文档介绍:实验 V3防火墙基本配置(二层模式)
实验目的
了解并熟悉H3C Secpath V3防火墙的两种二层模式配置
二、场景描述
用户在内网有两个网段,在交换机上划分了两个VLAN,在路由器上设置单臂路由,内 网用户DHCP获取IP地址实验 V3防火墙基本配置(二层模式)
实验目的
了解并熟悉H3C Secpath V3防火墙的两种二层模式配置
二、场景描述
用户在内网有两个网段,在交换机上划分了两个VLAN,在路由器上设置单臂路由,内 网用户DHCP获取IP地址,DHCP服务器为MSR路由器。为了安全,用户现在在内网交 换机和路由器之间增加了一个F1000-S防火墙,为了不改变网络架构,用户要求将防火墙配 置成二层模式。
三、拓扑图
nternet
MSR 20
VLANA
■VLAN20
S3100
F1000-S
四、配置步骤
基本配置
基本配置:设备命名,先不将防火墙加入网络,保证内网运行正常
将防火墙加入到网络中,进行防火墙的基本配置
将防火墙转换成二层模式,保证内网运行正常
防火墙的配置:
一、基本配置:
1、设备命名,防火墙数据放通,接口加入区域
system
sys F1000-S
firewall packet-filter enable 〃开通防火墙的包过滤功能
firewall packet-filter default permit //包过滤的默认规则为 permit
firewall zone trust 〃内网口加入 trust
add interface g1/0
quit
firewall zone untrust 〃外网口加入 untrust
add interface g2/0 quit
〃启用桥接模式
〃建立一个桥组
〃设置管理地址
ip address quit int g1/0 bridge-set 1 quit int g2/0 bridge-set 1 quit firewall zone trust add interface bridge-template 1 quit ip route
3、 放通DHCP报文
〃将接口加入桥组
〃将桥模板加入区域
〃管理ip的路由
2、 将防火墙转换成二层模式: bridge enable bridge 1 enable int bridge-template 1
bridge 1 firewall unknown-mac flood //未矢口 MAC 洪泛
五、查看和测试:
使用dis cu
使用dis ver
查看防火墙的配置 查看防火墙的软件