USG 防火墙透明模式配置方法

USG 防火墙透明模式配置方法
USG接口工作在二层模式（透明模式）
USG采用此组网接入上下行网络，无须改变原有网络的拓扑结构，也不需要重新分配额外的业务地址。

组网需求
USG作为安全设备被部署在业务节点上，上行设备是路由器，下行设备为交换机，业务接口工作在交换模式下。

组网图如图1所示，网络规划如下：
∙内部网络的网段地址为192.168.1.0/24，与USG的GigabitEthernet 0/0/1接口相连，部署在trust区域。

∙外部网络与USG的GigabitEthernet 0/0/2接口相连，部署在Untrust区域。

∙USG的管理地址为192.168.1.2/24
图1 业务接口工作在二层，上下行连接交换机的组网图
配置思路
G接口GigabitEthernet 0/0/1和GigabitEthernet 0/0/2均工作在交换模式，分别
加入不同的安全区域。

2.在USG上创建VLANif接口，配置管理ip地址为192.168.0.1。

3.在USG上配置到路由器的默认路由。

4.在USG上配置Trust区域和Untrust区域的域间包过滤规则。

操作步骤
1.在USG上完成以下基本配置。

# 配置GigabitEthernet 0/0/1工作在交换模式。

<USG_A> system-view
[USG_A] interface GigabitEthernet 0/0/1
[USG_A-GigabitEthernet0/0/1] portswitch
[USG_A-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/1加入Trust区域。

[USG_A] firewall zone trust
[USG_A-zone-trust] add interface GigabitEthernet 0/0/1
[USG_A-zone-trust] quit
# 配置GigabitEthernet 0/0/2工作在交换模式。

[USG_A] interface GigabitEthernet 0/0/2
[USG_A-GigabitEthernet0/0/2] portswitch
[USG_A-GigabitEthernet0/0/2] quit
# 配置GigabitEthernet 0/0/2加入Untrust区域。

[USG_A] firewall zone untrust
[USG_A-zone-untrust] add interface GigabitEthernet 0/0/2 [USG_A-zone-untrust] quit
2.# 配置USG的管理IP地址。

[USG_A] interface vlianif 1
[USG_A-GigabitEthernet0/0/1] ip address 192.168.0.2 24 [USG_A-GigabitEthernet0/0/1] quit
[USG_A] firewall zone untrust
[USG_A-zone-untrust] add interface vlanif 1
3.# 配置USG到路由器的默认路由。

[USG_A] ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
4.# 默认放开所有区域之间包过滤。

[USG_A]firewall packet-filter default permit all。