USG6000透明部署在核心交换机和接入交换机之间

[复制链接]
发表于 : 2018-11-10 10:08:38 最新回复:2019-12-06 15:09:16
1221 9
豪鹏展翅
豪鹏展翅  新锐

业务需求
由于业务需求,在不改变原有设备配置的情况下,使用透明模式在接入交换机和核心交换机之间部署USG防火墙。


拓扑简图
USG6000透明部署在核心交换机和接入交换机之间-2798659-1
组网规划:

GE1/0/0口连接核心交换机。划分到安全区域untrust

GE1/0/1口连接接入交换机,划分到安全区域trust

USG上透传核心上的VLAN10 和VLAN20 的业务VLAN

操作步骤:
1、配置连接核心交换机的接口
选择“网络 > 接口”单击GE1/0/0接口所在行的USG6000透明部署在核心交换机和接入交换机之间-2798659-2
模式选择为交换模式
连接类型选择为trunk
trunk VLAN id 为10、20
USG6000透明部署在核心交换机和接入交换机之间-2798659-3
点击确定,连接外网的接口配置完成;
2、配置连接接入交换机的接口
选择“网络 > 接口”单击GE1/0/1接口所在行的USG6000透明部署在核心交换机和接入交换机之间-2798659-4
将接口的安全区域选择trust
模式选择为交换模式
连接类型选择为trunk
trunk VLAN id 为10、20
USG6000透明部署在核心交换机和接入交换机之间-2798659-5
点击确定,连接内网的接口配置完成
3、分别将GE1/0/0加入untrust区域,将GE1/0/1加入trust区域
选择“网络 > 安全区域”。点击untrust后面的编辑按钮,将GE1/0/0加入
USG6000透明部署在核心交换机和接入交换机之间-2798659-6
点击确定

选择“网络 > 安全区域”。点击trust后面的编辑按钮,将GE1/0/1加入
USG6000透明部署在核心交换机和接入交换机之间-2798659-7
点击确定
4、放行对应的安全策略
选择“策略 > 安全策略”点击新建
源区域选择trust
目的区域选择untrust
动作选择允许
USG6000透明部署在核心交换机和接入交换机之间-2798659-8
点击确定安全策略配置完成



做如上四步配置之后,将防火墙对应的接口同接入交换机和核心交换机连接,就可正常上网,同时也可根据自己的具体需求做相应的安全策略,来保护内网。

本帖最后由 豪鹏展翅 于 2018-11-10 17:26 编辑

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
  • x
  • 常规:

点评 回复

跳转到指定楼层
ackca
ackca   发表于 2018-11-10 17:12:35 已赞(0) 赞(0)

这有意义吗,接入交换机纯属多余,防火墙也应放在核心交换机和路由器之间
  • x
  • 常规:

点评 回复

Y.yuan
Y.yuan   发表于 2019-10-17 10:50:57 已赞(0) 赞(0)

我在ensp中试了这个拓扑,但是PC无法ping通网关。
核心交换和接入交换与防火墙连接的口都配置成了trunk,都允许了两个vlan通过,核心上也配置了vlanif的ip,PC与接入交换机连接的口也划在了相应的vlan中了,请问还缺什么配置吗?
  • x
  • 常规:

点评 回复

houhouhou
houhouhou   发表于 2019-10-18 07:51:25 已赞(0) 赞(0)

我也试过,总感觉ensp里面,防火墙的二层实验有问题
  • x
  • 常规:

点评 回复

宏宇有毒
宏宇有毒   发表于 2019-10-28 16:39:14 已赞(0) 赞(0)

模拟器还是问题多多的USG6000透明部署在核心交换机和接入交换机之间-3096832-1
  • x
  • 常规:

点评 回复

love0snow
love0snow   发表于 2019-11-16 11:25:45 已赞(0) 赞(0)

houhouhou 发表于 2019-10-18 07:51 我也试过,总感觉ensp里面,防火墙的二层实验有问题
**的,就是拼不通
  • x
  • 常规:

点评 回复

拥有今天的人,才能拥有明天 !
麻虾小鱼
麻虾小鱼   发表于 2019-11-20 09:28:30 已赞(0) 赞(0)

这样做的目的是什么?有何意义?你这样做核心和路由不是暴露在外网了?还谈什么安全呢?难道只是为了控制内网?如果我DOS攻击你的边缘路由,你岂不是上网都上不去?就算业务需求,边缘路由也应该是USG。
  • x
  • 常规:

点评 回复

USG6320菜鸟战斗机
USG6320菜鸟战斗机   发表于 2019-11-25 12:11:31 已赞(0) 赞(0)

防火墙不是应该放在互联网与路由器之间吗???
  • x
  • 常规:

点评 回复

USG6320菜鸟战斗机
USG6320菜鸟战斗机   发表于 2019-11-25 12:13:30 已赞(0) 赞(0)

放行策略除了 trust untrust 两个之外,是不是还要配制 逻辑防火墙 与 trust untrust 域之间的放行策略???
  • x
  • 常规:

点评 回复

alanlin1992
alanlin1992   发表于 5 天前 已赞(0) 赞(0)

这样的部署的目的是什么,完全没有发挥防火墙应有的作用。
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录