本文章介绍23版本硬件雷池WAF在重置模式、链路聚合场景、以及需要配置Vlan子接口（即WAF接入的网络链路中存在Trunk链路，流经WAF的业务流量携带了Vlan tag）场景下的快速上线配置说明。

一、重置模式及初始配置

1、重置模式

确定部署模式后，进入雷池后台执行mode reset命令重置到对应模式
【注意】：
●Lite mode选N（N为标准版雷池，y为易捷版雷池），无特殊情况下一般发货的均是标准版雷池，若将雷池重置为易捷版，申请的是标准版的授权文件，导入的时候界面会提示“许可证与版本不匹配”
●Database engine 选postgres或回车（无特殊情况下选postgres数据库），此项以实际为准，若mode reset时没有此项则忽略

●输出mode reset done后，reboot重启机器（若重置模式后不重启机器会出现非预期情况，例如工作组无法选择对应网络接口）

2、导入授权

●电脑配置（192.168.1.10/24）后用网线直连mgt口，浏览器访问https://192.168.1.1，点击【选择许可证】导入申请的雷池授权文件，确认更新


●选择部署模式，点击下一步

●工作组配置（若初始默认创建的工作组不适用实际情况，此页面创建完成后进入到雷池界面删除重新配置工作组）

●配置管理/业务IP(注意：若用mgmt口做管理，待雷池配置完成准备上线时需将192.168.1.1地址删除，避免与客户网络有冲突)，点击提交

●提交后界面输出用户名和初始密码，记录下来后，点击【前往登录页面】，输入用户名密码登录雷池界面。

二、链路聚合场景雷池配置步骤

常见的网络部署场景如下：

1、透明桥模式

●雷池WAF在透明桥模式下，可以通过配置一个工作组包含2对接口的方式接入网络，无需配置链路聚合口，默认可以透传LACP协议流量，即WAF不参与链路聚合协商，原先的上游设备依然与下游设备进行链路协商。

●一个工作组配置2对接口，添加接口时，通常1、2口是一对接口，3、4口是一对接口，阻断模式无特殊要求选择“重置阻断链接”。物理接线时一般13口为IN口，24口为OUT口接线。

●创建一条默认兜底防护站点，检测所有经过雷池的HTTP流量，防护策略选择观察模式，同时添加已确认加入防护的明细站点，防护策略选择观察模式，待误报消除后对应明细站点中调整为拦截模式。

2、透明代理模式

●雷池WAF在透明代理模式下，需要分别与上、下游设备进行链路聚合协商，因此对接上、下游设备的接口均需要进行链路聚合配置。

●根据bypass接口对关系逻辑，通常1、3口聚合为一个接口，2、4口聚合为一个接口。（根据实际设备板卡接口丝印确定接口关系），接口名字可以根据实际流量接入方向、物理口名字进行设置，方便配置时区分，例如：eth1.1-1.3-in、eth1.2-1.4out。


●链路聚合算法需要根据WAF对接的上、下游设备接口的协商算法进行确定，设置正确才能保证与上、下游设备接口互连接后，可以正常UP起来。


●虚拟接口支持的链路聚合算法

●工作组设置：创建链路聚合接口后，创建工作组选择的IN/OUT口，需要选择对应的聚合口，例如eth1.1-1.3-in、eth1.2-1.4out

●创建防护站点，选择对应创建的链路聚合工作组，初始上线防护策略选择观察模式，待误报消除后调整为拦截模式。

链路聚合算法
各模式原理
●mode=0（balance-rr）
表示负载分担round-robin，并且是轮询的方式比如第一个包走eth0，第二个包走eth1，直到数据包发送完毕。
优点：流量提高一倍
缺点：需要接入交换机做端口聚合，否则可能无法使用
●mode=1（active-backup）
表示主备模式，即同时只有1块网卡在工作。
优点：冗余性高
缺点：链路利用率低，两块网卡只有1块在工作
●mode=2(balance-xor)(平衡策略)
表示XOR Hash负载分担，和交换机的聚合强制不协商方式配合。（需要xmit_hash_policy，需要交换机配置port channel）
特点：基于指定的传输HASH策略传输数据包。缺省的策略是：(源MAC地址 XOR 目标MAC地址) % slave数量。其他的传输策略可以通过xmit_hash_policy选项指定，此模式提供负载平衡和容错能力
●mode=3(broadcast)(广播策略)
表示所有包从所有网络接口发出，这个不均衡，只有冗余机制，但过于浪费资源。此模式适用于金融行业，因为他们需要高可靠性的网络，不允许出现任何问题。需要和交换机的聚合强制不协商方式配合。
特点：在每个slave接口上传输每个数据包，此模式提供了容错能力
●mode=4(802.3ad)(IEEE 802.3ad 动态链接聚合)
表示支持802.3ad协议，和交换机的聚合LACP方式配合（需要xmit_hash_policy）.标准要求所有设备在聚合操作时，要在同样的速率和双工模式，而且，和除了balance-rr模式外的其它bonding负载均衡模式一样，任何连接都不能使用多于一个接口的带宽。
特点：创建一个聚合组，它们共享同样的速率和双工设定。根据802.3ad规范将多个slave工作在同一个激活的聚合体下。外出流量的slave选举是基于传输hash策略，该策略可以通过xmit_hash_policy选项从缺省的XOR策略改变到其他策略。需要注意的是，并不是所有的传输策略都是802.3ad适应的，尤其考虑到在802.3ad标准43.2.4章节提及的包乱序问题。不同的实现可能会有不同的适应性。
必要条件：
条件1：ethtool支持获取每个slave的速率和双工设定
条件2：switch(交换机)支持IEEE802.3ad Dynamic link aggregation
条件3：大多数switch(交换机)需要经过特定配置才能支持802.3ad模式
雷池不支持以下模式
●mode=5(balance-tlb)(适配器传输负载均衡)
是根据每个slave的负载情况选择slave进行发送，接收时使用当前轮到的slave。该模式要求slave接口的网络设备驱动有某种ethtool支持；而且ARP监控不可用。
特点：不需要任何特别的switch(交换机)支持的通道bonding。在每个slave上根据当前的负载（根据速度计算）分配外出流量。如果正在接受数据的slave出故障了，另一个slave接管失败的slave的MAC地址。
必要条件：ethtool支持获取每个slave的速率
●mode=6(balance-alb)(适配器适应性负载均衡)
在5的tlb基础上增加了rlb(接收负载均衡receiveload balance).不需要任何switch(交换机)的支持。接收负载均衡是通过ARP协商实现的.
特点：该模式包含了balance-tlb模式，同时加上针对IPV4流量的接收负载均衡(receiveload balance, rlb)，而且不需要任何switch(交换机)的支持。接收负载均衡是通过ARP协商实现的。bonding驱动截获本机发送的ARP应答，并把源硬件地址改写为bond中某个slave的唯一硬件地址，从而使得不同的对端使用不同的硬件地址进行通信。来自服务器端的接收流量也会被均衡。当本机发送ARP请求时，bonding驱动把对端的IP信息从ARP包中复制并保存下来。当ARP应答从对端到达时，bonding驱动把它的硬件地址提取出来，并发起一个ARP应答给bond中的某个slave。使用ARP协商进行负载均衡的一个问题是：每次广播 ARP请求时都会使用bond的硬件地址，因此对端学习到这个硬件地址后，接收流量将会全部流向当前的slave。这个问题可以通过给所有的对端发送更新（ARP应答）来解决，应答中包含他们独一无二的硬件地址，从而导致流量重新分布。当新的slave加入到bond中时，或者某个未激活的slave重新激活时，接收流量也要重新分布。接收的负载被顺序地分布（round robin）在bond中最高速的slave上当某个链路被重新接上，或者一个新的slave加入到bond中，接收流量在所有当前激活的slave中全部重新分配，通过使用指定的MAC地址给每个 client发起ARP应答。下面介绍的updelay参数必须被设置为某个大于等于switch(交换机)转发延时的值，从而保证发往对端的ARP应答不会被switch(交换机)阻截。
xmit_hash_policy原理（balance-xor、802.3ad（LACP））
均衡算法一共为三种
●layer2：2层模式=MAC
●layer2+3：2+3层模式=MAC+IP
●layer3+4：3+4层模式=IP+端口

3、反向代理模式

雷池反向代理模式部署，物理旁挂逻辑串接至网络中，为保证链路冗余，雷池接入的业务口做了链路聚合，两个网口做聚合后接入网络中
●业务口配置链路聚合接口，选择对应MODE、XmitHashPolicy方式，如下图聚合eth1.1、eth1.2为一个聚合口

●为聚合口配置分配的业务口地址

●选择工作接口为刚创建的聚合口，添加工作组


●创建防护站点，选择工作组、IP、转发至业务服务器的地址、初始上线防护策略选择观察模式，待误报消除后调整为拦截模式。




●防护站点配置好后，按反向代理模式雷池业务上线测试步骤，找台电脑修改本地host文件，测试访问的防护站点是否正常，测试正常后让客户将对应业务流量切到雷池上即可。

三、Vlan子接口配置场景

常见的网络部署场景如下：

1、透明桥模式

雷池WAF在透明桥模式下，解析转发流量时，默认可以忽略vlan标签，因此不需要进行特殊的vlan子接口配置，按照常规串联配置物理接口和工作组进行接入即可。配置示例如下图：
【网络链路中无链路聚合时，1进1出】工作组配置1对接口，添加接口时，通常默认1口时入接口，2口是出接口，阻断模式无特殊要求选择“重置阻断链接”

【网络链路中做了链路聚合时，2进2出】工作组配置2对接口，添加接口时，通常1、2口是一对接口，3、4口是一对接口，阻断模式无特殊要求选择“重置阻断链接”

2、透明代理模式

雷池WAF在透明代理模式下，需要分别针对对接上、下游设备的接口配置Vlan子接口，配置子接口的数量，需要依据需要进行防护的业务流量vlan数量而定。例如上图中，需要防护的业务流量为Vlan100和Vlan200,同时是链路聚合口，因此配置时，需要遵循以下步骤:
【既有链路聚合，业务流量又带vlantag的配置操作】
（1）配置链路聚合口


（2）创建vlan子接口，根据图中注释进行配置，子接口名称需要可以区分vlan tag，同时透明代理模式需要区分方向，因此接口名称尽量包含in/out信息，例如v100_in、v100_out。由于串联WAF是多进多出，因此需要在聚合后的进、出接口均配置vlan子接口，例如图中配置了eth1.1-1.3-in接口的vlan100子接口v100_in，如果这个口是对接上游设备的口，那么对应的也需要在对接下游设备的接口eth1.2-1.4-out也创建vlan100的子接口v100_out。
【注意】：vlan虚拟子接口的通讯协定具体选则802.1Q还是802.1.AD需跟客户核对确认




（3）根据上面的配置逻辑，完成Vlan100/Vlan200的子接口创建
（4）创建工作组，首先需要创建父接口的工作组，例如上面的父接口是链路聚合口，那么需要把eth1.1-1.3-in、eth1.2-1.4-out接口创建第一个工作组，其次，把对应的Vlan子接口根据vlan tag分别创建对应的工作组，例如上面举例中，把创建的v100_in、v100_out子接口也创建一个工作组，工作组名字可以配置为vlan100，同样的方法配置vlan200。




（5）创建防护站点，此时选择工作组时，需要根据站点业务流量所在的vlan，选择对应的vlan子接口工作组，初始上线防护策略选择观察模式，待误报消除后调整为拦截模式。



【无链路聚合，业务流量带vlantag的配置操作】
（1）创建vlan子接口，根据图中注释进行配置，子接口名称需要可以区分vlan tag，同时透明代理模式需要区分方向，因此接口名称尽量包含in/out信息，例如v100_in、v100_out。由于串联WAF是一进一出，因此需要在进、出接口均配置vlan子接口，例如图中配置了eth1.1-1.3-in接口的vlan100子接口v100_in，如果这个口是对接上游设备的口，那么对应的也需要在对接下游设备的接口eth1.2-1.4-out也创建vlan100的子接口v100_out。
【注意】：vlan虚拟子接口的通讯协定具体选则802.1Q还是802.1.AD需跟客户核对确认




（2）根据上面的配置逻辑，完成Vlan100/Vlan200的子接口创建

（3）创建工作组，首先需要创建父接口的工作组，例如上面的父接口是物理口，那么需要把eth1.1、eth1.2接口创建第一个工作组，其次，把对应的Vlan子接口根据vlan tag分别创建对应的工作组，例如上面举例中，把创建的v100_in、v100_out子接口也创建一个工作组，工作组名字可以配置为vlan100，同样的方法配置vlan200。




（4）创建防护站点，此时选择工作组时，需要根据站点业务流量所在的vlan，选择对应的vlan子接口工作组，初始上线防护策略选择观察模式，待误报消除后调整为拦截模式。