防火墙

防火墙采用透明部署允许所有vlan通过；

防火墙上下开启聚合，聚合接口允许所有vlan通过,对接设备5接口属于untrust,对接设备2接口属于trust区域；

设备5和设备2通过接口vlan4000地址写静态路由是实现网络层面全网互通，设备写一条默认路由指向172.31.1.1；设备5写静态路由172.16.0.0/16 下一条指向172.31.1.2；

设备3模拟电脑网关在设备5上（二层过防火墙）；

设备4模拟电脑网关在设备2上（三层过防火墙）

适用防火墙透明部署但是网关有不是在统一一台设备上时，策略匹配规则；

情景一： 源地址172.16.1.2ping 目的地址192.168.1.2

数据流向如下

匹配策略

区域：Trust-untrust

匹配源地址 ：any

匹配目的地址：192.168.1.2

其余策略不写

测试：

此时防火墙只有一条策略，只能实现设备4通设备8的地址，不能实现设备8通设备4；

测试：

要实现源192.168.1.2ping通172.16.1.2

增加一条策略

区域：untrust-trust

源地址：192.168.1.2

目地地址：any

测试：

此时实现双向双通了，其余地址通过三层通讯都采用此案例：

案例二：

源地址172.16.1.2ping192.168.1.31

数据流如下：

匹配策略

区域：trust-untrust

源地址：any

目的地址：192.168.1.31

测试：

按照设计逻辑发现不通，

分析数据流向和策略；

172.16.1.2ping192.168.1.31时；

设备4发包（源地址172.16.1.2，目的地址为192.168.1.31）；

流量到设备2（源地址172.16.1.2，目的地址为192.168.1.31），在设备上抓包发现没有回包；

流量到达防火墙，在防火墙上查询会话有会话信息，说明设备4发起的流量到达防火墙；

在设备5上做抓包信息查看，根据TCP/IP，二三层转发逻辑，设备4的ping包到达设备5时,设备5根据二层转发逻辑替换源和目的mac，源IP和目的IP不变，从设备再转发到防火墙；

不通原因：

由于源地址172.16.1.2目地地址192.168.1.31的数据到设备5时，设备5会转发给192.168.1.31，但由于192.168.1.31这个地址在防火墙trust区域，所以源地址172.16.1.2目地地址192.168.1.31的流量

会再次转发给防火墙，但是由于防火墙Utrust-trust 这条策略中并没有允许源地址172.16.1.2通过所以防火墙拒绝(源地址172.16.1.2目地地址192.168.1.31区域为Utrust-trust )的流量通过，所以数据不通；

解决方案

修改策略2：

区域：Utrust-trust

源地址：172.16.1.2

目的地址：any

测试：

设备4可以平通设备3了；

不过此时设备3还是不能ping设备4

原因是trust-untrust的策略中允许的目的地址没有允许172.16.1.2 通过，添加地址后即可

测试：

不通原因：

由于源地址172.16.1.2目地地址192.168.1.31的数据到设备5时，设备5会转发给192.168.1.31，但由于192.168.1.31这个地址在防火墙trust区域，所以源地址172.16.1.2目地地址192.168.1.31的流量

会再次转发给防火墙，但是由于防火墙Utrust-trust 这条策略中并没有允许源地址172.16.1.2通过所以防火墙拒绝(源地址172.16.1.2目地地址192.168.1.31区域为Utrust-trust )的流量通过，所以数据不通；

解决方案

修改策略2：

区域：Utrust-trust

源地址：172.16.1.2

目的地址：any