【简介】我们已经知道,在透明模式下,防火墙的接口都是没有IP地址的,那么他们还可以建立链路聚合吗?
网络拓扑
在某些企业,由于内网比较复杂,新加入的防火墙不希望对内网进行任何改动,因此可以选项将防火墙布置为透明模式。在透明模式中,仍可以使用链路聚合。
在某些情况下,甚至可以进出都使用链路聚合。
透明模式设置
飞塔防火墙默认是NAT模式,切换到透明模式需要用命令来完成。
② 在命令模式下进入系统设置,将操作模式设置为透明模式,并设置管理地址和网关。
③ 防火墙不会重启,重新登录防火墙,可以看到模式已经更改为透明了。
④ 选择菜单【系统管理】-【设定】,可能看到系统操作模式显示是透明模式,在这里也可以修改管理IP。当然也可以切换回NAT模式。
⑤ 在路由表里可以看到有条一静态路由,地址就是用命令转换成透明模式时的网关地址,在这里可以修改。
⑥ 再看接口,所有的接口都没有IP地址,也看不到管理IP在哪个接口上,实际上接任何一个口都可以用管理IP登录。下面我们建链路聚合,需要将Lan打散。点击Lan口右边的关联数。
⑦ 选择Lan口关联的策略,点击【删除】。
⑧ 可以看到每个接口都是独立的了,点击【新建】-【接口】。
⑨ 输入新建的接口名称,类型选择【802.3ad聚合】,这里将15口和16口作为聚合口。
⑩ 最后建立一条策略,允许链路聚合接口访问Wan口,因为所有接口都没有IP地址,所以这里的源地址和目的地址都选ALL,而且这里的没有NAT模式下的NAT是否启用的选项了。防火墙配置完成。
防火墙链路聚合设置
这里我们设置思科交换机为三层链路聚合。
① 建立端口通道,设置为三层模式,IP地址与最外端路由器的内网地址是同一个网段。
② 将交换机的23和24口加入端口通道,也是三层模式,访问协议为LACP,和防火墙的支持的协议一样。
③ 设置路由,下一跳的地址是路由器上的内网地址。剩下的其它VLAN设置这里就不再重复了。这里我们建立VLAN100,地址是172.16.1.X网段。需要注意的是,要在路由器上建立一条返程路由,地址是172.16.1.0/24,网关是交换机链路聚合接口IP地址172.20.1.2。
验证
将电脑连接到交换机VLAN100包含的接口内,设置或获取IP地址,首先是Ping交换机链路聚合接口IP地址172.20.1.2,可以Ping通,再Ping下一跳的路由器内网IP地址172.20.1.1,也可以通,最后打开网页,可以上网,证明透明模式工作是正常的。
① 交换机配置完成后,查看防火墙汇聚口的状态,如果是绿色向上箭头,说明汇聚口启用了。
