SecPath F1000-E 防火墙混合模式配置
一. 组网需求
两台PC,一台H3C SecthPath F1000-E 防火墙,需B3156P02及以上版本。两根线缆。
二. 组网图
混合模式转发组网图
说明:PC1,PC2和PC3分别连在F1000-E防火墙的Ge0/1,Ge0/2和Ge0/3接口上。PC2和PC3在一个网段10.0.0.0/24,其IP地址分别为10.0.0.2/24和10.0.0.3/24;PC1的地址是20.0.0.2/24,需要通过F1000-E实现互通。F1000-E防火墙Ge0/1的接口IP为20.0.0.1/24,Ge0/2和Ge0/3所在vlan的vlan-interface的接口IP为10.0.0.1/24。
三. 配置步骤
1. 命令行配置
#
vlan 10
#
interface Vlan-interface10 //配置vlan-interface 10 作为g0/2和g0/3 vlan10的三层终结
ip address 10.0.0.1 255.255.255.0
#
interface GigabitEthernet0/1
port link-mode route //将接口g0/1配置成路由模式(缺省即是)
combo enable copper //启用电口
ip address 20.0.0.1 255.0.0.0
#
interface GigabitEthernet0/2
port link-mode bridge //将接口g0/2配置成桥模式(二层模式)
port access vlan 10 //将接口加入vlan 10
combo enable copper //启用电口
#
interface GigabitEthernet0/3
port link-mode bridge //将接口g0/3配置成桥模式(二层模式)
port access vlan 10 //将接口加入vlan 10
combo enable copper //启用电口
2. web页面上的相关配置
把Ge0/2接口加入trust域,Ge0/3接口加入DMZ域,Ge0/1接口加入untrust域,Vlan-interface10加入trust域。
根据实际组网需要添加untrust域到trust域,untrust域到dmz域,dmz域到trust域的域间策略。
四. 注意事项
1. 从Ge0/2接口进入F1000-E防火墙,经过vlan-interface10,从Ge0/1转发出去的报文,其入安全域由Ge0/2接口所在安全域确定,和vlan-interface10所在安全域无关,报文出安全域由Ge0/1接口所在安全域确定。从Ge0/3接口进入防火墙的报文也是同样处理。
2. 从F1000-E本机发起的在vlan-interface10网段里的广播和多播报文(如rip或者ospf的协议报文),其报文的出安全域由vlan-interface10所在安全域确定,因此必须要把vlan-interface10加入一个安全域,否则这些报文无法发出。
3. 注意事项见注释。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作