SACG直路透明部署时的几点注意

发布时间:  2012-09-12 浏览次数:  157 下载次数:  0
问题描述
SACG直路透明部署时的几点注意
告警信息
处理过程
在配置过程中,有若干需要注意的地方:
1,SACG域间策略不可全部放开,只放开安全域到local的策略即可。若使用“firewall packet-filter default permit all”,那么不同域之间被允许访问,SACG域间包传递就不再匹配TSM server下发的ACL而是直接转发了。正确域间配置如下:
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outbound

2,SACG上联(untrust)和下联(trust)接口同属于vlan1,internet vlanif1只能属于untrust域。若vlanif1放置在trust域,SA能够通过身份认证,但访问前域后域隔离域的会话方向均为trust<——>trust,无法匹配TSM server下发到域间的ACL策略。正确配置如下:
firewall zone trust
set priority 85
add interface Ethernet1/0/1
#
firewall zone untrust
set priority 5
add interface Ethernet1/0/0
add interface Vlanif1
根因

TSM系统在某网络中测试,组网如图:


受到限制只能直路且透明的部署到现网,主要原因是:
1, 核心交换机不支持策略路由,造成SACG无法旁路部署。
2, 接入交换机是一个纯二层网络,下联很多业务主机,SACG直路不能采用路由方式部署。
3, SACG配备的MIC5FE模块,只支持二层接口,无法进行三层配置。

建议与总结

END