更新时间:2023-09-04 GMT+08:00
组网需求
适用产品和版本
|
设备 |
版本 |
备注 |
|---|---|---|
|
USG6502E-C、USG6503E-C |
|
- |
|
USG6603F-C |
|
- |
组网需求说明
本方案适用企业内网有DNS服务器的场景。
该场景下,企业内网主机使用DNS服务器代理后的IP地址访问外部区域,出口天关1检测到威胁事件的源地址都是DNS服务器代理后的IP地址,非真实的内网IP地址,进而导致客户无法对失陷主机做对应处理。
针对上述问题,采用如下方案,如图1所示。增加天关2,将用户访问DNS服务器的流量镜像到天关2,并把检测日志上送到华为乾坤,华为乾坤根据天关2的威胁日志识别真正的失陷主机。
下图以USG6502E-C的GE0/0/21和GE0/0/20为例,组成二层Bypass接口对,用于转发内外网的业务流量,同时使用三层接口GE0/0/3与云端对接。使用三层接口GE0/0/2作为漏洞扫描服务和云日志审计服务的通道,并使用GE0/0/3上报云端。
约束或注意事项
- USG6501E-C不支持电Bypass口,此方案不使用该型号设备。
- 对交换机的要求:
- USG6502E-C、USG6503E-C接口使用限制:
- 仅两组固定电接口支持硬件Bypass功能:GE0/0/20和GE0/0/21配对,GE0/0/22和GE0/0/23配对。每个Bypass接口对的接口同时工作在二层工作模式时,组成一条电链路Bypass。推荐使用这两对接口作为业务口,用于转发内外网的业务流量,当天关故障时流量直接通过天关,保证业务不中断。
- 奇数编号接口用于连接上行设备,偶数编号接口用于连接下行局域网设备。
- USG6603F-C接口使用限制:
- 为了提高业务可靠性,可以配置光Bypass卡,连接光Bypass卡的方式请参见《USG6000F-C天关上线》中“安装并连接光Bypass插卡”章节。
- 默认情况下,接口编号相邻的接口两两组成二层接口对。
- 奇数编号接口用于连接上行设备,偶数编号接口用于连接下行局域网设备。
父主题: 企业内部存在DNS服务器场景
