H3C NGFW防火墙常见组网方式介绍

单机部署：

1、三层模式，部署在局域网出口，承担安全检测、阻断功能和上网功能，上网方式又分为固定IP地址上网、自动获取IP(DHCP)上网、PPPOE拨号上网；

2、部署在内网，透明模式，承担安全检测和阻断功能；

3、旁挂组网，一般旁挂在核心侧或者出口侧，承担流量的检测功能，记录相应的日志；

适用系列：

双机部署：

双机热备支持如下几种部署方式：

l  三层主备直路部署

l  三层双主直路部署

l  透明主备直路部署

l  透明双主直路部署

、三层主备直路部署

如图2-11所示，双机热备三层主备直路部署方式的适用场景为：需要将Device A与Device B串联部署在上下行设备之间，Device的上、下行业务接口均为三层接口，所有业务流量都必须经过Device。正常情况下只有一台设备处理业务流量，当主设备或链路故障时，可以将业务流量平滑迁移到备设备进行处理。

仅以双机热备与VRRP联动的方案为例，介绍此种双机热备部署方式的部署思路，具体如下：

·     两台Device上下行分别连接二层交换机，Device的上下行接口工作在三层模式。

·     两台Device之间建立一条RBM通道。

·     两台Device上下行分别配置一个VRRP备份组，并与双机热备关联。Device A上下行业务接口的VRRP备份组1和2加入Active group；Device B上下行业务接口的VRRP备份组1和2加入Standby group。

·     两台Device上需要将去往Internet路由的下一跳指定为Router连接Device的接口IP地址（此示例中为2.1.1.15）。

·     Router上需要将去往Host网段路由的下一跳指定为VRRP备份组1的虚拟IP地址（此示例中为2.1.1.3）。

·     Host上需要设置默认网关IP地址为VRRP备份组2的虚拟IP地址（此示例中为10.1.1.3）。

·     Switch A需要将连接Device和Router的接口加入相同的VLAN。

·     Switch B需要将连接Device和Host的接口加入相同的VLAN。

图2-11 双机热备三层主备直路部署示意图

2、三层双主直路部署

如图2-12所示，双机热备三层双主直路部署方式的适用场景为：需要将Device A与Device B串联部署在上下行设备之间，Device的上、下行业务接口均为三层接口，所有业务流量都必须经过Device。正常情况下两台设备都需要处理业务流量，当其中一台设备或链路故障时，可以将业务流量平滑迁移到另一设备进行处理。

仅以双机热备与VRRP联动的方案为例，介绍此种双机热备部署方式的部署思路，具体如下：

·     两台Device上下行分别接入二层交换机，Device的上下行接口工作在三层模式。

·     两台Device之间建立一条RBM通道。

·     两台Device上下行分别配置两个VRRP备份组，并与双机热备关联，具体如下：

¡     Device A上下行业务接口的VRRP备份组1和3加入Active group；Device A上下行业务接口的VRRP备份组2和4加入Standby group。

¡     Device B上下行业务接口的VRRP备份组1和3加入Standby group；Device B上下行业务接口的VRRP备份组2和4加入Active group。

·     两台Device上需要将去往Internet路由的下一跳指定为Router连接Device的接口IP地址（此示例中为2.1.1.15）。

·     Router上需要将去往Host A路由的下一跳指定为VRRP备份组1的虚拟IP地址（此示例中为2.1.1.3）。

·     Router上需要将去往Host B路由的下一跳指定为VRRP备份组2的虚拟IP地址（此示例中为2.1.1.4）。

·     Host A上需要设置默认网关IP地址为VRRP备份组3的虚拟IP地址（此示例中为10.1.1.3）。

·     Host B上需要设置默认网关IP地址为VRRP备份组4的虚拟IP地址（此示例中为10.1.1.4）。

·     Switch A需要将连接Device和Router的接口加入相同的VLAN。

·     Switch B需要将连接Device和Host的接口加入相同的VLAN。

图2-12 双机热备三层双主直路部署示意图

3、透明主备直路部署

设备作为二层设备，上下行连接二层交换机的组网方式仅支持主备组网，不支持双主组网，否则二层网络中会出现网络环路。

如图2-13所示，双机热备二层主备直路部署方式的适用场景为：需要将Device A与Device B作为二层设备串联部署在上下行二层网络之间，Device的上、下行业务接口均为二层接口，所有业务流量都必须经过Device。正常情况下只有一台设备处理业务流量，当主设备或链路故障时，可以将业务流量平滑迁移到备设备进行处理。

此种双机热备部署方式的部署思路如下：

·     两台Device上下行分别连接二层交换机，Device的上下行接口工作在二层模式。

·     两台Device上下行接口加入相同VLAN。

·     两台Device之间建立一条RBM通道。

·     配置双机热备监控功能，保证Device上下行接口状态统一切换。以下双机热备监控功能仅能二选其一。

¡     配置双机热备监控VLAN状态：此种方式下只需要将Device配置为双机热备主备工作模式即可，Device的上下行二层交换机无需开启生成树协议，双机热备可以保证无环路。

¡     配置双机热备监控上下行接口状态：此种方式下Device的上下行二层交换机上必须开启生成树协议保证无环路。

·     Switch A需要将连接Device和Router的接口加入相同的VLAN。

·     Switch B需要将连接Device和Host的接口加入相同的VLAN。

图2-13 双机热备透明主备直路部署示意图

4、透明双主直路部署

如图2-14所示，双机热备二层双主直路部署方式的适用场景为：需要将Device A与Device B作为二层设备串联部署在上下行三层网络之间，Device的上、下行业务接口均为二层接口，所有业务流量都必须经过Device。正常情况下两台设备都需要处理业务流量，当其中一台设备或链路故障时，可以将业务流量平滑迁移到另一设备进行处理。

此种双机热备部署方式的部署思路如下：

·     两台Device上下行分别连接三层网络设备，Device的上下行接口工作在二层模式。

·     两台Device上下行接口加入相同VLAN。

·     两台Device之间建立一条RBM通道。

·     配置双机热备监控接口状态功能，保证Device上下行接口状态统一切换。

·     上、下行连接的Router上通过配置开销值相同的OSPF协议实现流量的负载分担，并配置等价路由基于报文逐流进行负载分担，以保证报文传输路径的稳定性。

图2-14 双机热备透明双主直路部署示意图