SecPath F1000-E 防火墙混合模式配置

SecPath F1000-E 防火墙混合模式配置

一．           组网需求

两台PC，一台H3C SecthPath F1000-E 防火墙，需B3156P02及以上版本。两根线缆。

二．           组网图

 混合模式转发组网图

说明：PC1，PC2和PC3分别连在F1000-E防火墙的Ge0/1，Ge0/2和Ge0/3接口上。PC2和PC3在一个网段10.0.0.0/24，其IP地址分别为10.0.0.2/24和10.0.0.3/24；PC1的地址是20.0.0.2/24，需要通过F1000-E实现互通。F1000-E防火墙Ge0/1的接口IP为20.0.0.1/24，Ge0/2和Ge0/3所在vlan的vlan-interface的接口IP为10.0.0.1/24。

三．           配置步骤

1.       命令行配置

#

vlan 10

#

interface Vlan-interface10       //配置vlan-interface 10 作为g0/2和g0/3 vlan10的三层终结

ip address 10.0.0.1 255.255.255.0

#                                

interface GigabitEthernet0/1

port link-mode route               //将接口g0/1配置成路由模式（缺省即是）

combo enable copper              //启用电口

ip address 20.0.0.1 255.0.0.0

#

interface GigabitEthernet0/2

port link-mode bridge              //将接口g0/2配置成桥模式（二层模式）

port access vlan 10                //将接口加入vlan 10

combo enable copper              //启用电口

#

interface GigabitEthernet0/3

port link-mode bridge              //将接口g0/3配置成桥模式（二层模式）

port access vlan 10                //将接口加入vlan 10

combo enable copper              //启用电口

2.       web页面上的相关配置

把Ge0/2接口加入trust域，Ge0/3接口加入DMZ域，Ge0/1接口加入untrust域，Vlan-interface10加入trust域。

根据实际组网需要添加untrust域到trust域，untrust域到dmz域，dmz域到trust域的域间策略。

四．           注意事项

1.       从Ge0/2接口进入F1000-E防火墙，经过vlan-interface10，从Ge0/1转发出去的报文，其入安全域由Ge0/2接口所在安全域确定，和vlan-interface10所在安全域无关，报文出安全域由Ge0/1接口所在安全域确定。从Ge0/3接口进入防火墙的报文也是同样处理。

2.       从F1000-E本机发起的在vlan-interface10网段里的广播和多播报文（如rip或者ospf的协议报文），其报文的出安全域由vlan-interface10所在安全域确定，因此必须要把vlan-interface10加入一个安全域，否则这些报文无法发出。

3.       注意事项见注释。