h3c防火墙透明模式设置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验V3防火墙基本配置(二层模式)
一、实验目的
了解并熟悉H3C Secpath V3防火墙的两种二层模式配置
二、场景描述
用户在内网有两个网段,在交换机上划分了两个VLAN,在路由器上设置单臂路由,内网用户DHCP获取IP地址,DHCP服务器为MSR路由器。为了安全,用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙,为了不改变网络架构,用户要求将防火墙配置成二层模式。
三、拓扑图
四、配置步骤
基本配置
1. 基本配置:设备命名,先不将防火墙加入网络,保证内网运行正常
2. 将防火墙加入到网络中,进行防火墙的基本配置
3. 将防火墙转换成二层模式,保证内网运行正常
防火墙的配置:
一、基本配置:
1、设备命名,防火墙数据放通,接口加入区域
system
sys F1000-S
firewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permit firewall zone trust //内网口加入trust
add interface g1/0
quit
firewall zone untrust //外网口加入untrust
add interface g2/0
quit
2、将防火墙转换成二层模式:
bridge enable //启用桥接模式
bridge 1 enable //建立一个桥组
int bridge-template 1 //设置管理地址
ip address 192.168.1.100 255.255.255.0
quit
int g1/0 //将接口加入桥组
bridge-set 1
quit
int g2/0
bridge-set 1
quit
firewall zone trust //将桥模板加入区域
add interface bridge-template 1
quit
ip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由
3、放通DHCP报文
bridge 1 firewall unknown-mac flood //未知MAC洪泛
1.1五、查看和测试:
使用dis cu 查看防火墙的配置
使用dis ver 查看防火墙的软件版本
1、在内网PC机上获取IP地址,能否获取到?
2、获取IP地址后,PC能否Ping通网关,能否上公网?
3、内网PC机能否管理F1000-S
1.2附:老版本的二层模式配置:
firewall mode transparent (配置为透明模式)
firewall system-ip 192.168.1.254 255.255.255.0 (这是防火墙的管理IP地址)interface Ethernet2/0(进入WAN口)
promiscuous (配置为透明传输)
quit
interface Ethernet1/0 (进入LAN口)
promiscuous (配置为透明传输)
quit
firewall packet-filter default permit (配置防火墙默认规则)
firewall unknown-mac flood (未知MAC泛洪)