应用场景：

FW卡在保护服务器和核心交换机间的流量，在安全性要求高的情况下，可靠性要求很高，如果防火墙卡发生了故障，会导致数据流中断。为了防止数据流中断，往往采用热备来实现冗余。在以下场景就要实现防火墙故障时，防火墙卡bypass，业务数据流不中断。

FW卡部署bypass功能，必须工作在透明模式的情况下，主要应用以下场景：

1、核心交换机在插入单防火墙；

2、核心交换机插入双防火墙，但是防火墙都工作在主状态；

3、核心交换机虽然部署了主备防火墙模式，但是为了防止主备防火墙模块同时出现故障。

功能原理：

为了解决防火墙模块故障时数据断流问题，锐捷实现bypass功能。Bypass功能能通过检测防火墙模块的工作状态，如果发现防火墙模块出现故障时，将数据流切换到交换机直接转发，不再送给防火墙处理，从而保证防火墙模块故障时数据流不中断。

bypass有三个概念：

在防火墙卡上创建的桥组中有两个VLAN，一个直连用户为User VLAN，一个连接核心交换机网关为Gateway VLAN，在交换机上除了配置User VLAN，Gateway Vlan外，还需要将核心交换机网关SVI配置为Super VLAN。

在防火墙正常工作时，防火墙卡正常配置透明模式桥组，无需其他配置；在核心交换机上配置Gateway VLAN加入到supervlan作为Sub VLAN，而User VLAN未加入这样在交换机收到UserVLAN的报文，将数据发向防火墙模块，经过防火墙模块后经过桥组后，数据变为Gateway VLAN 转回交换机，送给SuperVLAN上的网关进行转发。

防火墙故障后，Bypass功能会将所有UserVLAN加入到SuperVLAN作为SubVLAN，这样当交换机收到UserVLAN的数据后，会将数据直接送给SuperVLAN上的网关转发。

一、组网要求

1、防火墙卡插入核心交换机3槽位，服务器经过核心交换机的数据都经过防火墙的防护。

2、核心交换机链接服务器VLAN50，防火墙上桥接VLAN1049，交换机上网关为VLAN1050。

二、组网拓扑

三、配置要点

1、防火墙工作在透明模式，配置基本的管理功能；

2、防火墙模块基本的安全防护；

四、配置步骤

1、对交换机和FW卡的内联口进行初始化配置

SW1

交换机和FW卡有两个万兆内联口

Ruijie(config)#vlan 4094 ----->预留，作为和防火墙卡互联端口的native valn。

Ruijie(config-vlan)#exit

Ruijie(config)#interface range tenGigabitEthernet 3/1-2 ----->根据防火墙卡的安装槽位，交换机将在该槽位识别到2个万兆口

Ruijie(config-if-range)#port-group 127 ----->将2个接口捆绑为链路聚合口，这里指定为127号

Ruijie(config-if-range)#exit

Ruijie(config)#int aggregateport 127 ----->进入该接口配置为Trunk

Ruijie(config-if-AggregatePort 127)#switchport mode trunk ----->必须将该聚合口配置为Trunk

Ruijie(config-if-AggregatePort 127)#switchport trunk native vlan 4094 ----->由于Trunk的NativeVLAN输出的报文为Untag，防火墙无法处理为了让常用的VLAN1能够通信，建议修改NativeVLAN为4094

Ruijie(config-if-AggregatePort 127)#carrier-delay 0 ----->优化配置，有利于交换机快速检测到端口down

Ruijie(config-if-AggregatePort 127)#exit

在核心交换机创建FW卡的管理VLAN

Ruijie(config)#vlan 4092

Ruijie(config)#interface vlan 4092

Ruijie(config-if-VLAN4092)#ip address 172.18.10.1 255.255.255.0

Ruijie(config-if-VLAN 4092)#exit

Ruijie(config)#interface gi 4/11 ----->预留端口届时给FW卡进行TFTP升级

Ruijie(config-if)#switchport access vlan 4092

2、对FW卡进行初始化配置

可在交换机上通过Session命令登录到防火墙命令行界面（推荐）

也可以用PC COM口连接到防火墙卡面板的Console接口配置

Ruijie# session slot 3 ----->在核心交换机上，执行命令登录3号槽位

Firewall#

注意：典型功能配置---基础配置脚本对防火墙模块进行初始化配置，对黄色部分按照实际的业务需要进行调整。粘接如下脚本到控制台配置。

config terminal

hostname FW

enable service web-server http

enable service web-server https

enable service ssh-server

ip http authentication local

ip http port 80

service password-encryption

username admin password admin

username admin privilege 15

line vty 0 4

exit

interface Vlan 1

ip address 172.18.10.115 255.255.255.0

ip route 0.0.0.0 0.0.0.0 172.18.10.1

clock timezone Beijing +8

ntp server 192.43.244.18

ntp update-calendar

end

config ter

logging file flash:syslog 7

logging file flash:syslog 131072

logging buffered 131072

logging userinfo

logging userinfo command-log

logging server 192.168.1.2

service sysname

service sequence-numbers

service timestamps

snmp-server group group1 v3 priv read default write default

snmp-server user admin group1 v3 auth md5 ruijie priv des56 ruijie123

snmp-server host 192.168.1.2 traps version 3 priv admin

snmp-server enable traps

firewall default-policy-permit

end

3、分别对两张FW卡进行版本确认和升级

防火墙卡软件由两部分组成，1.交换背板软件 2.防火墙软件，交换背板软件同S86/S12K线卡一样在插入机箱后由交换机管理板动态分发更新，无需人工干预，防火墙卡软件升级主要指的是防火墙软件。

FW卡经过上述步骤后，即可和交换机互相ping通，通过交换机的路由可和装有TFTP服务器软件的PC连通。（例如PC可连接在交换机的4092 VLAN中，预留的Gi4/11口）

注意：软件版本选择参考：日常维护--软件版本升级--软件版本升级注意事项，同时务必参考阅读相应软件版本的发行说明，满足相应条件再做升级。

软件升级方式：

在FW卡上采用常见的copy tftp方式升级软件，软件下载完成后，单独reload防火墙卡即可，无需重启交换机

Firewall#copy tftp://172.18.10.3/s86-fwm_94839_install.bin flash:rgos.bin ----->172.18.10.3为PC的 IP地址

Accessing tftp://172.18.10.3/s86-fwm_94839_install.bin...

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Checking file, please wait a few minutes ....

Check file success.

Transmission finished, file length 4567936

THE PROGRAM VERSION: RGOS 10.3.*, Release(94839)

Upgrade Master CM main program OK.

CURRENT PRODUCT INFORMATION :

PRODUCT ID: 0x20070050

PRODUCT DESCRIPTION: Ruijie Firewall Services Module(M8600-FW) By Ruijie Networks

SUCCESS: UPGRADING OK. ----->为提示文件更新成功

Firewall# write

Building configuration...

[OK]

Firewall#reload ----->重启FW卡

Processed with reload? [no]yes

4、在FW卡配置VLAN桥接,将流量引入FW卡进行保护，并在核心交换机上部署防火墙卡Bypass功能（以服务器VLAN50为例）

服务器的流量进入核心交换机时，端口设置为ACCESS VLAN 50，被发送至防火墙进行VLAN ID的转换。报文被封装VLAN1049，VID从防火墙发出至核心，核心交换机上创建SVI 1050作为Super vlan，1049为sub vlan，Subvlan的报文会发送至supver vlan，通过以上设计从而实现将服务器流量引入防火墙。

注意点：

1. 如果防火墙卡分布在两台交换机，链接双防火墙的互联trunk链路需要进行裁减，裁减掉用户VLAN（50），防止广播报文被两种FW卡来回循环进行桥组转换，导致环路。VLAN1049 需要保留，用来透传VRRP报文。

2.交换机上部署FW BYPASS功能防止FW故障时没有备份FW导致的业务异常。核心交换机创建Super vlan 1050，VLAN1049为 VLAN1050的sub vlan。

交换机上的配置参考：

SW1配置：

Ruijie(config)#vlan 50

Ruijie(config)#interface gi5/1

Ruijie(config-if-GiagaEthernet 5/1)#switchport access vlan 50 ----->和服务器互联的接口

Ruijie(config-if-GiagaEthernet 5/1)#exit

Ruijie(config)#vlan 1049 ----->配置服务器的gateway vlan

Ruijie(config-vlan)#exit

Ruijie(config)#vlan 1050 ----->配置服务器的Super vlan

Ruijie(config-vlan)#super vlan

Ruijie(config-vlan)#fw-bypass gateway-vlan 1049 user-vlan 50 ----->配置服务器VLAN的原始VLAN 50和经过FW转换过的VLAN1049

Ruijie(config-vlan)#fw-bypass detection vlan 50 ----->配置探测FW是否工作正常，在VLNA50内发送探测报文，如果从1049VLAN内收到，则认为FW工作正常

Ruijie(config-vlan)#fw-bypass detection interface aggregateport 127 ----->配置探测防火墙的接口，检测流量是否过低

Ruijie(config-vlan)#exit

Ruijie(config)#interface vlan 1050 ----->服务器网关

Ruijie(config-if-VLAN 1050)#ip address 192.168.50.1 255.255.255.0

Ruijie(config-if-VLAN 1050)#exit

注意：

1、如果交换机上之前已经创建了SVI50，务必需要删除SVI 50 ，将SVI 50的配迁移到SVI 1050上面。

2、如果交换机在检测BypassVLAN，只要有一个vlan检测到故障，则会导致所有数据流都会切换到交换机。

3、如果核心交换机的SVI接口配置了VRRP的功能主意：

默认情况下，VRRP报文只向SuperVLAN的VID最好的SubVLAN内发送，如果发生BYPASS，vlan 50成为sub vlan，则VRRP报文会向VLAN50内发送VRRP报文，由于交换机之间的链路将VLAN50裁减掉，导致VRRP双主机产生。Ruijie(config-if-VLAN 1050)#no vrrp detection-vlan 配置此命令后，VRRP报文会同时向sub vlan 1049发送，确保VRRP选举正常。

假设以下为交换机已经部署的原SVI 50的配置

Ruijie(config)#vlan 50

Ruijie(config)#inter vlan 50

Ruijie(config-if-VLAN 50)#ip address 192.168.50.1 255.255.255.0

Ruijie(config-if-VLAN 50)#exit

Ruijie(config)#no interface vlan 50 ----->删除原有SVI配置

trunk裁减防环

Ruijie(config)#int aggregateport 1 ----->进入核心交换机互联的接口

Ruijie(config-if-AggregatePort 1#switchport trunk allowed vlan remove 1-1048,1051-4091，4093 ----->配置TRUNK裁减，放通VLAN1049，管理VLAN4092，实际部署时根据实际的VLAN情况进行裁减。避免大量交换机的其他VLAN内报文发送至FW，消耗设备资源。

FW1的VLAN桥接配置：

Firewall# config terminal

Firewall(config)# firewall default-policy-permit

----->防火墙接口下没有应用ACL时或配置的ACL在最后没有Permit any则默认会丢弃所有包，配置以上命令可修改为默认转发所有包

Firewall(config)#interface vlan 50 ----->创建VLAN接口

Firewall(config-if-Vlan 50)#bridge-group 50 ----->将原始和转换后的VLAN划入同一个桥组

Firewall(config-if-Vlan 50)#interface vlan 1049 ----->创建转换VLAN, 建议在原始VLAN编号上加999，1049为gateway vlan，super vlan为1050，容易关联和区分

Firewall(config-if-Vlan 1049)# bridge-group 50 ----->加入桥组

Firewall(config-if-Vlan 1049)#exit

Firewall(config)#end

Firewall#wr

如果还有其他服务器VLAN需要引入服务器进行保护，需要跟上述配置类似创建 VLAN60,1059，VLAN1060这样的user vlan和super vlan，请自行配置。

将服务器连接在核心交换机的端口所属VLAN，上联出口路由器的互联地址配置正确，此处就不再赘述。

5、配置FW卡安全功能，参见：典型功能配置--防攻击安全功能配置章节

五、功能验证：

1、测试FW配置完成后，经过FW卡VLAN转换的报文连通性

如上图示，可测试核心设备192.168.50.1和服务器的连通性。

核心交换机

Ruijie#ping 192.168.50.10 -----> 192.168.50.10为VLAN10内服务器的IP，检查报文经过防火墙卡转换后， IP通信是否OK

Sending 5, 100-byte ICMP Echoes to 192.168.50.10, timeout is 2 seconds:

< press Ctrl+C to break >

!!!!!

2、在交换机上检查BYPASS功能参数

Ruijie# show fw-bypass status

Super vlan: 1050

Bypass gateway vlan: 1049

Bypass user vlan: 50

Detection vlan: 50

Detection time: 1s

Detection times: 6

Switch mode: manual

Detection interface:

aggregateport 127

Bypass detection status: detection -----> detection表示 Bypass已经开始检测防火墙模块状态。

Bypass running status: firewall forwarding -----> firewall forwarding表示当前数据流走防火墙。

3、测试FW BYPASS功能是否成功部署，可将FW卡拔出，测试服务器和网关的连通性

正常情况下，交换机检测到防火墙硬件软件异常，最长可能需要6S的间隔（探测默认值为：1S*6次的探测机制），导致业务短时间中断属于正常现象。