同一个安全域内的二层接口默认不一定是允许互访的,这完全取决于设备运行的软件版本。
你的F5000-E如果运行的是V7版本,需要手动配置才能放通。
有两种方法可以实现,推荐优先尝试方法一。
这是最规范、最安全的方式,可以精细控制流量。
登录防火墙Web界面或通过Console/SSH进入命令行。
创建安全策略,放通源安全域和目的安全域均为同一个域(例如Trust)的流量。在Web界面上,新建一条策略,将源和目的安全域都选为同一个域,动作设为“允许”即可。
命令行参考(将Trust替换为你的实际安全域名称):
此方法会放通所有安全域内的流量,安全性较低,需谨慎评估。
这条命令的含义是:如果设备上没有配置“当前域到当前域”的域间策略,则默认允许同安全域内的流量通过。
暂无评论
system-view
# 开启同安全域内接口报文默认允许
security-zone intra-zone default permit
save force
Trust安全域:system-view
security-policy ip
# 新建域内放行规则,放通Trust内所有互访
rule 10 name trust_intra_permit action pass
source-zone Trust
destination-zone Trust
# 如需限制指定网段,可追加源/目的地址对象
# source-address object-group LAN
# destination-address object-group LAN
quit
save force
display interface GigabitEthernet 1/0/28
# 输出需包含 port link-mode bridge
Trust→Local策略;interface GigabitEthernet 1/0/28 to 1/0/29
undo arp anti-attack check source-mac
undo packet-filter inbound
display security-policy session ip source 业务网段
# 无会话 = 策略拒绝;存在会话无回包 = 双向策略缺失
| 方案 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
| security-zone intra-zone default permit | 一条命令全通,运维简单 | 无法细分网段管控,内网完全无隔离 | 纯透明内网、无分区隔离需求、机房调试 |
| 同域安全策略 rule | 可基于 IP / 端口 / 应用精细化阻断 | 需要新增策略,多域场景需多条 | 正式生产环境,后续可按需隔离内网部分终端 |
display security-zone brief确认 1/0/28、1/0/29 归属同一个安全域;security-zone intra-zone default permit测试互通;暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论