问

F1000-E防火墙透明模式配置

透明模式

2021-06-25提问

2关注
1收藏，1729浏览

温杰

温杰零段

粉丝：0人关注：0人

问题描述：

防火墙F1000-E的透明模式配置

最佳答案

zhiliao_aoSVlF

zhiliao_aoSVlF 五段

粉丝：3人关注：0人

可以大致参考：https://www.h3c.com/cn/d_201505/869008_30005_0.htm

可能稍微有点复杂，理解一下，其他双机热备的部分可以不参考

暂无评论

4 个回答

按时间按赞数

得闲饮茶013

得闲饮茶013 九段

粉丝：133人关注：6人

您好，请知：

以下是防火墙透明模式的配置案例，请参考：

组网说明：

本案例采用H3C HCL模拟器的F1060防火墙来模拟防火墙的透明模式典型组网配置2。为了实现PC之间相互PING通，因此需要在SW1、R1之间通过路由指向来实现路由可达。F1060处在R1、SW1之间，所以将F1060配置为透明模式，采用trunk的方式为R1、SW1透传业务。

配置步骤

1、按照网络拓扑图正确配置IP地址

2、R1与SW1之间运行ospf路由协议

3、将F1060防火墙配置为透明模式，采用trunk的方式为R1、SW1透传业务。

配置关键点

SW1:

<H3C>sys

System View: return to User View with Ctrl+Z.

[H3C]sysname SW1

[SW1]vlan 100

[SW1-vlan100]quit

[SW1]int vlan 100

[SW1-Vlan-interface100]ip address 172.16.1.1 24

[SW1-Vlan-interface100]quit

[SW1]int gi 1/0/1

[SW1-GigabitEthernet1/0/1]port link-type access

[SW1-GigabitEthernet1/0/1]port access vlan 100

[SW1-GigabitEthernet1/0/1]quit

[SW1]vlan 10

[SW1-vlan10]quit

[SW1]int vlan 10

[SW1-Vlan-interface10]ip address 10.0.0.1 30

[SW1-Vlan-interface10]quit

[SW1]int gi 1/0/2

[SW1-GigabitEthernet1/0/2]des <connect to FW1>

[SW1-GigabitEthernet1/0/2]port link-type trunk

[SW1-GigabitEthernet1/0/2]undo port trunk permit vlan 1

[SW1-GigabitEthernet1/0/2]port trunk permit vlan 10

[SW1-GigabitEthernet1/0/2]quit

[SW1]int loopback 0

[SW1-LoopBack0]ip address 1.1.1.1 32

[SW1-LoopBack0]quit

[SW1]ospf 1 router-id 1.1.1.1

[SW1-ospf-1]area 0.0.0.0

[SW1-ospf-1-area-0.0.0.0]network 10.0.0.1 0.0.0.0

[SW1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[SW1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255

[SW1-ospf-1-area-0.0.0.0]quit

[SW1-ospf-1]quit

[SW1]

R1:

<H3C>sys

System View: return to User View with Ctrl+Z.

[H3C]sysname R1

[R1]int loopback 0

[R1-LoopBack0]ip address 2.2.2.2 32

[R1-LoopBack0]quit

[R1]int gi 0/1

[R1-GigabitEthernet0/1]ip address 192.168.1.1 24

[R1-GigabitEthernet0/1]quit

[R1]vlan 10

[R1-vlan10]quit

[R1]int vlan 10

[R1-Vlan-interface10]ip address 10.0.0.2 30

[R1-Vlan-interface10]quit

[R1]int gi 0/0

[R1-GigabitEthernet0/0]port link-mode bridge

[R1-GigabitEthernet0/0]port link-type trunk

[R1-GigabitEthernet0/0]undo port trunk permit vlan 1

[R1-GigabitEthernet0/0]port trunk permit vlan 10

[R1-GigabitEthernet0/0]quit

[R1]ospf 1 router-id 2.2.2.2

[R1-ospf-1]area 0.0.0.0

[R1-ospf-1-area-0.0.0.0]network 10.0.0.2 0.0.0.0

[R1-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0

[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255

[R1-ospf-1-area-0.0.0.0]quit

[R1-ospf-1]quit

FW1 透明模式配置关键点：

<H3C>sys

System View: return to User View with Ctrl+Z.

[H3C]sysname FW1

[FW1]vlan 10

[FW1-vlan10]quit

[FW1]int range gi 1/0/2 to gi 1/0/3

[FW1-if-range]port link-mode bridge

[FW1-if-range]port link-type trunk

[FW1-if-range]undo port trunk permit vlan 1

[FW1-if-range]port trunk permit vlan 10

[FW1-if-range]quit

[FW1]security-zone name Trust

[FW1-security-zone-Trust]import interface GigabitEthernet 1/0/3 vlan 10

[FW1-security-zone-Trust]quit

[FW1]security-zone name Untrust

[FW1-security-zone-Untrust]import interface GigabitEthernet 1/0/2 vlan 10

[FW1-security-zone-Untrust]quit

[FW1]acl basic 2002

[FW1-acl-ipv4-basic-2002]rule 0 permit source any

[FW1-acl-ipv4-basic-2002]quit

[FW1]

[FW1]zone-pair security source trust destination untrust

[FW1-zone-pair-security-Trust-Untrust]packet-filter 2002

[FW1-zone-pair-security-Trust-Untrust]quit

[FW1]

[FW1]zone-pair security source untrust destination trust

[FW1-zone-pair-security-Untrust-Trust]packet-filter 2002

[FW1-zone-pair-security-Untrust-Trust]quit

[FW1]

[FW1]zone-pair security source trust destination local

[FW1-zone-pair-security-Trust-Local]packet-filter 2002

[FW1-zone-pair-security-Trust-Local]quit

[FW1]

[FW1]zone-pair security source local destination trust

[FW1-zone-pair-security-Local-Trust]packet-filter 2002

[FW1-zone-pair-security-Local-Trust]quit

[FW1]

[FW1]zone-pair security source untrust destination local

[FW1-zone-pair-security-Untrust-Local]packet-filter 2002

[FW1-zone-pair-security-Untrust-Local]quit

[FW1]

[FW1]zone-pair security source local destination untrust

[FW1-zone-pair-security-Local-Untrust]packet-filter 2002

[FW1-zone-pair-security-Local-Untrust]quit

[FW1]

[FW1]zone-pair security source trust destination trust

[FW1-zone-pair-security-Trust-Trust]packet-filter 2002

[FW1-zone-pair-security-Trust-Trust]quit

[FW1]

[FW1]zone-pair security source untrust destination untrust

[FW1-zone-pair-security-Untrust-Untrust]packet-filter 2002

[FW1-zone-pair-security-Untrust-Untrust]quit

测试：

所有PC都填写IP地址：

PC之间可以相互PING通：

分别查看SW1、R1的OSPF邻居信息：

分别查看SW1、R1的路由表：

查看FW1的zone-pair：

暂无评论

叫我靓仔

叫我靓仔九段

粉丝：146人关注：1人

防火墙透明部署非常简单

1、把物理口配置成二层口

2、配置一个BVI接口，二层口都加入这个BVI

3、不同的二层口加入到不同的域

4、配置相应的域间策略即可

暂无评论

烟花里的尘埃

烟花里的尘埃五段

粉丝：1人关注：1人

#
vlan 1
int vlan 1
ip add 192.168.10.2 24	管理地址，根据实际需要设置
#
int range g1/0/1 g1/0/2
port link-mode bridge
#
security-zone name Untrust
import int g1/0/1 vlan 1 to 4094
#
security-zone name Trust
import interface Vlan-interface1
import int g1/0/2 vlan 1 to 4094
#
security-policy ip
rule 0 name shangwang1
action pass
source-zone Trust
destination-zone Untrust
rule 1 name shangwang2
action pass
source-zone Untrust
destination-zone Trust
rule 2 name trust-local
action pass
source-zone trust
destination-zone local
#
acl advanced 3000
rule 0 permit ip
#
zone-pair security source Trust destination Untrust
packet-filter 3000
#
zone-pair security source Trust destination Local
packet-filter 3000
#
zone-pair security source Local destination Trust
packet-filter 3000
#
zone-pair security source Untrust destination Trust
packet-filter 3000
#
zone-pair security source Untrust destination Local
packet-filter 3000
#
zone-pair security source Local destination Untrust
packet-filter 3000
#
sa f