• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S9500 产品配置举例-RELEASE1628及以上版本(V1.21)

02-FIREWALL路由模式配置举例

本章节下载  (98.76 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S9500/S9500/Configure/Typical_Configuration_Example/S9500_1628_Typical_Configuration_Example(V1.21)/200711/318134_30005_0.htm

02-FIREWALL路由模式配置举例

  录

1 适用版本... 1

2 注意事项... 1

3 配置举例... 1

3.1 组网需求... 1

3.2 组网图... 2

3.3 配置过程... 2

3.4 完整配置... 3


 

Firewall路由模式配置举例

1   适用版本

软件版本:S9500-CMW310-R1628版本及以后升级版本(R2126及以上版本不支持)

硬件版本: LSB1FW8DB0、LSB2FW8DB0

2   注意事项

Firewall在缺省默认情况下不转发任何报文,需要执行命令firewall packet-filter default permit使其默认转发;

3   配置举例

3.1  组网需求

图3-1所示,假设Firewall单板位于S9500的4号槽,防火墙工作在路由模式下,内网主机的网关全部都在FW上,外网主机网关也在防火墙上,在这种方式下,S9500交换机可以不配置任何三层接口,当作纯粹的二层设备来用,所有的三层转发都交由FW来完成。

3.2  组网图

图3-1 Firewall路由模式典型组网图

3.3  配置过程

# 添加内网VLAN50和外网VLAN60。

<S9500> system-view

[S9500] vlan 50

[S9500-vlan50] port E2/1/2

[S9500] vlan 60

[S9500-vlan60] port E3/1/3

# 设置SecBlade模块,配置内网VLAN 50和外网VLAN60为安全VLAN

[S9500] secblade module test

[S9500-secblade-test] security-vlan 50 60

[S9500-secblade-test] map to slot 4

# 进入SecBlade视图,配置子接口,并且把子接口加入相应的区域(缺省用户名和密码为SecBlade,区分大小写)。

<S9500> secblade slot 4

user:SecBlade

password:SecBlade

<SecBlade_FW> system-view

# SecBlade视图下配置防火墙工作模式为路由模式,把接口配置相应的IP地址并加入相应的区域。

[SecBlade_FW] firewall mode route

[SecBlade_FW] interface g0/0.50

[SecBlade_FW-GigabitEthernet0/0.50] ip address 50.1.1.254 24

[SecBlade_FW-GigabitEthernet0/0.50] vlan-type dot1q vid 50

[SecBlade_FW] interface GigabitEthernet 0/0.60

[SecBlade_FW-GigabitEthernet0/0.60] ip address 60.1.1.254 24

[SecBlade_FW-GigabitEthernet0/0.60] vlan-type dot1q vid 60

[SecBlade_FW] firewall zone trust

[SecBlade_FW-zone-trust] add interface GigabitEthernet 0/0.50

[SecBlade_FW] firewall zone untrust

[SecBlade_FW-zone-untrust] add interface GigabitEthernet 0/0.60

3.4  完整配置

#

vlan 50

#

vlan 60

#

interface Ethernet2/1/2

 port access vlan 50

#

interface Ethernet3/1/3

 port access vlan 60

#

secblade module test

security-vlan 50 60

map to slot 4

# 进入SecBlade视图(缺省用户名和密码为SecBlade,区分大小写)。

secblade slot 4

user:SecBlade

password:SecBlade

system

# 配置防火墙工作模式。

firewall mode route

# 配置子接口以及区域。

interface g0/0.50

vlan-type dot1q vid 50

ip address 50.1.1.254 24

quit

interface GigabitEthernet 0/0.60

vlan-type dot1q vid 60

ip address 60.1.1.254 24

quit

firewall zone trust

add interface GigabitEthernet 0/0.50

quit

firewall zone untrust

add interface GigabitEthernet 0/0.60

quit

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们