防火墙与上下行设备物理互联设计
H3C防火墙(Gi和Gn)都是通过VRRP与上下行设备互联,互相启用VRRP,一般情况下,防火墙不提供二层链路,需要上下行设备提供中间二层互联链路,为H3C防火墙提供VRRP心跳线;
2、 Gi防火墙VPN设计
由于进出防火墙流量都需要经过交换机机框,所以需要对于内外网流量做隔离,需要配置VPN完成路由隔离功能,需要配置trust和untrust两个VPN即可。
3、 LTE防火墙冗余设计
Gi防火墙交换机机框上的防火墙插卡成对使用,每一对防火墙插卡分别插在主框和备框的对应槽位上,采用主备模式,正常情况下只有一块防火墙卡在工作状态;
每一对防火墙插卡进行配置同步,正常情况进行防火墙策略维护时,仅需维护主防火墙就可以,备用防火墙配置会自动与主防火墙同步。
每一对防火墙插卡还需进行会话状态同步,在主防火墙故障情况下,备用防火墙替代主用防火墙后不需要重新建立会话。直接依据同步过来的会话进行数据报文转发。
Gn防火墙用F5000的话启用双机热备、会话同步,连好会话配置同步的链路即可。用交换机加插卡方案要求与Gi防火墙相同。
4、 LTE防火墙与CE路由设计
LTE防火墙与CE之间互联启用VRRP,路由互相用静态路由将下一跳设为对方VRRP虚地址,H3C防火墙可配合CE启用BFD联动静态路由,加快CE侧路由倒换速度。
5、 NAT设计
LTE防火墙NAT不需NAT444,只需普通NAT即可,需要注意的是主备机框上的防火墙板卡为1:1备份,NAT地址池配置除level有区别之外,其他完全一致;
