锐捷防火墙（WEB）

目录

Ⅰ  透明桥模式带外管理

Ⅱ   多网桥模式部署

一、组网需求

透明模式部署下的防火墙，需实现带外管理：

1.防火墙上须配置一个与管理网段相同的IP地址进行管理；

2.添加的管理IP产生的本地路由，不会对正常业务数据传输造成异步路由等冲突；

３.防火墙切换为整机透明模式后，所有接口（mgmt口、wan口、internel口、port口等）都处在同一个透明桥中，如不启用ｖｄｏｍ带外管理需注意避免环路

二、网络拓扑

三、配置要点

1、启用VDOM

2、将连接管理网段的接口单独划入一个vdom（本例中为internal3口）

3、配置internal3口的管理iP、管理访问方式等；

四、操作步骤

1、启用透明模式

       进入 系统管理--面板--状态，在首页的系统信息框

点击运行模式后面的“修改”按钮，在随后的模式修改菜单内，将模式修改为“透明模式”。

  2、配置VDOM

       进入 系统管理--面板--状态，在系统信息中找到虚拟域，如下图

新建VDOM，取名“manager”

  将管理口internal3口划入VDOM ‘manager‘，点击系统管理-网络-接口-编辑：

   对internal3口进行编辑

Vdom:选择manager

     ip/子网掩码：192.168.1.3/24(与管理网段同一网段)

     管理访问：开启https、ping、ssh

五、验证效果

将电脑IP地址设置为192.168.1.1/24,通过https://192.168.1.3 访问防火墙的WEB管理页面；

1.可以对防火墙进行管理；

2.不影响管理网段电脑的正常网络访问；

六、注意事项

1. 当不需要带外管理端口，对处于桥模式的防火墙直接进行管理时（如此例中的internal1口或wan1口），需注意:

a.桥IP是整个防火墙本身的IP地址，不针对某个接口；

b.需通过某个接口对桥模式防火墙进行管理时，需开启相应接口下的如ping，https，ssh等管理功能；

c.如此例中，当要通过internal1或者wan1来对防火墙进行管理时：需开启internal1和wan1接口下的ping、https、ssh等管理功能；

2.带外管理口所在vdom需设置成管理域，才能成功更新病毒库等UTM功能；配置如下：

RG-WALL # config global

RG-WALL (global) # config system global

RG-WALL (global) # set management-vdom ‘管理口所在vdom名’

RG-WALL (global) # end

一、常见场景

用户现场需要配置两组透明桥，网桥1：wan1口+port1口；网桥2：wan2口+port2口；

二、配置逻辑

（1）启用VDOM（虚拟域）功能；

（2）新建两个透明模式的VDOM（虚拟域），例如vdom1，vdom2；

（3）将wan1口、port1口划入vdom1，将wan2口、port口划入vdom2口；

（4）分别进入vdom1和vdom2，设置不同透明桥下的访问控制规则；

三、具体配置

（1）启用VDOM（虚拟域）功能；

（2）新建两个透明模式的VDOM（虚拟域），例如vdom1，vdom2；

系统管理--VDOM--VDOM，点击 “新建”，在弹出的对话框中输入虚拟域的名字vdom1（vdom2操作参考vdom1），选择操作模式为透明模式

（3）将wan1口、port1口划入vdom1，将wan2口、port口划入vdom2口；

进入全局配置 系统管理--网络--接口，编辑 wan1接口，把wan1接口加入到vdom1域（其他接口参考wan1配置）

（4）分别进入vdom1和vdom2，设置不同透明桥下的访问控制规则；

VDOM切换：在界面左下角，可选择 全局设置、vdom1、vdom2

（5）访问控制策略步骤。