h3c f1000-E v5.2 版本的防火墙 透明模式配置
- 1关注
- 1收藏,2441浏览
问题描述:
h3c f1000-E v5.2 版本的防火墙 透明模式配置希望准确的针对这个版本的谢谢提供一下
组网及组网描述:
h3c f1000-E v5.2 版本的防火墙 透明模式配置
上连路由器下接汇聚交换 路由和交换三层接口连接,不改变原因有的拓扑结构加入防火墙
- 2021-06-29提问
- 举报
-
(0)
最佳答案
实验:
https://zhiliao.h3c.com/theme/details/105021
https://zhiliao.h3c.com/theme/details/105023
手册:
3 普通二层转发配置举例
3.1 组网需求
如图1所示,Host A和Server A属于VLAN 10,Host B和Server B属于VLAN 20。要求实现如下功能:
· 允许Host A在周一至周五访问Server A,其他时间不可以访问。
· Host B只可以访问Server B的FTP服务,其他服务不可以访问。
3.2 使用版本
本举例是在SecPath F5000-A5 Feature 3213版本上进行配置和验证的。
3.3 配置注意事项
在配置Firewall子接口加入相应VLAN之前,需保证主接口工作在桥接模式。
3.4 配置步骤
3.4.1 Switch A的配置
# 创建VLAN 10和VLAN 20。
<SwitchA> system-view
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] vlan 20
[SwitchA-vlan20] quit
# 将接口加入相应VLAN。
[SwitchA] interface gigabitethernet 0/1
[SwitchA-GigabitEthernet0/1] port access vlan 10
[SwitchA-GigabitEthernet0/1] quit
[SwitchA] interface gigabitethernet 0/2
[SwitchA-GigabitEthernet0/2] port access vlan 20
[SwitchA-GigabitEthernet0/2] quit
[SwitchA] interface gigabitethernet 0/3
[SwitchA-GigabitEthernet0/3] port link-type trunk
[SwitchA-GigabitEthernet0/3] port trunk permit vlan 1 10 20
[SwitchA-GigabitEthernet0/3] quit
3.4.2 Switch B的配置
# 创建VLAN 10和VLAN 20。
<SwitchB> system-view
[SwitchB] vlan 10
[SwitchB-vlan10] quit
[SwitchB] vlan 20
[SwitchB-vlan20] quit
# 将接口加入相应VLAN。
[SwitchB] interface gigabitethernet 0/1
[SwitchB-GigabitEthernet0/1] port access vlan 10
[SwitchB-GigabitEthernet0/1] quit
[SwitchB] interface gigabitethernet 0/2
[SwitchB-GigabitEthernet0/2] port access vlan 20
[SwitchB-GigabitEthernet0/2] quit
[SwitchB] interface gigabitethernet 0/3
[SwitchB-GigabitEthernet0/3] port link-type trunk
[SwitchB-GigabitEthernet0/3] port trunk permit vlan 1 10 20
[SwitchB-GigabitEthernet0/3] quit
3.4.3 Firewall的配置
1. 通过Web方式配置Firewall
# 在左侧导航栏选择“网络管理 > VLAN > VLAN”,进入“VLAN 配置”页面,然后点击<新建>按钮,新建VLAN10和VLAN20,点击<确定>按钮完成配置。
图2 新建VLAN
# 在左侧导航栏选择“设备管理 > 接口管理”,然后点击<新建>按钮,创建子接口GigabitEthernet1/1.10、GigabitEthernet1/1.20、GigabitEthernet1/2.10、GigabitEthernet1/2.20。GigabitEthernet1/1.10和GigabitEthernet1/2.10 同属于VLAN 10,GigabitEthernet1/1.20和GigabitEthernet1/2.20同属于VLAN 20。以GigabitEthernet1/1.10为例。
图3 创建子接口GigabitEthernet1/1.10,并加入VLAN 10
# 在导航栏中选择“设备管理 > 安全域”页面,点击<新建>按钮,创建如下安全域,然后编辑安全域,把接口GigabitEthernet1/1.10加入vlan10-untrust、GigabitEthernet1/2.10加入vlan10-trust;GigabitEthernet1/1.20加入vlan20-untrust、GigabitEthernet1/2.20加入vlan20-trust。
图4 创建安全域
# 在导航栏中选择“资源管理 > 时间段”页面,点击<新建>按钮,创建如下时间段。
图5 创建时间段
# 在导航栏中选择“防火墙 > 安全策略 > 域间策略”,点击<新建>按钮,创建如下域间策略。
图6 创建vlan10_untrust到vlan10_trust的域间策略
图7 创建vlan20_untrust到vlan20_trust的域间策略
图8 域间策略
2. 通过命令行方式配置Firewall
# 配置VLAN 10和VLAN 20。
<Firewall> system-view
[Firewall] vlan 10
[Firewall-vlan10] quit
[Firewall] vlan 20
[Firewall-vlan20] quit
# 创建子接口GigabitEthernet1/1.10、GigabitEthernet1/1.20、GigabitEthernet1/2.10、GigabitEthernet1/2.20。GigabitEthernet1/1.10和GigabitEthernet1/2.10 同属于VLAN 10,GigabitEthernet1/1.20和GigabitEthernet1/2.20同属于VLAN 20。
[Firewall] interface gigabitethernet 1/1.10
[Firewall-GigabitEthernet1/1.10] port access vlan 10
[Firewall-GigabitEthernet1/1.10] quit
[Firewall] interface gigabitethernet 1/1.20
[Firewall-GigabitEthernet1/1.20] port access vlan 20
[Firewall-GigabitEthernet1/1.20] quit
[Firewall] interface gigabitethernet 1/2.10
[Firewall-GigabitEthernet1/2.10] port access vlan 10
[Firewall-GigabitEthernet1/2.10] quit
[Firewall] interface gigabitethernet 1/2.20
[Firewall-GigabitEthernet1/2.20] port access vlan 20
[Firewall-GigabitEthernet1/2.20] quit
# 创建安全域vlan10-trust、vlan10-untrust、vlan20-trust、vlan20-untrust,GigabitEthernet1/1.10加入vlan10-untrust、GigabitEthernet1/2.10加入vlan10-trust;GigabitEthernet1/1.20加入vlan20-untrust、GigabitEthernet1/2.20加入vlan20-trust。
[Firewall] zone name vlan10_trust id 5
[Firewall-zone-vlan10_trust] priority 80
[Firewall-zone-vlan10_trust] import interface gigabitethernet 1/2.10 vlan 10
[Firewall-zone-vlan10_trust] quit
[Firewall] zone name vlan10_untrust id 6
[Firewall-zone-vlan10_untrust] priority 5
[Firewall-zone-vlan10_untrust] import interface gigabitethernet 1/1.10 vlan 10
[Firewall-zone-vlan10_untrust] quit
[Firewall] zone name vlan20_trust id 7
[Firewall-zone-vlan20_trust] priority 90
[Firewall-zone-vlan20_trust] import interface gigabitethernet 1/2.20 vlan 20
[Firewall-zone-vlan20_trust] quit
[Firewall] zone name vlan20_untrust id 8
[Firewall-zone-vlan20_untrust] priority 5
[Firewall-zone-vlan20_untrust] import interface gigabitethernet 1/1.20 vlan 20
[Firewall-zone-vlan20_untrust] quit
# 创建时间段worktime。
[Firewall] time-range worktime 00:00 to 24:00 working-day
# 配置子网地址对象。
[Firewall] object network subnet 192.1.1.1/0.0.0.0
[Firewall-object-network-192.1.1.1/0.0.0.0] subnet 192.1.1.1 0.0.0.0
[Firewall-object-network-192.1.1.1/0.0.0.0] quit
[Firewall] object network subnet 192.1.1.2/0.0.0.0
[Firewall-object-network-192.1.1.2/0.0.0.0] subnet 192.1.1.2 0.0.0.0
[Firewall-object-network-192.1.1.2/0.0.0.0] quit
[Firewall] object network subnet 192.1.1.3/0.0.0.0
[Firewall-object-network-192.1.1.3/0.0.0.0] subnet 192.1.1.3 0.0.0.0
[Firewall-object-network-192.1.1.3/0.0.0.0] quit
[Firewall] object network subnet 192.1.1.4/0.0.0.0
[Firewall-object-network-192.1.1.4/0.0.0.0] subnet 192.1.1.4 0.0.0.0
[Firewall-object-network-192.1.1.4/0.0.0.0] quit
# 创建vlan10_untrust到vlan10_trust的域间策略。
[Firewall] interzone source vlan10_untrust destination vlan10_trust
[Firewall-interzone-vlan10_untrust-vlan10_trust] rule 0 permit time-range worktime
[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] source-ip 192.1.1.1/0.0.0.0
[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] destination-ip 192.1.1.2/0.0.0.0
[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] service any_service
[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] rule enable
[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] quit
# 创建vlan20_untrust到vlan20_trust的域间策略。
[Firewall] interzone source vlan20_untrust destination vlan20_trust
[Firewall-interzone-vlan20_untrust-vlan20_trust] rule 0 permit
[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] source-ip 192.1.1.3/0.0.0.0
[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] destination-ip 192.1.1.4/0.0.0.0
[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] service ftp
[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] rule enable
[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] quit
- 2021-06-29回答
- 评论(0)
- 举报
-
(0)
您好,请知:
以下是透明模式配置举例,请参考:
3 普通二层转发配置举例
3.1 组网需求
如图1所示,Host A和Server A属于VLAN 10,Host B和Server B属于VLAN 20。要求实现如下功能:
· 允许Host A在周一至周五访问Server A,其他时间不可以访问。
· Host B只可以访问Server B的FTP服务,其他服务不可以访问。
3.2 使用版本
本举例是在SecPath F5000-A5 Feature 3213版本上进行配置和验证的。
3.3 配置注意事项
在配置Firewall子接口加入相应VLAN之前,需保证主接口工作在桥接模式。
3.4 配置步骤
3.4.1 Switch A的配置
# 创建VLAN 10和VLAN 20。
<SwitchA> system-view
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] vlan 20
[SwitchA-vlan20] quit
# 将接口加入相应VLAN。
[SwitchA] interface gigabitethernet 0/1
[SwitchA-GigabitEthernet0/1] port access vlan 10
[SwitchA-GigabitEthernet0/1] quit
[SwitchA] interface gigabitethernet 0/2
[SwitchA-GigabitEthernet0/2] port access vlan 20
[SwitchA-GigabitEthernet0/2] quit
[SwitchA] interface gigabitethernet 0/3
[SwitchA-GigabitEthernet0/3] port link-type trunk
[SwitchA-GigabitEthernet0/3] port trunk permit vlan 1 10 20
[SwitchA-GigabitEthernet0/3] quit
3.4.2 Switch B的配置
# 创建VLAN 10和VLAN 20。
<SwitchB> system-view
[SwitchB] vlan 10
[SwitchB-vlan10] quit
[SwitchB] vlan 20
[SwitchB-vlan20] quit
# 将接口加入相应VLAN。
[SwitchB] interface gigabitethernet 0/1
[SwitchB-GigabitEthernet0/1] port access vlan 10
[SwitchB-GigabitEthernet0/1] quit
[SwitchB] interface gigabitethernet 0/2
[SwitchB-GigabitEthernet0/2] port access vlan 20
[SwitchB-GigabitEthernet0/2] quit
[SwitchB] interface gigabitethernet 0/3
[SwitchB-GigabitEthernet0/3] port link-type trunk
[SwitchB-GigabitEthernet0/3] port trunk permit vlan 1 10 20
[SwitchB-GigabitEthernet0/3] quit
3.4.3 Firewall的配置
1. 通过Web方式配置Firewall
# 在左侧导航栏选择“网络管理 > VLAN > VLAN”,进入“VLAN 配置”页面,然后点击<新建>按钮,新建VLAN10和VLAN20,点击<确定>按钮完成配置。
图2 新建VLAN
# 在左侧导航栏选择“设备管理 > 接口管理”,然后点击<新建>按钮,创建子接口GigabitEthernet1/1.10、GigabitEthernet1/1.20、GigabitEthernet1/2.10、GigabitEthernet1/2.20。GigabitEthernet1/1.10和GigabitEthernet1/2.10 同属于VLAN 10,GigabitEthernet1/1.20和GigabitEthernet1/2.20同属于VLAN 20。以GigabitEthernet1/1.10为例。
图3 创建子接口GigabitEthernet1/1.10,并加入VLAN 10
# 在导航栏中选择“设备管理 > 安全域”页面,点击<新建>按钮,创建如下安全域,然后编辑安全域,把接口GigabitEthernet1/1.10加入vlan10-untrust、GigabitEthernet1/2.10加入vlan10-trust;GigabitEthernet1/1.20加入vlan20-untrust、GigabitEthernet1/2.20加入vlan20-trust。
图4 创建安全域
# 在导航栏中选择“资源管理 > 时间段”页面,点击<新建>按钮,创建如下时间段。
图5 创建时间段
# 在导航栏中选择“防火墙 > 安全策略 > 域间策略”,点击<新建>按钮,创建如下域间策略。
图6 创建vlan10_untrust到vlan10_trust的域间策略
图7 创建vlan20_untrust到vlan20_trust的域间策略
图8 域间策略
2. 通过命令行方式配置Firewall
# 配置VLAN 10和VLAN 20。
<Firewall> system-view
[Firewall] vlan 10
[Firewall-vlan10] quit
[Firewall] vlan 20
[Firewall-vlan20] quit
# 创建子接口GigabitEthernet1/1.10、GigabitEthernet1/1.20、GigabitEthernet1/2.10、GigabitEthernet1/2.20。GigabitEthernet1/1.10和GigabitEthernet1/2.10 同属于VLAN 10,GigabitEthernet1/1.20和GigabitEthernet1/2.20同属于VLAN 20。
[Firewall] interface gigabitethernet 1/1.10
[Firewall-GigabitEthernet1/1.10] port access vlan 10
[Firewall-GigabitEthernet1/1.10] quit
[Firewall] interface gigabitethernet 1/1.20
[Firewall-GigabitEthernet1/1.20] port access vlan 20
[Firewall-GigabitEthernet1/1.20] quit
[Firewall] interface gigabitethernet 1/2.10
[Firewall-GigabitEthernet1/2.10] port access vlan 10
[Firewall-GigabitEthernet1/2.10] quit
[Firewall] interface gigabitethernet 1/2.20
[Firewall-GigabitEthernet1/2.20] port access vlan 20
[Firewall-GigabitEthernet1/2.20] quit
# 创建安全域vlan10-trust、vlan10-untrust、vlan20-trust、vlan20-untrust,GigabitEthernet1/1.10加入vlan10-untrust、GigabitEthernet1/2.10加入vlan10-trust;GigabitEthernet1/1.20加入vlan20-untrust、GigabitEthernet1/2.20加入vlan20-trust。
[Firewall] zone name vlan10_trust id 5
[Firewall-zone-vlan10_trust] priority 80
[Firewall-zone-vlan10_trust] import interface gigabitethernet 1/2.10 vlan 10
[Firewall-zone-vlan10_trust] quit
[Firewall] zone name vlan10_untrust id 6
[Firewall-zone-vlan10_untrust] priority 5
[Firewall-zone-vlan10_untrust] import interface gigabitethernet 1/1.10 vlan 10
[Firewall-zone-vlan10_untrust] quit
[Firewall] zone name vlan20_trust id 7
[Firewall-zone-vlan20_trust] priority 90
[Firewall-zone-vlan20_trust] import interface gigabitethernet 1/2.20 vlan 20
[Firewall-zone-vlan20_trust] quit
[Firewall] zone name vlan20_untrust id 8
[Firewall-zone-vlan20_untrust] priority 5
[Firewall-zone-vlan20_untrust] import interface gigabitethernet 1/1.20 vlan 20
[Firewall-zone-vlan20_untrust] quit
# 创建时间段worktime。
[Firewall] time-range worktime 00:00 to 24:00 working-day
# 配置子网地址对象。
[Firewall] object network subnet 192.1.1.1/0.0.0.0
[Firewall-object-network-192.1.1.1/0.0.0.0] subnet 192.1.1.1 0.0.0.0
[Firewall-object-network-192.1.1.1/0.0.0.0] quit
[Firewall] object network subnet 192.1.1.2/0.0.0.0
[Firewall-object-network-192.1.1.2/0.0.0.0] subnet 192.1.1.2 0.0.0.0
[Firewall-object-network-192.1.1.2/0.0.0.0] quit
[Firewall] object network subnet 192.1.1.3/0.0.0.0
[Firewall-object-network-192.1.1.3/0.0.0.0] subnet 192.1.1.3 0.0.0.0
[Firewall-object-network-192.1.1.3/0.0.0.0] quit
[Firewall] object network subnet 192.1.1.4/0.0.0.0
[Firewall-object-network-192.1.1.4/0.0.0.0] subnet 192.1.1.4 0.0.0.0
[Firewall-object-network-192.1.1.4/0.0.0.0] quit
# 创建vlan10_untrust到vlan10_trust的域间策略。
[Firewall] interzone source vlan10_untrust destination vlan10_trust
[Firewall-interzone-vlan10_untrust-vlan10_trust] rule 0 permit time-range worktime
[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] source-ip 192.1.1.1/0.0.0.0
[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] destination-ip 192.1.1.2/0.0.0.0
[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] service any_service
[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] rule enable
[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] quit
# 创建vlan20_untrust到vlan20_trust的域间策略。
[Firewall] interzone source vlan20_untrust destination vlan20_trust
[Firewall-interzone-vlan20_untrust-vlan20_trust] rule 0 permit
[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] source-ip 192.1.1.3/0.0.0.0
[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] destination-ip 192.1.1.4/0.0.0.0
[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] service ftp
[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] rule enable
[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] quit
- 2021-06-29回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论