目录
Ⅰ 透明桥模式带外管理
一、组网需求
透明模式部署下的防火墙,需实现带外管理:
1.防火墙上须配置一个与管理网段相同的IP地址进行管理;
2.添加的管理IP产生的本地路由,不会对正常业务数据传输造成异步路由等冲突;
3.防火墙切换为整机透明模式后,所有接口(mgmt口、wan口、internel口、port口等)都处在同一个透明桥中,如不启用vdom带外管理需注意避免环路
二、网络拓扑
三、配置要点
1、启用VDOM
2、将连接管理网段的接口单独划入一个vdom(本例中为internal3口)
3、配置internal3口的管理iP、管理访问方式等;
四、操作步骤
1、启用透明模式
进入 系统管理--面板--状态,在首页的系统信息框
点击运行模式后面的“修改”按钮,在随后的模式修改菜单内,将模式修改为“透明模式”。
2、配置VDOM
进入 系统管理--面板--状态,在系统信息中找到虚拟域,如下图
新建VDOM,取名“manager”
将管理口internal3口划入VDOM ‘manager‘,点击系统管理-网络-接口-编辑:
对internal3口进行编辑
Vdom:选择manager
ip/子网掩码:192.168.1.3/24(与管理网段同一网段)
管理访问:开启https、ping、ssh
五、验证效果
将电脑IP地址设置为192.168.1.1/24,通过https://192.168.1.3 访问防火墙的WEB管理页面;
1.可以对防火墙进行管理;
2.不影响管理网段电脑的正常网络访问;
六、注意事项
1. 当不需要带外管理端口,对处于桥模式的防火墙直接进行管理时(如此例中的internal1口或wan1口),需注意:
a.桥IP是整个防火墙本身的IP地址,不针对某个接口;
b.需通过某个接口对桥模式防火墙进行管理时,需开启相应接口下的如ping,https,ssh等管理功能;
c.如此例中,当要通过internal1或者wan1来对防火墙进行管理时:需开启internal1和wan1接口下的ping、https、ssh等管理功能;
2.带外管理口所在vdom需设置成管理域,才能成功更新病毒库等UTM功能;配置如下:
RG-WALL # config global
RG-WALL (global) # config system global
RG-WALL (global) # set management-vdom ‘管理口所在vdom名’
RG-WALL (global) # end
Ⅱ 多网桥模式部署
一、常见场景
用户现场需要配置两组透明桥,网桥1:wan1口+port1口;网桥2:wan2口+port2口;
二、配置逻辑
(1)启用VDOM(虚拟域)功能;
(2)新建两个透明模式的VDOM(虚拟域),例如vdom1,vdom2;
(3)将wan1口、port1口划入vdom1,将wan2口、port口划入vdom2口;
(4)分别进入vdom1和vdom2,设置不同透明桥下的访问控制规则;
三、具体配置
(1)启用VDOM(虚拟域)功能;
(2)新建两个透明模式的VDOM(虚拟域),例如vdom1,vdom2;
系统管理--VDOM--VDOM,点击 “新建”,在弹出的对话框中输入虚拟域的名字vdom1(vdom2操作参考vdom1),选择操作模式为透明模式
(3)将wan1口、port1口划入vdom1,将wan2口、port口划入vdom2口;
进入全局配置 系统管理--网络--接口,编辑 wan1接口,把wan1接口加入到vdom1域(其他接口参考wan1配置)
(4)分别进入vdom1和vdom2,设置不同透明桥下的访问控制规则;
VDOM切换:在界面左下角,可选择 全局设置、vdom1、vdom2
(5)访问控制策略步骤。