【WAF】【配置管理】Web应用防火墙端口聚合配置说明

李莉02发表于:2020年12月29日 16:00:39更新于:2021年08月05日 18:39:29

    一、端口聚合使用场景

    在遇到需要上架的WAF设备采用串联部署,WAF要接入的上下行设备均有聚合链路时,此时WAF设备也需要基于上下行的设备链路做端口聚合,例如像如下拓扑结构:

image.png

    上面拓扑中,WAF串联部署,上行GE2和GE4接口、下行GE3和GE5接口,需要分别做成聚合组。

    配置思路:

    1、创建网桥,可根据网络情况,给这个网桥配置IP地址,此IP也可做为WAF管理IP;

    2、创建聚合组,GE2和GE4聚合为ch1,GE3和GE5聚合为ch2;

    3、编辑接口,GE2、GE3、GE4、GE5加进网桥br1和聚合组ch1、ch2;

    4、后台命令行配置聚合模式(配置完需要重启设备生效);

    5、总结即是:WAF的两个上行口做成一个聚合组,两个下行口做成一个聚合组,在把这4个接口加进同一个网桥,并给这个网桥配置IP。


    二、聚合配置步骤

    1、创建网桥

    【网络管理】-网络接口,打开网桥接口,新建网桥;

image.png    

    填写网桥号,注意此处填写的值必须为正整数,不允许有字母;

image.png

    点击“添加”,给网桥配置IP地址;

image.png

     勾选“管理IP”,则此IP可做为WAF的管理地址,出于安全考虑,建议将WAF业务口和管理口分开,另外使用独立接口做为管理口用。

image.png   


2、创建聚合组

    【网络管理】-网络接口,打开Channel接口选项,点击右上角“增加”按钮,新建Channel接口

image.png

    创建一个Channel接口名称,通常会以ch1、ch2……以此类推命名,可根据使用情况,给此接口添加个备注名称,点击保存;

image.png


3、将接口加入网桥和聚合组

    依次双击点开要编辑的接口,Channel接口和网桥选择前面新创建好的接口号;

image.png


4、配置聚合模式

    打开SSH或console命令行,命令格式如下:

    channel -M -m 0  静态聚合模式;

    channel -M -m 4  动态聚合模式;

    默认参数为0,即静态聚合模式;

    配置完重启设备使聚合生效。


    重启后查看聚合状态命令格式:

    channel -S,查看聚合状态是否都为up。


    其它聚合模式配置参数可参考文档:

《【WAF】【配置管理】WAF6.x-channel模式(静态&动态)修改关》

https://tac.qianxin.com/hc/kb/article/1295861/


三、注意事项

    1、聚合模式必须要在后台命令行下配置,并且配置完需要重启设备;

    2、聚合模式要与WAF相接的对端设备一致;

    3、通常是将所有参与聚合的接口都配置在一个网桥中;

    4、若聚合未起来,首先channel -S检查WAF的聚合是否为up,在排查与对端的聚合模式是否一致。