SecPath F1000-E 防火墙VLAN透传模式配置

SecPath F1000-E 防火墙VLAN透传模式配置

一．           组网需求

两台PC，一台H3C SecthPath F1000-E 防火墙，需B3156P02及以上版本。任意二层交换机两台。两根线缆。

二．           组网图

说明：F1000-E防火墙Ge0/2和Ge0/3接口都工作在二层，trunk模式，实现vlan透传，Switch-A和Switch-B和F1000-E连接的接口也工作在trunk模式下，PC1的地址是100.0.0.1/8，PC2的地址是100.0.0.2/8。此外，要求PC1和PC2能够通过业务vlan远程管理F1000-E。

三．           配置步骤

1.       F1000-E的命令行配置

vlan 1

#

vlan 2 to 4094

#       

interface Vlan-interface100

ip address 100.0.0.5 255.0.0.0

# 

interface GigabitEthernet0/2

port link-mode bridge             //将接口设置为桥模式

port link-type trunk              //将接口设置成trunk端口

port trunk permit vlan all         //允许所有业务vlan通过

combo enable copper            //启用电口

#

interface GigabitEthernet0/3      //将g0/3与g0/2是相同的配置

port link-mode bridge

port link-type trunk

port trunk permit vlan all

combo enable copper

#                     

2.       Switch-A的配置如下：

vlan 1

#

vlan 2 to 4094

#

interface GigabitEthernet1/0/33    //将g1/0/33配置成trunk端口，允许所有业务vlan通过

port link-type trunk

port trunk permit vlan all

#

interface GigabitEthernet1/0/34

port access vlan 100             //将g1/0/34的PVID设置为100

#       

3.       Switch-B的配置如下：      //Switch-B的配置和Switch-A的配置一样

vlan 1

#

vlan 2 to 4094

#

interface GigabitEthernet1/0/13

port link-type trunk

port trunk permit vlan all

#

interface GigabitEthernet1/0/14

port access vlan 100

#

2．web相关配置

把Ge0/2和Ge0/3接口（所属VLAN1-4094）分别加入Trust和Untrust安全域，把vlan-interface100加入Trust域。根据实际组网需要添加Trust和Untrust域之间的域间策略。

四．           关键配置

关键点见注释。