工业防火墙的网桥模式部署和普通防火墙有些许差异,以下是配置要点:
1、如果防火墙2台做了HA,那么上下行交换机需要做2组链路聚合;并且配置都是相同的,其中1组链路聚合接备墙,不转发流量;当主墙失效,备用的链路聚合组才起来,备墙开始转发流量。
2、主防火墙创建2组网桥,网桥1包含链路聚合1条网线的上下行口;网桥2包含链路聚合另外1条网线的上下行口。
3、网桥1和网桥2 上下行光口做端口联动,保证当网桥的其中1个接口故障的时候,网桥的另外一个接口也随之失效。
4、如果上下行设备的接口是Trunk口,并且流量都是带VLAN TAG的,则网桥的逻辑口和物理口都必须明确指明处理VLAN TAG
具体配置截图如下:主界面
网桥配置界面:
2组网桥创建完毕
网桥成员口,明确指明Trunk模式 处理的VLAN列表:
最后网桥的成员口这个案例可以不指定安全域,直接写安全策略:
最后就是关于管理口的问题,一般情况下上下行设备互联IP是/30掩码的,只有2个可用地址,所以推荐采用带外管理管理设备,网桥自身不需要配置IP地址。