1-1
1 三层转发配置
其他分册功能模块的典型配置举例一律采用了通过 SecBlade 三层子接口转发为例来进行描述,其
他分册功能模块的典型配置举例中涉及交换机上的配置,请统一参见下面三层转发模块的三层子接
口转发中对于交换机的配置,不再在每一个配置举例中重复描述。
1.1
三层转发简介
三层转发包括了三层子接口转发和跨 VLAN 三层转发。
1.1.1 三层子接口转发的工作机制
防火墙接收到报文后,检查报文所带的 tag,若匹配某一子接口的 PVID,则将该报文去掉二层头后
交给该子接口处理。
图1-1 防火墙插卡和交换机的配合使用
为了实现这一功能,必须进行如下适配:
• 流量在交换机上的入接口和出接口分别属于不同的 VLAN。
• 交换机与防火墙插卡相连的万兆以太网端口配置为 Trunk 类型。
• 防火墙插卡与交换机相连的万兆以太网物理接口配置为路由模式。
• 防火墙插卡连接交换机的万兆以太网口下配置多个子接口,每个子接口的封装格式为 dot1q,
并和交换机上的 VLAN 一一对应。
• 把防火墙插卡与交换机相连的万兆以太网口的每个子接口加入相应的安全域。
经过以上配置,经过交换机流量的来源和目的属于不同 VLAN 时,将使用三层子接口进行转发,具
体过程如下:
(1) 报文进入交换机,交换机对报文加上 Tag 标签后,由 Trunk 口发送至防火墙插卡。
(2) 防火墙插卡收到报文后检查 Tag标签,若匹配到某一子接口的 PVID,则将该报文去掉二层头,
上送到三层转发引擎处理。
(3) 防火墙插卡的三层转发引擎将对上送上来的 IP 报文,查找正确的路由转发,确定从哪个三层
子接口将报文转发出去。
(4) 该报文的入安全域由入报文的三层子接口所在的安全域决定,该报文的出安全域由出报文的
三层子接口所在的安全域决定。出、入报文的三层子接口可能在相同或不同的安全区域内,
防火墙插卡根据报文的出、入安全域之间的域间策略来决定报文允许通过或丢弃。