序言：

为保障数据库服务器（多个网段地址）信息安全，要求只能通过堡垒机访问数据库，现对当前数据库防火墙拓扑架构进行修改（原先只能接1个网段地址），且保证网络拓扑有冗余备份功能。今天小编和大家分享下该网络拓扑的详细配置教程。

一、网络拓扑

（1）原先拓扑

（2）改造后拓扑

二、设备硬件平台及网络技术

（1）2台H3C-S10512，V7，IRF堆叠；

（2）2台Hillstone-SG6000-P932，，双主Peer-Mode模式；

（3）2台H3C-S5560，V7，IRF堆叠；

（4）上下联交换机：静态链路聚合

三、配置教程

ps：整体架构涉及配置比较多，而且像H3C框式和盒式交换机IRF堆叠、hillstone主主模式配置教程之前文档已发布，本文主要讲防火墙如何配置可以透传2层trunk数据，聚合链路配置方法。

H3C-S7506X-IRF配置教程（BFDMAD检测）

干货分享：H3C-S5560交换机IRF配置和BFD/MAD检测

山石防火墙HA双主Peer-mode模式配置教程

1、防火墙配置

（1）开启虚拟交换机转发标记包功能。

步骤：网络-虚拟交换机-编辑vswith1-启用转发标记包，这样防火墙就可以透传trunk数据包了。

（2）确认防火墙是否支持二层trunk链路聚合网络拓扑

因为计划网络拓扑上下联交换机都是堆叠的，并且配置的聚合组，2根光纤分别接到主备防火墙的，不是所有防火墙都支持这种拓扑，之前遇到启明星辰的一款型号防火墙就不支持1组聚合链路情况，需要提前准备。

2、交换机配置聚合链路

准备工作：本次使用多模千兆光模块（因为防火墙只支持千兆模块），所以光模块最好都统一为SFP-GE-SX-MM850-D型号的。

ps：教程|快速确认光模块类型和具体含义

H3C-S5560交换机：

（1）创建聚合组6

ps：建议两端聚合组名称一样，这里使用静态聚合组。

[H3C]interfaceBridge-Aggregation6

（2）将接口加入到聚合组

ps：若该接口有配置，请清除配置后重新将接口加入聚合组。

[H3C]interfaceTen-GigabitEthernet1/0/49

[H3C-Ten-GigabitEthernet1/0/49]portlink-aggregationgroup6

[H3C]interfaceTen-GigabitEthernet2/0/49

[H3C-Ten-GigabitEthernet2/0/49]portlink-aggregationgroup6

（3）聚合组下发配置

[H3C]interfaceBridge-Aggregation6

[H3C-interfaceBridge-Aggregation6]portlink-typetrunk

[H3C-interfaceBridge-Aggregation6]porttrunkpermitvlan151523

H3C-S10512交换机：

配置同上，顺序也一致

3、查看聚合组状态

命令：dislink-aggregationverbose

状态都是S表面聚合链路是正常工作的。

3、将防火墙接入二层聚合链路拓扑

ps：只有当上下联聚合链路正常的情况下，再将防火墙接入拓扑中才有意义，不然都是浪费时间。

测试方法：下联交换机接入15/16/23网段终端，查看网络是否正常，正常说明成功了。

四、总结

看了整篇文章后您有收获吗，这里强调2点，第一：确定防火墙是否支持网络拓扑；第二：聚合组要根据上面的步骤和顺序配置。