FW013014 SecPath F1000E基本转发配置指导.docx
《FW013014 SecPath F1000E基本转发配置指导.docx》由会员分享,可在线阅读,更多相关《FW013014 SecPath F1000E基本转发配置指导.docx(20页珍藏版)》请在冰豆网上搜索。
FW013014SecPathF1000E基本转发配置指导
实验1SecPath防火墙透明模式配置基础1-1
1.1实验内容与目标1-1
1.2实验组网图1-1
1.3实验设备与版本1-1
1.4实验过程1-2
实验任务:
透明模式下各区域的互通1-2
1.5实验中的命令列表1-3
1.6思考题1-4
实验2SecPath防火墙路由模式配置基础2-4
2.1实验内容与目标2-4
2.2实验组网图2-4
2.3实验设备与版本2-4
2.4实验过程2-5
实验任务:
路由模式下各区域的互通2-5
2.5实验中的命令列表2-12
2.6思考题2-13
实验3SecPath防火墙混合模式配置基础3-13
3.1实验内容与目标3-13
3.2实验组网图3-13
3.3背景需求3-14
3.4实验设备与版本3-14
3.5实验过程3-14
实验任务一:
混合模式下各区域的互通3-14
3.6实验中的命令列表3-15
3.7思考题3-16
实验4SecPath防火墙VLAN透传4-16
4.1实验内容与目标4-16
4.2实验组网图4-16
4.3背景需求4-16
4.4实验设备与版本4-17
4.5实验过程4-17
实验任务:
VLAN透传4-17
4.6实验中的命令列表4-18
4.7思考题4-19
实验1SecPath防火墙透明模式配置基础
1.1实验内容与目标
完成本实验,您应该能够:
●了解以防火墙透明模式工作原理
●掌握防火墙透明模式的基本配置方法
●掌握防火墙透明模式的常用配置命令
1.2实验组网图
图1-1透明模式转发组网图
组网要求说明:
如图:
PC1和PC2分别连在F1000-E防火墙的Ge0/1和Ge0/2接口上,其IP地址分别为10.0.0.1/24和10.0.0.2/24,需要通过F1000-E实现互通。
1.3实验设备与版本
主机:
2台
线缆:
若干
SecPath防火墙:
R3102P10及以上版本
1.4实验过程
实验任务:
透明模式下各区域的互通
步骤一:
命令行配置
命令行配置如下:
#
vlan1
#
vlan100
#
interfaceGigabitEthernet0/1
portlink-modebridge
portaccessvlan100
#
interfaceGigabitEthernet0/2
portlink-modebridge
portaccessvlan100
#
步骤二:
web相关配置
web相关配置如下:
进入WEB管理界面后,单击“系统管理”>>“安全域管理”,编辑trust安全域,将Ge0/1加入该域:
把Ge0/1接口加入trust域
同样的操作,将Ge0/2加入untrust安全域;
然后通过WEB页面配置trust与untrust之间的策略可实现安全过滤。
1.5实验中的命令列表
表1-1命令列表
命令
描述
portlink-modebridge
以太网接口可工作在二层模式(bridge)
portaccessvlan
设置所属Vlan
配置命令介绍:
请参考《20071102-H3CSecPath系列安全产品用户手册(V1.00)》。
1.6思考题
SecPath防火墙透明模式与混合模式的区别在哪里?
实验2SecPath防火墙路由模式配置基础
2.1实验内容与目标
完成本实验,您应该能够:
●了解以防火墙路由模式工作原理
●掌握防火墙路由模式的基本配置方法
●掌握防火墙路由模式的常用配置命令
2.2实验组网图
图2-1路由模式转发组网
组网要求说明:
如图:
PC1和PC2分别连在F1000-E防火墙的Ge0/1和Ge0/2接口上,其IP地址分别为100.0.0.2/24和200.0.0.2/24,需要通过F1000-E实现互通。
F1000-E防火墙的Ge0/1和Ge0/2的接口IP分别为100.0.0.1/24和200.0.0.1/24。
2.3实验设备与版本
主机:
2台
线缆:
若干
SecPath防火墙:
R3102P10及以上版本
2.4实验过程
实验任务:
路由模式下各区域的互通
步骤一:
命令行配置
命令行配置如下:
#
aclnumber2000
rule0permit
#
interfaceGigabitEthernet0/1
portlink-moderoute
ipaddress100.0.0.1255.255.255.0
#
interfaceGigabitEthernet0/2
portlink-moderoute
ipaddress200.0.0.1255.255.255.0
#
步骤二:
web相关配置
web相关配置如下:
将接口Ge0/1和Ge0/2分别添加到Trust和Untrust域
把Ge0/1接口加入trust域
把Ge0/2接口加入untrust域
单击“策略管理”>>“地址转换策略”>>“地址转换”,单击“新建”按钮,在Ge0/2接口上,配置NATOutboundEasy-ip/PAT
配置nat地址转换
在Ge0/2接口上,配置NATServer(以HTTP协议为例)
单击“策略管理”>>“地址转换策略”>>“内部服务器”,单击“新建”按钮,
配置natserver
配置从Untrust域到Trust域的面向对象ACL,允许外网用户访问Trust区的Web服务器)。
单击“对象管理”>>“地址对象”>>“地址对象”,单击“增加”按钮,增加地址对象
增加地址对象
新建地址对象
单击“对象管理”>>“地址对象”>>“地址组对象”,单击“增加”按钮,增加地址组对象,把前面新建的地址对象WebServerAddr加入地址组对象WebServerGroup
增加地址组对象
新建地址组对象
单击“对象管理”>>“服务对象”>>“自定义服务对象”,单击“增加”按钮,增加服务对象
增加自定义服务对象
新建自定义服务对象
单击“对象管理”>>“服务对象”>>“服务组对象”,单击“增加”按钮,增加服务组对象,把前面新建的服务对象WebService加入到服务组对象WebServiceGroup中去
增加服务组对象
新建服务组对象
单击“策略管理”>>“访问控制策略”>>“面向对象ACL”,选择源域为“Untrust”,目的域为“Trust”,单击“增加”按钮,
增加从Untrust域到Trust域的域间策略
新建访问控制列表规则,选择源地址为any_address,目的地址为地址组对象WebServerGroup,服务组对象为WebServiceGroup。
配置从Untrust域到Trust域的域间策略
2.5实验中的命令列表
表2-1命令列表
命令
描述
aclnumber2000
定义ACL过来模板
portlink-moderoute
以太网接口可工作在三层模式(route)
ipaddress
添加接口IP
配置命令介绍:
请参考《20071102-H3CSecPath系列安全产品用户手册(V1.00)》。
2.6思考题
SecPath防火墙混合模式与透明模式的区别在哪里?
实验3SecPath防火墙混合模式配置基础
3.1实验内容与目标
完成本实验,您应该能够:
●了解以防火墙混合模式工作原理
●掌握防火墙混合模式的基本配置方法
●掌握防火墙混合模式的常用配置命令
3.2实验组网图
图3-1混合模式转发组网图
组网要求说明:
如图:
PC1,PC2和PC3分别连在F1000-E防火墙的Ge0/1,Ge0/2和Ge0/3接口上。
PC2和PC3在一个网段10.0.0.0/24,其IP地址分别为10.0.0.2/24和10.0.0.3/24;PC1的地址是20.0.0.2/24,需要通过F1000-E实现互通。
F1000-E防火墙Ge0/1的接口IP为20.0.0.1/24,Ge0/2和Ge0/3所在vlan的vlan-interface的接口IP为10.0.0.1/24。
3.3背景需求
SecPath防火墙支持透明桥组,并同时支持路由和桥接功能。
桥组路由功能提供了一种结合路由和桥接的转发方法。
对于指定的协议数据,如果是在桥组端口之间进行通讯,则进行桥接转发;如果是需要与非桥组组内的网络进行通讯,则可以进行网络协议的路由转发。
3.4实验设备与版本
主机:
3台
线缆:
若干
SecPath防火墙:
R3102P10及以上版本
3.5实验过程
实验任务一:
混合模式下各区域的互通
典型配置:
Ge0/2和Ge0/3接口工作在二层模式下,加入vlan10,vlan10的三层终结为vlan-interface10,Ge0/1接口工作在三层模式下。
步骤一:
命令行下配置
基本配置如下:
#
vlan10
#
interfaceVlan-interface10
ipaddress10.0.0.1255.255.255.0
#
interfaceGigabitEthernet0/1
portlink-moderoute
ipaddress20.0.0.1255.0.0.0
#
interfaceGigabitEthernet0/2
portlink-modebridge
portaccessvlan10
#
interfaceGigabitEthernet0/3
portlink-modebridge
portaccessvlan10
步骤二:
web相关配置
web相关配置如下:
把Ge0/2接口加入trust域,Ge0/3接口加入DMZ域,Ge0/1接口加入untrust域,Vlan-interface10加入trust域。
根据实际组网需要添加untrust域到trust域,untrust域到dmz域,dmz域到trust域的域间策略。
3.6实验中的命令列表
表3-1命令列表
命令
描述
portlink-moderoute/bridge
以太网接口可工作在三层/二层模式(route/bridge)
portaccessvlan
所属的Vlan
配置命令介绍:
请参考《20071102-H3CSecPath系列安全产品用户手册(V1.00)》。
3.7思考题
SecPath防火墙混合模式与透明模式的区别在哪里?
实验4SecPath防火墙VLAN透传
4.1实验内容与目标
完成本实验,您应该能够:
●了解SecPath防火墙VLAN透传的基本工作原理
●掌握SecPath防火墙VLAN透传的配置方法
●掌握SecPath防火墙VLAN透传简单排错方法
4.2实验组网图
图4-1二层Vlan透传组网图
组网要求说明:
如图:
F1000-E防火墙Ge0/2和Ge0/3接口都工作在二层,trunk模式,实现vlan透传,Switch-A和Switch-B和F1000-E连接的接口也工作在trunk模式下,PC1的地址是100.0.0.1/8,PC2的地址是100.0.0.2/8。
此外,要求PC1和PC2能够通过业务vlan远程管理F1000-E。
4.3背景需求
当系统中存在VLAN部署,而VLAN间的通信需要穿过防火墙。
不同的VLAN之间需要进行隔离,而且所有VLAN的防火墙策略(比如配置在接口上的防火墙包过滤)是一样的。
4.4实验设备与版本
主机:
2台
线缆:
若干
防火墙:
SecPath防火墙:
R3102P10及以上版本
交换机:
任意二层交换机两台
4.5实验过程
实验任务:
VLAN透传
步骤一:
命令行配置
命令行配置如下:
#
vlan1
#
vlan2to4094
#
interfaceVlan-interface100
ipaddress100.0.0.5255.0.0.0
#
interfaceGigabitEthernet0/2
portlink-modebridge
portlink-typetrunk
porttrunkpermitvlanall
#
interfaceGigabitEthernet0/3
portlink-modebridge
portlink-typetrunk
porttrunkpermitvlanall
#
Switch-A的配置如下:
#
vlan1
#
vlan2to4094
#
interfaceGigabitEthernet1/0/33
portlink-typetrunk
porttrunkpermitvlanall
#
interfaceGigabitEthernet1/0/34
portaccessvlan100
#
Switch-B的配置如下:
#
vlan1
#
vlan2to4094
#
interfaceGigabitEthernet1/0/13
portlink-typetrunk
porttrunkpermitvlanall
#
interfaceGigabitEthernet1/0/14
portaccessvlan100
#
步骤二:
web相关配置
把Ge0/2和Ge0/3接口(所属VLAN1-4094)分别加入Trust和Untrust安全域,把vlan-interface100加入Trust域
根据实际组网需要添加Trust和Untrust域之间的域间策略
4.6实验中的命令列表
表4-1命令列表
配置命令介绍:
请参考《20071102-H3CSecPath系列安全产品用户手册(V1.00)》。
4.7思考题
1、VLAN透传中的VLANtag是如何处理的?
2、如何在SecPath上实现VLAN间的访问控制?
升级会员 