V3防火墙基本配置

1、实验 V3防火墙基本配置（二层模式）实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内 网用户DHCP获取IP地址，DHCP服务器为MSR路由器。为了安全，用户现在在内网交 换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配 置成二层模式。三、拓扑图nternetMSR 20VLANAVLAN20S3100F1000-S四、配置步骤基本配置基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常将防火墙加入到网络中，进行防火墙的基本配置将防火墙转换

2、成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable开通防火墙的包过滤功能firewall packet-filter default permit/包过滤的默认规则为 permitfirewall zone trust内网口加入 trustadd interface g1/0quitfirewall zone untrust外网口加入 untrustadd interface g2/0 quit启用桥接模式建立一个桥组设置管理地址ip address 19

3、2.168.1.100 255.255.255.0 quit int g1/0 bridge-set 1 quit int g2/0 bridge-set 1 quit firewall zone trust add interface bridge-template 1 quit ip route 0.0.0.0 0.0.0.0 192.168.1.13、放通DHCP报文将接口加入桥组将桥模板加入区域管理ip的路由2、将防火墙转换成二层模式： bridge enable bridge 1 enable int bridge-template 1bridge 1 firewall unknow

4、n-mac flood/未矢口 MAC 洪泛1.1 五、查看和测试:使用dis cu使用dis ver查看防火墙的配置 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网?3、内网PC机能否管理F1000-S1.2六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对 内网S3100交换机有什么特殊要求？1.3附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理 IP 地址） interface Ethernet2/0 （进入 WAN 口） promiscuous（配置为透明传输）quitinterface Ethernet1/0 （进入 LAN 口）promiscuous（配置为透明传输）quitfirewall packet