配置中的使用情况
entry used by table system.arp-table:id '1'
entry used by table firewall.vip:name 'Loadbalance'
entry used by table firewall.vip:name 'Server'
根据如上结果挨个删除相关联配置。
RG-WALL # config global
RG-WALL (global) # config system global
RG-WALL (global) # set internal-switch-mode interface
RG-WALL (global) # end
Changing switch mode will reboot the system!
Do you want to continue? (y/n)y
RG-WALL (global) #
Connection closed by foreign host.
步骤2、internal的工作模式切换
可以通过如下命令对internal的工作模式进行切换:
RG-WALL # config sys global
RG-WALL (global) # set internal-switch-mode interface
hub hub //hub模式,不隔离广播包,谨慎使用。
interface interface //接口模式,internal的每一个口都作为独立的口工作。
switch switch //switch模式,默认配置,可以间接理解为internal口的连接了一个交换机。
四、配置效果
以S3600为例,接口转换完成后,登陆网络接口配置页面,将看到internal1-14的接口选项。
Ⅲ M51接口转换
一、M5100交换口
M5100自己48个交换口,可以将这些lan口任一个或几个接口,按需求拆分成独立的路由口使用。与S3100 和S3600相比,使用起来更加灵活。
拆分M5100的交换口,可以在web界面上配置,也可以在CLI命令行下执行;推荐在WEB界面上进行配置;
登录设备只能看到lan口,无法看到具体的交换口
二、第一种方法:web界面配置
(1)划分路由口
步骤1:系统管理--网络--接口--点击编辑lan口
步骤2:对于要划出独立路由口的接口, 点击接口后的小X就可,并点击确认。
步骤三:查看接口界面,可以看到新增的路由口(port1--port5)
(2)取消路由口,添加回lan交换口
步骤1:系统管理--网络--接口--编辑lan口,点击物理接口后的
步骤2:选择要添加回交换口的接口(这里以port1,port2为例),并点击确认
步骤3:可以看到port1、port已添加回lan交换口,不再显示
注意:lan口在web界面下无法删除,其至少包含两个物理接口(做为lan口的组成部分,最后剩余两个接口无法移出)
三、第二种方法:命令行配置
步骤1、删除internal关联接口
模式如果要将internal口拆分多个独立的路由口,需要清除与internal接口相关联的所有配置,否则会出现如下的错误提示:
intf lan is used
需要删除的相关配置可能包括如下几个方面:
(1) 防火墙策略, 如有为internal 口配置策略,作为源接口或目的接口。
(2) 静态路由, 删除与internal相关的路由条目。
(3) DHCP 服务。
(4) IPsec,VIP等。
(5)地址对象。
检查命令:
RG-WALL # diagnose sys checkused system.interface.name lan // 查看internal在配置中的使用情况
entry used by table system.dhcp.server:id '1'
entry used by child table srcintf:name 'lan' of table firewall.policy:policyid '1'
根据如上结果挨个删除相关联配置。
步骤2、internal的工作模式切换
说明:执行操作前,建议先升级到P2版本,如在P1版本下操作,需先输入print cliovrd enabl4e并回车,同时用户登出再登录后才可执行下列命令
可以通过如下命令对internal的工作模式进行切换:
RG-WALL # config system virtual-switch
RG-WALL (virtual-switch) #delete lan
RG-WALL (virtual-switch) #end
步骤3、查看配置效果
接口转换完成后,登陆网络接口配置页面,将看到lan口已经全部拆分成路由口
这篇关于锐捷防火墙(WEB)—— 接口—DMZ、MGMT、接口转换的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
