欢迎user
02-FIREWALL路由模式配置举例
本章节下载 (98.76 KB)
软件版本:S9500-CMW310-R1628版本及以后升级版本(R2126及以上版本不支持)
硬件版本: LSB1FW8DB0、LSB2FW8DB0
Firewall在缺省默认情况下不转发任何报文,需要执行命令firewall packet-filter default permit使其默认转发;
如图3-1所示,假设Firewall单板位于S9500的4号槽,防火墙工作在路由模式下,内网主机的网关全部都在FW上,外网主机网关也在防火墙上,在这种方式下,S9500交换机可以不配置任何三层接口,当作纯粹的二层设备来用,所有的三层转发都交由FW来完成。
图3-1 Firewall路由模式典型组网图
# 添加内网VLAN50和外网VLAN60。
<S9500> system-view
[S9500] vlan 50
[S9500-vlan50] port E2/1/2
[S9500] vlan 60
[S9500-vlan60] port E3/1/3
# 设置SecBlade模块,配置内网VLAN 50和外网VLAN60为安全VLAN。
[S9500] secblade module test
[S9500-secblade-test] security-vlan 50 60
[S9500-secblade-test] map to slot 4
# 进入SecBlade视图,配置子接口,并且把子接口加入相应的区域(缺省用户名和密码为SecBlade,区分大小写)。
<S9500> secblade slot 4
user:SecBlade
password:SecBlade
<SecBlade_FW> system-view
# SecBlade视图下配置防火墙工作模式为路由模式,把接口配置相应的IP地址并加入相应的区域。
[SecBlade_FW] firewall mode route
[SecBlade_FW] interface g0/0.50
[SecBlade_FW-GigabitEthernet0/0.50] ip address 50.1.1.254 24
[SecBlade_FW-GigabitEthernet0/0.50] vlan-type dot1q vid 50
[SecBlade_FW] interface GigabitEthernet 0/0.60
[SecBlade_FW-GigabitEthernet0/0.60] ip address 60.1.1.254 24
[SecBlade_FW-GigabitEthernet0/0.60] vlan-type dot1q vid 60
[SecBlade_FW] firewall zone trust
[SecBlade_FW-zone-trust] add interface GigabitEthernet 0/0.50
[SecBlade_FW] firewall zone untrust
[SecBlade_FW-zone-untrust] add interface GigabitEthernet 0/0.60
#
vlan 50
#
vlan 60
#
interface Ethernet2/1/2
port access vlan 50
#
interface Ethernet3/1/3
port access vlan 60
#
secblade module test
security-vlan 50 60
map to slot 4
# 进入SecBlade视图(缺省用户名和密码为SecBlade,区分大小写)。
secblade slot 4
user:SecBlade
password:SecBlade
system
# 配置防火墙工作模式。
firewall mode route
# 配置子接口以及区域。
interface g0/0.50
vlan-type dot1q vid 50
ip address 50.1.1.254 24
quit
interface GigabitEthernet 0/0.60
vlan-type dot1q vid 60
ip address 60.1.1.254 24
quit
firewall zone trust
add interface GigabitEthernet 0/0.50
quit
firewall zone untrust
add interface GigabitEthernet 0/0.60
quit
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!