Upload
trinhnguyet
View
240
Download
16
Embed Size (px)
Citation preview
Dell™ SonicWALL™ X 系列解决方案
部署指南
© 2016 Dell Inc. 保留所有权利。
本产品受美国及国际版权和知识产权法律保护。Dell™、Dell 徽标和 SonicWALL 是 Dell Inc. 在美国和/或其他司法辖区的商标。文 中提到的所有其他标志和名称可能是各自所有者的商标。
X 系列解决方案部署指南 更新日期 - 2016 年 6 月 版本 - 6.2.5 232-003303-00 修订版 A
图例
注意:“注意”图标用来提示如不按照相应说明进行操作,可能引起的硬件损坏或数据丢失。
警告:“警告”图标用来提示可能造成财产损失或人员伤亡的情况。
重要备注、备注、提示、手机或视频:信息图标表示支持的信息。
Dell SonicWALL X 系列解决方案部署指南
目录3
关于 Dell SonicWALL X 系列解决方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
TZ/X 系列解决方案:统一方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
性能要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Dell SonicWALL X 系列解决方案提供的功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
PortShield 功能和 X 系列交换机 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
PoE/PoE+ 和 SFP/SFP+ 支持 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
X 系列解决方案和 SonicPoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
推荐阅读 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
在 TZ 系列装置上设置 X 交换机 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
通过 X 系列交换机用户界面进行设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
通过 X 交换机 UI 添加默认网关 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
通过 CLI 进行设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
在无默认网关的情况下进行设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
在有默认网关的情况下进行设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
将 X 系列交换机添加到 SonicOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
添加扩展交换机 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
删除扩展交换机 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
在各种拓扑结构中配置 X 系列解决方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
关于拓扑 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
关于链路 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
将 X 系列交换机管理端口连接到 TZ 防火墙 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
配置不同的拓扑结构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
配置共同上行链路 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
配置专用上行链路 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
配置包含共同上行链路和专用上行链路的混合系统 . . . . . . . . . . . . . . . . . . . . . . . .31
配置用于管理和数据上行链路的独立链路 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
配置包含专用上行链路的 HA 和 PortShield . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
配置包含专用上行链路的 VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
为 SonicPoint 接入配置专用链路 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
关于 Dell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
联系 Dell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
技术支持资源 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
目录
1
关于 Dell SonicWALL X 系列解决方案
• 第 4 页的概述
• 第 4 页的 TZ/X 系列解决方案:统一方法
• 第 5 页的性能要求
• 第 6 页的 Dell SonicWALL X 系列解决方案提供的功能
• 第 6 页的 PortShield 功能和 X 系列交换机
• 第 7 页的 PoE/PoE+ 和 SFP/SFP+ 支持
• 第 7 页的 X 系列解决方案和 SonicPoint
• 第 8 页的推荐阅读
概述主题:
• 第 4 页的 TZ/X 系列解决方案:统一方法
• 第 5 页的性能要求
• 第 6 页的 Dell SonicWALL X 系列解决方案提供的功能
• 第 7 页的 PoE/PoE+ 和 SFP/SFP+ 支持
• 第 7 页的 X 系列解决方案和 SonicPoint
• 第 6 页的 PortShield 功能和 X 系列交换机
• 第 8 页的推荐阅读
TZ/X 系列解决方案:统一方法关键网络元素,如防火墙和交换机,通常需要分别进行管理。Dell™ SonicWALL™ X 系列解决方案可通过防火墙管理
界面 (UI) 和 GMS 实现对防火墙和交换机的统一管理。例如,Dell SonicWALL TZ 型号的最大可用接口数范围为 5 (TZ300) 到 10 (TZ600) 个。在某些部署情况下,所需的端口数可能很容易超过 TZ 装置的最大可用接口数。通过使
用 TZ/X 系列解决方案,Dell X 系列交换机上的端口就可以看作防火墙的扩展接口,从而使可用的接口数增加到最
多 96 个(具体取决于 X 系列交换机)。这些扩展端口可以被端口屏蔽或配置用于高可用性和视为防火墙上的其他
任何接口。
自 SonicOS 版本 6.2.5.1 开始,表 1 中显示的 TZ 系列装置可支持列出的 X 系列型号。一台 TZ 系列装置上可以调
配最多两台 X 系列交换机。
注: 如需 X 系列交换机的完整信息,请参阅《Dell™ Networking™ X1000 和 X4000 系列交换机用户指南》和
《Dell™ Networking™ X1000 和 X4000 系列交换机入门指南》。
Dell SonicWALL X 系列解决方案部署指南
关于 Dell SonicWALL X 系列解决方案 4
术语
性能要求一个 TZ 系列防火墙上可以调配最多两台 X 系列交换机。如果调配了两台交换机,则这两台交换机必须直连到防火
墙,不能串接(也就是说,其中一台交换机连接到之后会连接到防火墙的另一台交换机)。
在 TZ300/TZ400/TZ500 型号上,最大 1G 的上行链路带宽为所有前面板端口共享。
在 TZ600 上,最大 1G 的上行链路带宽在:
• 内部交换机 0 中为 X0、X2、X3、X4、X5 和 X7 共享。
• 内部交换机 1 中为 X1、X6、X8 和 X9 共享。
表 1. TZ 系列装置所支持的 X 系列交换机
以下 TZ 系列装置
• TZ600
• TZ500/TZ500W
• TZ400/TZ400W
• TZ300/TZ300W
可支持如下 X 系列交换机
• X1008/X1008P
• X1018/X1018P
• X1026/X1026P
• X1052/X1052P
• X4012
注:SOHO W 装置不支持 X 系列解决方案。
HA 高可用性
IDV 通过 VLAN 消除接口歧义 — 将扩展交换机上已对防火墙接口进行端口屏蔽的端口重新配置为对应于
PortShield VLAN 的 VLAN 访问端口。
PoE 以太网供电 — 通过以太网电缆传输电源及数据的系统,即允许通过一根电缆为设备同时提供数据连接和
电源。PoE 为 802.3af IEEE 标准,每个端口供电 15.4W。
PoE+ 以太网供电+ — PoE 的高级版本,可提供比 PoE 更高的功率。PoE+ 为 802.3at IEEE 标准,每个端口供电
25.5W。
SFP 小型插接式 — 一种紧凑的、热插接式收发器,可用于电信和数据通讯应用,并支持 1Gb 光纤模块。
SFP+ 增强的小型插接式 — SFP 的一种增强版本,可支持 10 Gb 光纤模块。
STP 生成树协议 — 可确保以太网网络的无环路拓扑并允许冗余(备用)链路以在活动链路发生故障时提供备
用路径的一种网络协议。
Dell SonicWALL X 系列解决方案部署指南
关于 Dell SonicWALL X 系列解决方案 5
Dell SonicWALL X 系列解决方案提供的功能Dell SonicWALL X 系列解决方案支持的主要功能包括:
• 将 X 系列交换机设置为扩展交换机 — 最多可将两台 X 系列交换机在 TZ 系列防火墙上设置为扩展交换机。
设置后,X 系列交换机上的端口可作为与防火墙的其他端口一样进行管理。
• PortShield 功能 — X 交换机上的端口视为防火墙的“扩展”接口,并可加入 PortShield 组。如需更多信息,请
参阅第 6 页的 PortShield 功能和 X 系列交换机。
• 配置扩展交换机接口设置 — 交换机接口设置可与常规接口设置一样通过 SonicOS GUI 进行配置。
• 使用 GMS 管理基本扩展交换机全局参数 — 扩展交换机上提供了以下全局参数:
• STP 模式 — 默认情况下,扩展交换机上的 STP 模式设置为快速。
• STP 状态 — 默认情况下,STP 在扩展交换机上为全局已启用。
• PoE 报警使用阈值 — 默认情况下,扩展交换机上的阈值设置为 95%。
• PoE 陷阱 — 默认情况下,陷阱在扩展交换机上为全局已禁用。
• PoE 电源限制模式 — 默认情况下,该模式设置为端口限制(默认)。
• 使用 GMS 管理扩展交换机 — Dell X 系列交换机集成功能允许使用 SonicOS 管理界面和 Dell SonicWALL GMS 版本 8.1 SP1 或更高版本对防火墙和交换机进行统一管理。GMS 可支持所有配置操作,如调配扩展交换机、
配置扩展交换机接口设置,以及可管理扩展交换机全局参数。
如需使用 GMS 管理扩展交换机的信息,请参阅最新的《SonicWALL GMS 管理指南》。
• 有 PortShield 功能的高可用性 (HA) — 在有 PortShield 功能的 HA 配置中,可以为防火墙添加扩展交换机。
• 扩展交换机的诊断支持 — 诊断支持功能包括:
• 检索扩展交换机端口的统计信息
• 清除扩展交换机端口的统计信息
• 升级扩展交换机上的固件镜像、启动镜像
• 重启扩展交换机
• 专用上行链路配置中的 VLAN 支持 — 扩展交换机上可支持 VLAN,但要注意以下事项:
• VLAN 支持不可用于共同上行链路和独立上行链路。例如,不能在设置为 X 系列交换机的共同上行链
路的防火墙接口下配置 VLAN。
• 在配置为专用上行链路的装置接口下不能存在重叠 VLAN。例如,如果 X3 和 X5 配置了专用上行链路,
则 VLAN 100 不能存在于 X3 和 X5 下面。这样的配置将被拒绝。
• TZ 系列防火墙的 PoE/PoE+ 和 SFP/SFP+ 功能 — 某些 Dell X 交换机可为 TZ 系列防火墙提供 PoE/PoE+ 功
能。如需提供 PoE/PoE+ 功能的 Dell X 交换机的信息,请参阅第 7 页的 PoE/PoE+ 和 SFP/SFP+ 支持。
PortShield 功能和 X 系列交换机 PortShield 架构允许将防火墙端口配置到独立的安全区域中,从而实现对跨区域设备间的流量的深度包检测防火墙
的保护。如需 PortShield 功能的更多信息以及管理包含 X 系列交换机的 PortShield 组的方法,请参阅《SonicOS 6.2 管理指南》。
Dell TZ-X 系列解决方案支持对到防火墙接口的扩展交换机接口进行端口屏蔽。X 系列交换机为 L2 交换机,默认情
况下,扩展交换机上的所有端口均配置为默认 VLAN 1 的访问端口部分。当扩展交换机上的端口对防火墙接口进行
了端口屏蔽时,这些端口将重新配置为对应 PortShield VLAN 的 VLAN 访问端口部分,也称为 PortShield 主机接口
的 IDV VLAN。
注:以下 PoE 参数只在有 PoE 功能的扩展交换机上可用。
Dell SonicWALL X 系列解决方案部署指南
关于 Dell SonicWALL X 系列解决方案 6
PoE/PoE+ 和 SFP/SFP+ 支持TZ 系列装置不支持 PoE/PoE+,但对于某些 X 系列交换机可以添加此功能,如表 2 中所示。此附加功能提升了 TZ 系列装置的 SonicPoint 使用情况,尤其是支持 802.11ac 的新 SonicPoint(802.11ac 可支持最多 30W 最大功率;
802.11a/b/g/h 可支持最多 15.4 W 最大功率)。
有些 X 系列交换机还支持 SFP/SFP+,如表 2 中所示。
X 系列交换机上的 PoE/PoE+ 端口的配置是从 X 系列交换机的 UI(而非 TZ 系列装置上的网络 > PortShield 组页面)
进行管理。
X 系列解决方案和 SonicPoint扩展交换机上的端口可以对 TZ 系列装置的 WLAN 区域进行端口屏蔽且 SonicPoint 接入点可以连接到这些端口。将
SonicPoint 接入点连接到 Dell X 系列交换机时,SonicPoint 的电源要求是非常重要的。SonicPoint ACe/ACi/N2 接
入点需要最少 25.5 W。如果您的 Dell X 系列交换机型号不支持 PoE+,则必须使用 SonicPoint 供电器。如需支持 PoE+ 的交换机型号的信息,请参阅第 7 页的 PoE/PoE+ 和 SFP/SFP+ 支持。如需管理 SonicPoint 接入点的更多信息,请
参阅知识库文章《Dell SonicWALL TZ 系列和 Dell SonicWALL X 系列解决方案管理 SonicPoint ACe/ACi/N2 接入
点》(SW13970)。
表 2. X 系列交换机 PoE/PoE+ 和 SFP/SFP+ 支持
此 X 系列交换机 可支持
X1008 1 个 PoE PD 端口;默认情况下,端口 8 为 PD 端口
X1008P 8 个 PoE 端口,总共多达 123W;默认情况下,端口 1 到 8 支持 PoE
X1018 2 个 1GbE SFP 端口;默认情况下,端口 17 和 18 支持 SFP
X1018P 16 个 PoE 端口,总共多达 246W;默认情况下,端口 1 到 16 支持 PoE
2 个 1GbE SFP 端口;默认情况下,端口 17 和 18 支持 SFP
X1026 2 个 1GbE SFP 端口;默认情况下,端口 25 和 26 支持 SFP
X1026P 24 个 PoE/12 个 PoE+ 端口,总共多达 369W;默认情况下:
• 端口 1 到 12 支持 PoE+
• 端口 13 到 24 支持 PoE
2 个 1GbE SFP 端口;默认情况下,端口 25 和 26 支持 SFP
X1052 4 个 10GbE SFP+ 端口;默认情况下,端口 49 到 52 支持 SFP+
X1052P 24 个 PoE/12 个 PoE+ 端口,总共多达 369W;默认情况下:
• 端口 1 到 12 支持 PoE+
• 端口 13 到 24 支持 PoE
• 端口 25 到 48 对 PoE 和 PoE+ 都不支持
4 个 10GbE SFP+ 端口;默认情况下,端口 49 到 52 支持 SFP+
X4012 12 个 10GbE SFP+ 端口;默认情况下,端口 1 到 12 支持 SFP+
重要:在 X1026P 或 X1052P X 系列交换机上,无外部电源的 SonicPoint AC 必须对端口 1 到 12 进行端口屏蔽。
无外部电源的任何非 SonicPoint AC 型号可以对端口 1 到 8 (X1008P)、1 到 16 (X1018P) 或 1 到 24(X1026P 和
X1052P)进行端口屏蔽。
有外部电源(AC 电源或电源适配器)的任何 SonicPoint 可以对任何以太网端口进行端口屏蔽。
Dell SonicWALL X 系列解决方案部署指南
关于 Dell SonicWALL X 系列解决方案 7
推荐阅读关于 X 系列解决方案:
• 《Dell SonicWALL X 系列解决方案概述》(185439)
• 《Dell SonicWALL X 系列解决方案:Dell SonicWALL 与 Dell X 系列交换机集成常见问题解答》(185430)
• 《Dell SonicWALL TZ - X 解决方案:在 SonicWALL TZ 系列防火墙上设置 X 系列交换机的方法》(185057)
• 《Dell SonicWALL X 系列解决方案:在 SonicWALL TZ 高可用性 (HA) 系统上设置 Dell X 系列交换机的方
法》(186085)
• 《Dell SonicWALL X 系列解决方案 — 通过 Dell X 交换机 UI 和在 CLI 中管理 Dell X 系列交换机的管理凭证和
管理 IP 的方法》(185479)
• 《Dell SonicWALL X 系列解决方案:支持 POE+ 的 Dell X 交换机型号》(186709)
• 《Dell SonicWALL X 系列解决方案 — SonicWALL 虚拟接口 (VLAN) 支持》(189771)
• 《Dell SonicWALL TZ 系列和 Dell SonicWALL X 系列解决方案管理 SonicPoint ACe/ACi/N2 接入点》
(SW13970)。
• 《Dell SonicWALL X 系列解决方案 — 备份和还原 Dell X 系列交换机的方法》(189204)
关于 SonicOS 和 PortShield:
• 《SonicOS 6.2 管理指南》
关于使用 GMS 管理 X 系列交换机:
• 《SonicWALL GMS 管理指南》
关于 Dell X 系列交换机:
• 《Dell™ Networking™ X1000 和 X4000 系列交换机入门指南》
• 《Dell™ Networking™ X1000 和 X4000 系列交换机用户指南》
Dell SonicWALL X 系列解决方案部署指南
关于 Dell SonicWALL X 系列解决方案 8
2
在 TZ 系列装置上设置 X 交换机
• 第 9 页的通过 X 系列交换机用户界面进行设置
• 第 15 页的通过 CLI 进行设置
通过 X 系列交换机用户界面进行设置如需设置交换机的更多信息,请参阅:
• 《Dell SonicWALL TZ - X 解决方案:在 SonicWALL TZ 系列防火墙上设置 X 系列交换机的方法》(185057)
• 《Dell SonicWALL X 系列解决方案:在 SonicWALL TZ 高可用性 (HA) 系统上设置 Dell X 系列交换机的方法》 (186085)
• 《Dell SonicWALL X 系列解决方案 — 通过 Dell X 交换机 UI 和在 CLI 中管理 Dell X 系列交换机的管理凭证和
管理 IP 的方法》(185479)
如需通过交换机 UI 添加默认网关的信息,请参阅第 14 页的通过 X 交换机 UI 添加默认网关。
通过 X 系列交换机用户界面在 TZ 系列装置上设置 X 系列交换机的步骤如下:
1 确保 TZ 系列装置运行 SonicOS 6.2.5.1 或更高版本。
如有必要,对该装置的固件进行升级。
2 在 X 系列交换机上,找到包含默认 IP 地址、网络掩码、用户 ID 和密码的白色标签。
请记录这些信息,在防火墙上配置交换机时您需要用到这些信息。
3 确保交换机处于“管理模式”。
如果交换机:
• 处于“管理模式”,请转到步骤 4。
重要:如果拓扑结构中包含两台 X 系列交换机,则这两台 X 系列交换机都必须直连到防火墙且不能串接,也
就是说,其中一台 X 系列交换机不能连接到之后会连接到防火墙的另一台 X 系列交换机。
重要:当扩展交换机已关闭然后防火墙重启时,防火墙发现扩展交换机可能需要 5 分钟,并将交换机的 Status (状态)报告为 Connected(已连接)。
在 PortShield 组中配置扩展交换机时,该配置显示在 Network > PortShield Groups(网络 > PortShield 组)
页面上可能需要 5 分钟。
重要:默认情况下,在管理界面上将禁用 SSH。必须在管理界面上启用 SSH 才能允许远程登录。
注: 如果 X 交换机不是处于“管理模式”,则不能在 TZ 防火墙上通过 SonicOS 来管理它。如果 X 交换
机处于“管理模式”,MGMT LED 会亮起;如果处于“非管理模式”,MGMT LED 熄灭。
提示:X1052/X1052P 交换机出厂交付时,处于“管理模式”。其他所有交换机出厂交付时处于“非管理
模式”,以防止对交换机未经授权的访问。如需更多详细信息,请参阅《Dell™ Networking™ X1000 和
X4000 系列交换机用户指南》。
Dell SonicWALL X 系列解决方案部署指南
在 TZ 系列装置上设置 X 交换机 9
• 不是处于“管理模式”,请将回形针插入“管理模式”孔内并按住“管理模式”按钮 7 秒以启用管理模式。
“管理模式”按钮是一个小按钮,位于:
• X1008/X1008 X 交换机的后面板右侧。
• 其他所有 X 交换机的后面板左侧。
请使用拉直的回形针来按该按钮。
7 秒过后,X 交换机将会重启以变为“管理模式”。
4 连接 X 交换机控制台:
• 如果是通过 X 交换机 GUI 进行配置,请使用 RJ45 电缆连接到与 X 交换机在同一子网中的 PC。
• 如果是通过 CLI 进行配置,请经由 Telnet(9600 波特)连接。
5 打开 X 系列交换机。
6 在您的 PC 浏览器中转到 192.168.2.1。随即显示 X 交换机的登录页面。
Dell SonicWALL X 系列解决方案部署指南
在 TZ 系列装置上设置 X 交换机 10
7 登录到 X 系列交换机用户界面 (UI)。
随即显示 Initial Setup Welcome(初始设置欢迎)页面。
8 如果您未在步骤 2中记录交换机的信息,请现在记录。
9 单击 Next (下一步)。随即显示 Network Settings(网络设置)页面。
10 如需确保在防火墙上启用了 DHCP 服务器时 X 系列交换机的 IP 不会发生动态更改,请确保针对 IP Address Source(IP 地址源)选择了 Static IP(静态 IP)而非 Dynamic IP(动态 IP)(DHCP)(此为默认选项)。
11 验证 Static IP Properties(静态 IP 属性)信息。
12 配置相应字段中的交换机 IP 地址;例如:
注:用户名为 admin,密码也为 admin。
注:选择 Static IP(静态 IP)要求您必须指定一个默认网关。
IP 地址 192.168.2.1/24
子网掩码 255.255.255.0
网关 192.168.2.2
Dell SonicWALL X 系列解决方案部署指南
在 TZ 系列装置上设置 X 交换机 11
13 单击 Next (下一步)。随即显示 Credentials(凭证)页面。
14 更改管理密码,方法是:在 Password(密码)和 Re-enter Password(重新输入密码)字段中输入新密码。
15 单击 Next (下一步)。随即显示 Switch Information(交换机信息)页面。
16 如《Dell™ Networking™ X1000 和 X4000 系列交换机用户指南》中所述填写 Switch Information(交换机信
息)和 SNMP Settings(SNMP 设置)页面。
17 单击 Next (下一步)。随即显示 Simple Network Management Protocol (SNMP) Settings(简单网络管理协
议 (SNMP) 设置)页面。
18 如《Dell™ Networking™ X1000 和 X4000 系列交换机用户指南》中所述填写 SNMP Settings(SNMP 设置)
页面。
Dell SonicWALL X 系列解决方案部署指南
在 TZ 系列装置上设置 X 交换机 12
19 单击 Next (下一步)。此时显示 Summary(摘要)页面。
20 单击完成。配置随即写入 X 交换机的 Startup configuration(启动配置)中。
21 将接口配置为 VLAN 1。
22 在从防火墙中设置/管理交换机之前,先从防火墙中 ping X 系列交换机,以确保防火墙可以访问 X 系列交
换机。
Dell SonicWALL X 系列解决方案部署指南
在 TZ 系列装置上设置 X 交换机 13
通过 X 交换机 UI 添加默认网关
通过交换机 UI 为其添加默认网关的步骤如下:
1 在其 UI 中,选择 Switch Management > IPv4 Addressing(交换机管理 > IPv4 寻址)(或 IPv6 Addressing (IPv6 寻址))。
随即显示 Edit IPv4 Addressings(编辑 IPv4 寻址)页面。
2 单击 Add(添加)。随即显示 Add IPv4 Addressings(添加 IPv4 寻址)页面。
Dell SonicWALL X 系列解决方案部署指南
在 TZ 系列装置上设置 X 交换机 14
3 在 Default Gateway(默认网关)字段中输入默认网关的 IP 地址。
4 单击 OK (确定)。
通过 CLI 进行设置
主题:
• 第 15 页的在无默认网关的情况下进行设置
• 第 16 页的在有默认网关的情况下进行设置
在无默认网关的情况下进行设置
在无默认网关的 TZ 系列防火墙上设置 X 系列交换机的步骤如下:
1 通过执行第 9 页的通过 X 系列交换机用户界面进行设置中的步骤 1 至步骤 7 来设置 X 系列交换机。
2 输入以下 CLI 命令:
console#configure terminal console(config)#username admin <password>console(config)#interface vlan 1console(config-if)#ip address 192.168.2.1 255.255.255.0 console(config-if)#endconsole#write memory
3 在从防火墙中设置/管理交换机之前,先从防火墙中 ping X 系列交换机,以确保防火墙可以访问 X 系列交
换机。
注:这是推荐方法。
Dell SonicWALL X 系列解决方案部署指南
在 TZ 系列装置上设置 X 交换机 15
在有默认网关的情况下进行设置
在有默认网关的 TZ 系列防火墙上设置 X 系列交换机的步骤如下:
1 通过执行第 9 页的通过 X 系列交换机用户界面进行设置中的步骤 1 至步骤 7 来设置 X 系列交换机。
2 输入以下 CLI 命令:
console#configure terminalconsole(config)#username admin <password>console(config)#interface vlan 1console(config-if)#ip address 192.168.2.1 255.255.255.0console(config-if)#exitconsole(config)#ip default-gateway 192.168.2.2console(config)#endconsole#write memory
3 在从防火墙中设置/管理交换机之前,先从防火墙中 ping X 系列交换机,以确保防火墙可以访问 X 系列交换机。
Dell SonicWALL X 系列解决方案部署指南
在 TZ 系列装置上设置 X 交换机 16
3
将 X 系列交换机添加到 SonicOS
• 第 17 页的添加扩展交换机
• 第 19 页的删除扩展交换机
添加扩展交换机
添加扩展交换机的步骤如下:
1 如第 9 页的在 TZ 系列装置上设置 X 交换机中所述设置交换机。
2 Ping 交换机以确保防火墙可以与交换机交互。
3 转至网络 > PortShield 组页面。
4 单击外部交换机配置选项卡。
5 单击添加交换机按钮。随即显示添加外部交换机对话框。
6 从 ID 下拉菜单中选择交换机的 ID:1(默认值)或 2。
7 从交换机型号下拉菜单中选择外部交换机的型号。默认值为 X1008。
8 在 IP 地址字段中输入从交换机的标签上获取的交换机 IP 地址。
9 在用户名字段中输入从交换机的标签上获取的用户 ID。
10 在密码字段中输入从交换机的标签上获取的密码或在安装交换机时您给定的密码。
注:如需从防火墙中管理 X 系列交换机,防火墙的其中一个接口必须与 X 系列交换机在同一子网中。例如,
如需管理默认 IP 为 q 的 X 系列交换机,防火墙的某个接口必须配置在 192.168.2.0/24 子网中,并连接到
X 系列交换机。
Dell SonicWALL X 系列解决方案部署指南
将 X 系列交换机添加到 SonicOS 17
11 在确认密码字段中再次输入该密码。
12 从交换机管理下拉菜单中选择扩展交换机上要用于管理流量的端口。默认值为 1。
13 从防火墙上行链路下拉菜单中选择防火墙上的端口用作上行链路端口。默认设置为无。
14 从交换机上行链路下拉菜单中选择扩展交换机上的端口用作上行链路端口。默认设置为无。
15 另外,也可以选择单击高级选项卡。该选项卡上的选项具体取决于您所添加的扩展交换机:
16 从STP 模式下拉菜单中选择:
• 典型
• Rapid(快速)(默认)
• Multiple(多个)
17 从STP 状态下拉菜单中选择:
• Disabled(已禁用)
• Enabled(已启用)(默认)
18 如果您所添加的是 X1008、X1018、X1026、X1052 或 X4012 交换机,请转到步骤 22。
19 在 PoE 报警使用阈值字段中输入生成陷阱前所消耗的电量的百分比。范围为 1 至 99,默认值为百分之 95。
20 从 PoE 陷阱下拉菜单中选择是否启用 PoE 陷阱:
• 已禁用(默认)
• Enabled(已启用)
如果当电量使用值超过在 PoE 报警使用阈值中定义的阈值时此选项已启用,则在状态更改或端口提供/不提
供电力等情况下将生成陷阱。
21 从 PoE 电源限制模式下拉菜单中选择确定到端口的电量的方法:
• 端口限制(默认)— 端口的电源限制取决于端口配置。
• 类别限制 — 每个端口可达到最大电量。
22 单击添加。
提示:如需配置交换机管理、防火墙上行链路和交换机上行链路选项的操作方法,请参阅第 20 页的在
各种拓扑结构中配置 X 系列解决方案中有关拓扑的小节。
X1008、X1018、X1026、X1052、X4012 X1008P、X1018P、X1026P、X1052P
Dell SonicWALL X 系列解决方案部署指南
将 X 系列交换机添加到 SonicOS 18
删除扩展交换机删除扩展交换机的步骤如下:
1 单击删除图标。
Dell SonicWALL X 系列解决方案部署指南
将 X 系列交换机添加到 SonicOS 19
4
在各种拓扑结构中配置 X 系列解决方案
• 第 20 页的关于拓扑
• 第 21 页的关于链路
• 第 21 页的将 X 系列交换机管理端口连接到 TZ 防火墙
• 第 21 页的配置不同的拓扑结构
• 第 22 页的配置共同上行链路
• 第 25 页的配置专用上行链路
• 第 31 页的配置包含共同上行链路和专用上行链路的混合系统
• 第 32 页的配置用于管理和数据上行链路的独立链路
• 第 35 页的配置包含专用上行链路的 HA 和 PortShield
• 第 38 页的配置包含专用上行链路的 VLAN
• 第 43 页的为 SonicPoint 接入配置专用链路
关于拓扑TZ/X 系列解决方案主要支持的拓扑结构包括:
• 共同上行链路配置
• 专用上行链路配置
• 包含共同上行链路和专用上行链路的混合配置
• 用于管理和数据流量的独立链路配置
• 包含专用上行链路的 HA 和 PortShield 配置
• 包含专用上行链路配置的 VLAN
• 包含专用上行链路配置的 SonicPoint
主题:
• 第 21 页的关于链路
重要:在设置 TZ 装置和 X 系列交换机间的接口之前,请先如第 9 页的在 TZ 系列装置上设置 X 交换机中所
述设置交换机。
重要:当扩展交换机已关闭然后防火墙重启时,防火墙发现扩展交换机可能需要 5 分钟,并将交换机的状态报
告为已连接。
在 PortShield 组中配置扩展交换机时,该配置显示在网络 > PortShield 组页面上可能需要 5 分钟。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 20
关于链路一个共同链路携带数据和管理流量。多个共同链路携带所有 PortShield 流量和所有 PortShield 组。
一个专用链路只能携带一个 PortShield 组,且该组必须对 TZ 装置上的专用端口进行端口屏蔽。
一个独立链路可以携带管理流量或数据流量,但不能同时携带这两种流量。独立链路通常有防火墙和 X 交换机之间
单独的连接用于管理流量和数据流量。
关于上行链路接口上行链路接口可以视为设置用于携带标记/未标记的流量的“中继”端口。当扩展交换机添加了防火墙上行链路和 X 交换机上行链路选项时,防火墙上配置为防火墙上行链路的端口和扩展交换机上配置为交换机上行链路的端口将自动设置为针对所有 IDV VLAN 接收/发送标记的流量。标记的流量的 IDV VLAN 允许固件获取流量的 PortShield 主机
接口。
配置上行链路接口的条件• 接口应为物理接口;不允许使用虚拟接口。
• 接口应为交换机接口。(在有些平台上,一些防火墙接口未连接到交换机。不允许使用这样的接口。)
• 接口不能为 PortShield 主机(其他一些防火墙接口不能对其进行端口屏蔽)或 PortShield 组成员(不能对另
一防火墙接口进行端口屏蔽)。
• 接口不能为桥接主要或桥接辅助接口。
• 接口不能有任何子接口(它不能为其他子接口的父接口)。
将 X 系列交换机管理端口连接到 TZ 防火墙连接到 X 交换机管理端口的接口的 IP 地址必须与交换机来自同一子网。例如,如果交换机和 TZ 间的管理连接是通
过 X2,则 X2 的 IP 地址必须来自同一子网,如 192.168.2.1/24。
配置不同的拓扑结构
主题:
• 第 22 页的配置共同上行链路
• 第 25 页的配置专用上行链路
• 第 31 页的配置包含共同上行链路和专用上行链路的混合系统
• 第 32 页的配置用于管理和数据上行链路的独立链路
• 第 35 页的配置包含专用上行链路的 HA 和 PortShield
• 第 38 页的配置包含专用上行链路的 VLAN
• 第 43 页的为 SonicPoint 接入配置专用链路
注:如需创建 PortShield 组的完整描述,请参阅《SonicOS 6.2 管理指南》和第 17 页的将 X 系列交换机添加
到 SonicOS。以下几节仅说明各种拓扑结构所需的步骤。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 21
配置共同上行链路 此配置允许将防火墙和 X 系列交换机之间的单个链路指定为携带所有 PortShield 流量的上行链路。防火墙和交换
机端口都配置为用于携带对应于所有防火墙接口的 VLAN 的已标记流量的中继端口。流量的 VLAN 标签用于将流量
关联到其所属的 PortShield 组。
图 1 显示 TZ500 防火墙与 X1026P 交换机的典型集成拓扑:
• 防火墙上行链路接口为 X3。
• X 系列交换机上行链路接口为 2。
防火墙上的 X3 和扩展交换机上的端口 2 之间的该上行链路为设置用于携带 H1 和 H3 以及 H2 和 H4 之间的
PortShield 流量的共同链路。通过防火墙来管理 X 系列交换机也是在该上行链路上进行的。在这样的配置中,X3 与 X 系列交换机的 IP 配置在同一子网中。此外,X3 配置为防火墙上行链路,(调配了交换机时)端口 2 配置为交
换机管理以及交换机上行链路。
图 1. 共同上行链路拓扑
将交换机添加到防火墙的步骤如下:
1 如第 9 页的在 TZ 系列装置上设置 X 交换机中所述设置交换机。
2 在 TZ 端口 X3 和 X 交换机端口 2 之间连接一根 RJ45 电缆。
注:如有必要,您可以选择让不同的链路携带 PortShield 流量和管理流量。如需更多信息,请参阅第 32 页
的配置用于管理和数据上行链路的独立链路。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 22
3 转至网络 > 接口页面。
4 确保 X3 的 IP 地址在范围 192.168.2.x/24 内。
5 转至网络 > PortShield 组页面。
6 单击外部交换机配置选项卡。
7 单击添加交换机按钮。随即显示添加外部交换机对话框。
8 如第 17 页的将 X 系列交换机添加到 SonicOS 中所述,通过确认密码选项配置 ID。
9 从交换机管理下拉菜单中选择防火墙要通过其管理交换机的交换机端口。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 23
10 从相应的下拉菜单中选择防火墙上行链路和交换机上行链路选项。
11 如需配置高级选项卡的信息,请参阅第 17 页的将 X 系列交换机添加到 SonicOS。
12 单击添加。随即外部交换机配置选项卡显示 X3 和 X 交换机端口 2 之间的链路。
• 状态 — 绿色的已启用图标
• 交换机管理 — 端口 2
• 防火墙上行链路 — X3
• 交换机上行链路 — 端口 2
13 单击端口图形选项卡。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 24
X3 端口和 X 交换机 1 端口 2 的颜色相同且都有小箭头,这表明它们为上行链路,也就是说通过电缆连接。
14 如需对 TZ 和 X 交换机上的端口进行端口屏蔽,请参阅《SonicOS 6.2 管理指南》中的 PortShield 章节。
配置专用上行链路此配置允许将防火墙和 X 系列交换机之间的给定链路指定为设置用于携带连接的防火墙接口对应的 PortShield 流
量的专用上行链路。防火墙和交换机端口对于防火墙接口的 PortShield VLAN 对应的 VLAN 配置为访问模式。
此配置可用于特定防火墙接口需要 1G 专用链路的部署中。有必要进行这种配置的情况包括:
• 使用 VLAN;例如,X 交换机后面有另一台交换机。
• 将会有大量的流量,需要将独立的上行链路用于此流量。
这样的配置存在很快会用完防火墙上的接口的相关风险。
图 2 显示 TZ500 防火墙与 X1026P 交换机的专用上行链路设置。在此情形中有两个专用上行链路:
• 防火墙上的 X3 与扩展交换机上的端口 1 之间的上行链路用于管理交换机。在此配置中,X3 与 X 系列交换机
的 IP 配置在同一子网中。
• 此外,有两个专用上行链路:
• 防火墙上的 X0 与扩展交换机上的端口 11 之间的上行链路是用于携带 X0 的所有 PortShield 流量的
专用链路。
• 防火墙上的 X5 与扩展交换机上的端口 7 之间的上行链路是用于携带 X5 的所有 PortShield 流量的专
用链路。
注:在此示例中,没有用于携带防火墙其余接口(不包括已设置了专用链路的 X0 和 X5)的 PortShield 流量
的共同上行链路。
重要:为使专用上行链路起作用,在配置之前必须先连接物理链路。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 25
图 2. 专用上行链路拓扑
您可以在配置专用上行链路时设置/不设置用于携带不同防火墙接口的所有 PortShield 流量的共同上行链路。在这
两种情况下,共同上行链路是用于管理扩展交换机。
主题:
• 第 26 页的配置专用上行链路(没有共同上行链路)
• 第 27 页的配置专用上行链路(有共同上行链路)
配置专用上行链路(没有共同上行链路)
配置专用上行链路拓扑(没有共同上行链路)的步骤如下:
1 如第 9 页的在 TZ 系列装置上设置 X 交换机中所述设置交换机。
2 转至网络 > PortShield 组页面。
3 单击外部交换机配置选项卡。
4 单击未分配的交换机的编辑图标。随即显示编辑外部交换机对话框。
5 如第 17 页的添加扩展交换机中所述,通过确认密码选项配置 ID。
6 从交换机管理下拉菜单中选择防火墙要通过其管理交换机的交换机端口。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 26
7 如需设置扩展交换机的专用上行链路(没有共同上行链路),请确保防火墙上行链路和交换机上行链路选项设置为无。
8 如需配置高级选项卡的信息,请参阅第 17 页的添加扩展交换机。
9 单击添加。该对话框随即关闭。
10 单击任一:
• 端口图形选项卡。
• 端口配置选项卡。
11 在:
• 端口图形选项卡上:
a 选择所需的 PortShield 接口。
b 单击配置按钮。
• 端口配置选项卡上,单击所需的 PortShield 接口的编辑图标。
随即显示编辑交换机端口对话框。
12 选择专用上行链路选项。
13 单击确定。
配置专用上行链路(有共同上行链路)
配置专用上行链路拓扑(有共同上行链路)的步骤如下:
1 如第 9 页的在 TZ 系列装置上设置 X 交换机中所述设置交换机。
2 如第 17 页的添加扩展交换机中所述设置共同上行链路。
注:对于此示例,一根电缆连接到 TZ 端口 X3 和交换机端口 2,在端口图标中有一个人的图标。此连
接为共同链路,因为它可携带管理流量和数据流量。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 27
外部交换机配置选项卡随即更新。
外部交换机配置和端口图形选项卡随即更新。
在端口图形选项卡上,TZ 端口 X3 和交换机端口 2 的图标颜色相同且包含一个向上箭头。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 28
3 单击任一:
• 端口图形选项卡。
• 端口配置选项卡。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 29
4 在:
• 端口图形选项卡上:
a 选择所需的 PortShield 接口。
b 单击配置按钮。
• 端口配置选项卡上,单击所需的 PortShield 接口的编辑图标。
随即显示编辑交换机端口对话框。
5 选择专用上行链路选项。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 30
6 单击确定。
端口图形选项卡上的图形显示 TZ X5 和交换机端口 5 图标的颜色相同(在此示例中为绿色)且包含一个向上
箭头,这表明是一个专用链路。
配置包含共同上行链路和专用上行链路的混合系统此配置允许在防火墙和 X 系列交换机之间设置共同上行链路和专用上行链路的组合。专用上行链路用于携带连接的防
火墙接口对应的 PortShield 流量。共同上行链路用于携带其余防火墙接口(无专用上行链路)的 PortShield 流量。
图 3 显示 TZ400 防火墙与 X1026P 交换机的混合上行链路集成拓扑:
• 防火墙上的 X0 与扩展交换机上的端口 11 之间的专用上行链路设置用于携带 X0 的 PortShield 流量。
• 防火墙上的 X3 与扩展交换机上的端口 2 之间的共同链路携带除 X0 以外的防火墙接口的 PortShield 流量。
• 专用上行链路的端口 X0 和 11 是 X0 对应的 VLAN 的访问端口。共同上行链路的端口 X3 和 2 是中继端口,所有
防火墙接口(X0 除外)对应的 VLAN 将作为成员添加到此中继中,以便于携带 PortShield VLAN 标记的流量。
在此配置中,X3 和 2 之间的链路也用于携带防火墙和交换机之间的管理流量。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 31
图 3. 混合上行链路拓扑
设置混合配置可通过两个步骤完成:
1 配置共同上行链路。
2 配置专用上行链路。
设置包含共同上行链路和专用上行链路的混合配置的步骤如下:
1 如第 17 页的将 X 系列交换机添加到 SonicOS 中所述设置交换机。
2 如第 27 页的配置专用上行链路(有共同上行链路)中所述配置上行链路。
配置用于管理和数据上行链路的独立链路此配置允许防火墙和 X 系列交换机之间的独立链路携带管理流量和数据流量。使用共同链路,管理流量和数据流量
将在相同上行链路中移动;如果数据流量发生堵塞,管理流量也会堵塞,从而导致管理流量转发延迟。如果数据流量将发生堵塞,请考虑配置独立链路用于管理流量和数据流量。虽然此配置与共同链路配置相类似,但是独立管理/数据配置是将独立的上行链路用于管理流量和数据流量。此配置可确保即使有大量数据流量,到交换机的管理流
量的转发也不会发生延迟。
图 4 显示 TZ400 防火墙与 X1026P 交换机的独立链路设置:
• 防火墙上的 X2 与扩展交换机上的端口 1 之间的链路携带管理流量到交换机。在这样的配置中,X2 与 X 系列
交换机的 IP 配置在同一子网中。
• 防火墙上的 X3 和扩展交换机上的端口 2 之间的链路为设置用于携带 H1 和 H2 之间的 PortShield 流量的上
行链路。
• X3 配置为防火墙上行链路。
• 端口 1 配置为交换机 MGMT 端口。
• 端口 2 配置为交换机数据上行链路。
重要:MGMT 端口不能进行端口屏蔽。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 32
图 4. 独立链路拓扑
设置独立链路用于管理和数据流量的步骤如下:
1 如第 9 页的在 TZ 系列装置上设置 X 交换机中所述设置交换机。
2 如第 17 页的添加扩展交换机中所述设置数据上行链路。
3 转至网络 > PortShield 组页面。
4 单击外部交换机配置选项卡。
5 单击添加交换机。随即显示添加外部交换机对话框。
6 如第 17 页的添加扩展交换机中所述,通过确认密码选项配置 ID。
7 如需指定防火墙要通过其管理交换机的交换机端口,请从交换机管理下拉菜单中选择端口。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 33
8 从相应的下拉菜单中选择防火墙上行链路和交换机上行链路选项:
9 单击添加。
扩展交换机配置随即显示在网络 > PortShield 组 > 外部交换机配置选项卡上。
端口图形选项卡显示:
• 扩展交换机端口 1 为管理(中间包含人的图标的灰色端口)。
• 数据上行链路介于 X3 和扩展端口 2 之间。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 34
配置包含专用上行链路的 HA 和 PortShield
有两种方法可配置 HA 设备的专用上行链路:
• 第 35 页的配置 HA 使用一个扩展交换机管理端口
• 第 36 页的配置 HA 使用两个扩展交换机管理端口
配置 HA 使用一个扩展交换机管理端口
在此配置中 PortShield 功能处于 HA 模式,用作 PortShield 主机的防火墙接口应连接到活动和备用设备二者上的 X 系列交换机。PortShield 成员也应该连接到 X 系列交换机上的端口。防火墙接口(用作 PortShield 主机)和 X 系列
交换机之间的链路设置为专用上行链路。
图 5 显示 TZ300 HA 对和 X1026 交换机以及一个专用链路:
• 主要设备上的防火墙接口 X3 和 X4 连接到 X 系列交换机上的端口 12 和 13。
• X3 和 X4 配置为 PortShield 主机。
• 类似地,辅助设备上的防火墙接口 X3 和 X4 连接到 X 系列交换机上的端口 14 和 15。
• X 系列交换机上的端口 12 和 14 对于已启用专用上行链路选项的 X3 为端口屏蔽。
• X 系列交换机上的端口 13 和 15 对于已启用专用上行链路选项的 X4 为端口屏蔽。
• 端口 2 和 4 对于 X3 为端口屏蔽。
• 端口 3 和 5 对于 X4 为端口屏蔽。
当辅助设备处于活动 HA 模式时,H1 和 X3 之间的流量通过 X3 和 14 之间的专用链路传输,H3 和 X4 之间的流量通
过 X4 和 13 之间的专用链路传输。
重要:如需将 TZ/X 交换机解决方案用于 HA,您必须首先创建一个 HA 系统,然后添加 Dell X 交换机。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 35
防火墙接口 X0 和 X 系列交换机上的端口 1 之间的链路携带管理流量以从防火墙中管理交换机。在这样的配置中,
X0 配置为与交换机在同一子网中。同时,主要以及辅助上的 X0 已确保连接到交换机的端口 1(例如,经由集线
器),因此当辅助防火墙变为活动设备时,可以经由辅助上的防火墙接口 X0 和交换机的端口 1 之间的链路来管理
交换机。在这样的配置中,设置交换机时,主要交换机管理和辅助交换机管理设置为 1。
图 5. 使用一个扩展交换机管理端口拓扑的 HA 对
设置包含一个专用上行链路的 HA 的步骤如下:
1 如第 9 页的在 TZ 系列装置上设置 X 交换机中所述设置交换机。
2 如第 17 页的添加扩展交换机中所述设置数据上行链路。
3 如第 22 页的配置共同上行链路中所述配置选项,除了:
a 从相应的下拉菜单中选择主要交换机管理和辅助交换机管理接口。
4 单击添加。
配置 HA 使用两个扩展交换机管理端口
您可以选择将主要和辅助的 X0 直连到 X 系列交换机上的端口。在这种情况下,X 系列上有两个交换机端口用于管
理流量。
图 6 显示 TZ300 HA 对和 X1026 交换机以及两个专用链路:
• 主要设备的 X0 连接到端口 1。
• 辅助设备的 X0 连接到端口 7。
注:对于 HA 模式下的防火墙运行,防火墙上行链路与交换机上行链路选项不相关。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 36
设置交换机时,主要交换机管理设置为 1,辅助交换机管理设置为 7。当主要防火墙处于活动状态时,主要的 X0 和交换机的端口 1 之间的链路携带管理流量。当辅助防火墙处于活动状态时,防火墙使用辅助的 X0 和交换机的端
口 7 之间的链路来管理交换机。
图 6. 使用两个扩展交换机管理端口拓扑的 HA 对
设置包含一个专用上行链路的 HA 的步骤如下:
1 如第 9 页的在 TZ 系列装置上设置 X 交换机中所述设置交换机。
2 如第 17 页的添加扩展交换机中所述设置数据上行链路。
3 如第 22 页的配置共同上行链路中所述配置选项,除了:
a 从相应的下拉菜单中选择主要交换机管理和辅助交换机管理接口。
4 单击添加。
注:对于 HA 模式下的防火墙运行,防火墙上行链路与交换机上行链路选项不相关。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 37
配置包含专用上行链路的 VLAN如需 X 系列解决方案对 VLAN 的支持的更多信息,请参阅《Dell SonicWALL X 系列解决方案 — SonicWALL 虚拟接口
(VLAN) 支持》(189771)。
主题:
• 第 38 页的 VLAN 支持的前提条件
• 第 38 页的为 VLAN 配置专用上行链路
• 第 42 页的为 VLAN 配置专用上行链路及共同上行链路
VLAN 支持的前提条件
• VLAN 只可用于专用上行链路,但不可用于共同上行链路。例如,不能在设置为 X 系列交换机的共同上行链
路的防火墙接口下配置 VLAN。
• 在配置为专用上行链路的装置接口下不能存在重叠 VLAN。例如,如果 X3 和 X5 配置了专用上行链路,则
VLAN 100 不能存在于 X3 和 X5 下面。这样的配置将被拒绝。
为 VLAN 配置专用上行链路
主题:
• 第 38 页的 VLAN 拓扑的专用上行链路
• 第 39 页的为 VLAN 配置专用上行链路
VLAN 拓扑的专用上行链路
在专用上行链路配置中,防火墙和 X 系列交换机之间指定为专用上行链路的给定链路设置为携带所有 VLAN 的流
量,所有 VLAN 均在防火墙接口以及防火墙接口对应的 PortShield 流量下配置。
图 7 显示 TZ500 与 X1026P 交换机:
图 7. 包含专用上行链路拓扑的 VLAN
• 防火墙使用 X3 和扩展交换机上的端口 1 之间的链路来管理交换机。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 38
• 接口 X3 与交换机的 IP 配置在同一子网中。
• 在 X5 下面配置有三个 VLAN 接口,VLAN 标记为 100、150 和 200。
• 防火墙上的 X5 和扩展交换机上的端口 3 之间的链路是一个专用链路,设置用于携带标记为 VLAN 100、150 和 200 的流量以及 X5 的未标记流量。
支持这样的拓扑结构需要进行以下配置:
• 端口 3 对于有专用上行链路选项的 X5 为端口屏蔽。
• 端口 10 对于 X5 为端口屏蔽,配置为中继以携带 VLAN 100。
• 端口 11 对于 X5 为端口屏蔽,配置为中继以携带 VLAN 150。
• 端口 12 对于 X5 为端口屏蔽,配置为访问端口以携带 VLAN 200。
为 VLAN 配置专用上行链路
完成多步骤配置过程可以实现对 VLAN 的支持:
1 设置交换机。交换机可以通过以下方式设置:
• 如果需要单独支持 VLAN,请将防火墙上行链路和交换机上行链路设置为无。
• 如果需要支持使共同中继接口能够携带其他防火墙接口的 PortShield 流量及 VLAN 支持,请使用共同
上行链路选项。
2 通过以下方式配置专用链路:
a 选择物理连接到防火墙接口的扩展交换机端口。
b 对到防火墙接口的端口进行端口屏蔽。
c 选择专用链路选项。
3 选择需要启用 VLAN 的扩展交换机端口
4 对到防火墙接口的交换机端口进行端口屏蔽。
5 在 VLAN 选项卡下面配置所需的 VLAN。
为 VLAN 配置专用上行链路(无共同上行链路)的步骤如下:
1 如第 9 页的在 TZ 系列装置上设置 X 交换机中所述设置交换机。
2 如第 17 页的添加扩展交换机中所述设置数据上行链路。
3 如第 25 页的配置专用上行链路中所述配置选项,除了确保要选择专用上行链路选项。
注:在此示例中,不需要共同上行链路,因此扩展交换机调配为防火墙上行链路和交换机上行链路选项设置为无,交换机管理设置为 1。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 39
为给定防火墙接口设置专用上行链路后,如果 VLAN 存在于防火墙接口下,则在选择 PortShield 接口时,编
辑交换机端口对话框中将显示一个新选项卡 VLANs:
4 使用 VLANs 选项卡将外部交换机端口配置为中继或访问模式。在此示例中,端口 10 对于 X5 为端口屏蔽,配
置为中继以携带 VLAN 100,方法是:在 VLAN 中继选项中选择已启用,并从 VLAN 的可用列表中选择 VLAN 100。
5 类似地,端口 11 对于 X5 为端口屏蔽,配置为中继以携带 VLAN 150,方法是;
a 在 VLAN 中继选项中选择已启用。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 40
b 从 VLAN 的可用列表中选择 VLAN 150。
6 端口 12 对于 X5 为端口屏蔽,将其配置为 VLAN 200 的访问端口,方法是:
a 在 VLAN 中继选项中选择已禁用。
b 从 VLAN 的可用列表中选择 VLAN 200。
采用这种配置时,扩展交换机上的端口 3 携带 VLAN 100、150 和 200 的标记的流量以及 IDV VLAN 6 的未标记流
量。端口 10 是中继端口,携带 VLAN 100 的标记的流量,端口 11 是中继端口,携带 VLAN 150 的标记的流量,端
口 12 是访问端口,携带 VLAN 200 的未标记流量。由于 X5 和端口 2 之间的专用链路,端口 10、11 和 12 对于 X5 为端口屏蔽。
注:对于访问端口,只能从 VLAN 的可用列表中选择单个 VLAN,而当配置为中继端口时,可
以为给定端口选择多个 VLAN。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 41
为 VLAN 配置专用上行链路及共同上行链路
主题:
• 第 42 页的 VLAN 配置的专用上行链路及共同上行链路
• 第 42 页的为 VLAN 配置专用上行链路及共同上行链路
VLAN 配置的专用上行链路及共同上行链路
您可以选择配置共同上行链路来携带防火墙接口的 PortShield 流量,并在专用上行链路配置中启用 VLAN 支持。
图 8 显示 TZ500 与 X1026P 交换机:
• X3 和扩展交换机上的端口 2 之间的链路配置为共同上行链路,用于携带不同的防火墙接口的 PortShield 流
量(不包括已设置了专用上行链路的防火墙接口)。
• 防火墙还使用 X3 和端口 2 之间的链路来管理交换机。
• 接口 X3 与交换机的 IP 配置在同一子网中。在此示例中,交换机首先调配为防火墙上行链路设置为 X3,交换机
上行链路设置为 2,交换机管理设置为 2。
• 在 X5 下面配置有三个 VLAN 接口,VLAN 标记为 100、150 和 200。
• 防火墙上的 X5 和扩展交换机上的端口 3 之间的链路是一个专用链路,携带标记为 VLAN 100、150 和 200 的流量以及 X5 的未标记流量。
支持这样的拓扑结构需要进行以下配置:
• 端口 3 对于有专用上行链路选项的 X5 为端口屏蔽。
• 端口 10 对于 X5 为端口屏蔽,配置为中继以携带 VLAN 100。
• 端口 11 对于 X5 为端口屏蔽,配置为中继以携带 VLAN 150。
• 端口 12 对于 X5 为端口屏蔽,配置为访问端口以携带 VLAN 200
图 8. 包含专用上行链路及共同上行链路拓扑的 VLAN
为 VLAN 配置专用上行链路及共同上行链路
为 VLAN 配置专用上行链路及共同上行链路的步骤如下:
1 如第 9 页的在 TZ 系列装置上设置 X 交换机中所述设置交换机。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 42
2 如第 17 页的添加扩展交换机中所述设置数据上行链路。
3 如第 38 页的为 VLAN 配置专用上行链路中所述配置上行链路。
为 SonicPoint 接入配置专用链路 推荐通过专用链路连接 SonicPoint 接入点,因为 SonicPoint 接入点携带多个 VLAN,而专用链路会通过 VLAN 隧
道。专用链路作为中继将标记的流量从接入点通过 X 系列交换机传送到 TZ 防火墙。
对于非 SonicPoint 接入点以及无特定管理的 SonicPoint,TZ 防火墙中的端口可配置为任意(LAN/WAN/DMZ,尽管
通常为 LAN)。在这种情况下,TZ 防火墙和 X 系列交换机之间的端口配对必须配置为专用链路。X 系列交换机上
的其他需要使用 RJ45 连接到接入点的端口对于该专用端口为端口屏蔽。
如果 SonicPoint 接入点位于 TZ 防火墙后面且需要管理,防火墙和 X 系列交换机上的配对端口必须配置为专用链路。
防火墙上的专用端口必须配置为 WLAN。X 系列交换机上的其他需要使用 RJ45 连接到 SonicPoint 接入点的端口对
于该专用端口为端口屏蔽。
当 SonicPoint 配置了 X 系列交换机时,SonicPoint 必须在配置为专用链路的端口组中为端口屏蔽。请参见图 9。
图 9. SonicPoint 和专用上行链路
如需将 SonicPoint 与 X 系列交换机配合使用的更多信息,请参阅《Dell SonicWALL TZ 系列和 Dell SonicWALL X 系
列解决方案管理 SonicPoint ACe/ACi/N2 接入点》(SW13970)。
为 SonicPoint 配置专用上行链路的步骤如下:
1 如第 9 页的在 TZ 系列装置上设置 X 交换机中所述设置交换机。
2 如第 17 页的添加扩展交换机中所述设置数据上行链路。
3 如第 38 页的为 VLAN 配置专用上行链路中所述配置上行链路。
4 确保所有 SonicPoint 连接到专用链路的 PortShield 组中配置的 X 交换机端口。
重要:有外部电源(AC 电源或电源适配器)的任何 SonicPoint 可以对任何以太网端口进行端口屏蔽。
Dell SonicWALL X 系列解决方案部署指南
在各种拓扑结构中配置 X 系列解决方案 43
关于 Dell
Dell 倾听客户需求并提供为客户所信任和重视的世界级的创新技术,业务解决方案和服务。如需获取更多信息,请
访问 software.dell.com/cn-zh。
联系 Dell如需了解销售信息或进行其他查询,请访问 http://software.dell.com/cn-zh/company/contact-us.aspx 或
致电 1-949-754-8000。
技术支持资源购买了拥有有效维护合同的 Dell 软件客户和试用版本的客户都可以获得技术支持。如需访问支持门户,请转到
https://support.software.dell.com/zh-cn/。
支持门户提供了各种自助工具,使您可以快速并独立地解决问题,一年 365 天,一天 24 小时不间断。此外,支持
门户还提供通过在线服务请求系统直接联系产品支持工程师。
您可以在此站点:
• 创建、更新和管理服务请求(案例)
• 查看知识库文章
• 获取产品通知
• 下载软件。如需试用版软件,请转至 http://software.dell.com/cn-zh/trials/。
• 观看示范视频
• 加入社区讨论
• 与支持工程师交谈
Dell SonicWALL X 系列解决方案部署指南
关于 Dell 44
Dell SonicWALL X 系列解决方案部署指南
索引45
符号“ 管理模式 ” 按钮 , 10
字母PoE (以太网供电) , 5
PoE+ (以太网供电 +) , 5
A按钮
管理模式 , 10
D独立链路 , 21
G共同链路 , 21
J交换机 , 扩展
查看扩展交换机 , 4
接口
上行链路 , 21
K扩展交换机
TZ 系列装置 , 4
概述 , 4
全局参数 , 6
支持的拓扑结构 , 20
L链路
独立 , 21
共同 , 21
专用 , 21
S上行链路
X 交换机 , 21
防火墙 , 21
共同配置 , 22
接口 , 21
扩展交换机 , 21
上行链路接口
配置条件 , 21
Z专用链路 , 21
索引