深信服NGAF 虚拟网线模式部署案例

NGAF 虚拟网线模式部署案例

1.1NGAF 虚拟网线部署介绍

虚拟网线部署与透明部署类似，但是应用场景有所不同。虚拟网线主要应用于多网桥的情况下。当客户需要利用多网桥来部署 NGAF 设备，建议使用虚拟网线，而不用透明部署。主要是由于多网桥下容易出现 MAC 表错乱问题，虚拟网线设置后，不需要查找 MAC 表，数据从一个口进来，直接从虚拟网线设置的另外一个口转发。

客户环境与需求：某客户网络环境如下图所示，出口为艾泰路由器，内网两个三层交

换机，H3C-A划分出5个网段VLAN10到50，内网有AD域控做DNS和DHCP服务通过VLAN10链接交换机和路由器。客户希望透明部署 NGAF 设备，不更改原来的上网方式。该环境下需要使用虚拟网线来部署。

2原网络配置

艾泰本地LAN192.168.10.2

路由表

H3C-A 配置情况

默认路由

1. 0.0.0.0 .0.0.0.0 192.168.10.2

VLAN划分如图

H3C-B链接VLAN40端口，扩展物理LAN口，内部PC通过VLAN40上网

1.3深信服NGAF配置虚拟网线（WAN为eth2,LAN为eth3）

2.1对物理接口划分区域

接口/区域---物理接口

接口/区域---区域

2.2进入『网络配置』→『接口/区域』→『接口联动』，点击新增，界面设置如下：

2.3放通防火墙规则，由于防火墙默认禁止所有数据，需要在『内容安全』→『应用控制策略』，新增一条规则，放通内网区和外网区互通的数据。界面配置如下：

3配置NGAF可远程管理

NGAF配置eht3连接类型为DHCP，连接H3C-B获取VLAN40的ip192.168.40.161，连通外网可更新规则库等信息

艾泰路由添加一条IP/MAC规则把NGAF的ip 192.168.40.161绑定，添加L2TP的×××账号，可远程管理内网.