1、实验 V3防火墙基本配置(二层模式)一、 实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、 场景描述用户在内网有两个网段,在交换机上划分了两个VLAN,在路由器上设置单臂路由,内网用户DHCP获取IP地址,DHCP服务器为MSR路由器。为了安全,用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙,为了不改变网络架构,用户要求将防火墙配置成二层模式。三、拓扑图四、配置步骤基本配置 1. 基本配置:设备命名,先不将防火墙加入网络,保证内网运行正常2. 将防火墙加入到网络中,进行防火墙的基本配置3. 将防火墙转换成二层模式,保证内网运行正常防火墙的配置:一、基本
2、配置:1、设备命名,防火墙数据放通,接口加入区域system sys F1000-Sfirewall packet-filter enable /开通防火墙的包过滤功能firewall packet-filter default permit /包过滤的默认规则为permitfirewall zone trust /内网口加入trustadd interface g1/0quitfirewall zone untrust /外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式:bridge enable /启用桥接模式bridge 1 enable /
3、建立一个桥组int bridge-template 1 /设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 /将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust /将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 /管理IP的路由3、放通DHCP报文 bridge 1 firewall unknown-mac flood /未知MAC洪泛1.
4、1 五、查看和测试:使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址,能否获取到?2、获取IP地址后,PC能否Ping通网关,能否上公网?3、内网PC机能否管理F1000-S1.2 附:老版本的二层模式配置:firewall mode transparent (配置为透明模式) firewall system-ip 192.168.1.254 255.255.255.0 (这是防火墙的管理IP地址)interface Ethernet2/0(进入WAN口)promiscuous (配置为透明传输) quit interface Ethernet1/0 (进入LAN口)promiscuous (配置为透明传输)quitfirewall packet-filter default permit (配置防火墙默认规则)firewall unknown-mac flood (未知MAC泛洪)