FW013014SecPathF1000E基本转发配置指导

TOC\o"1-5"\h\z\o"CurrentDocument"实验1SecPath防火墙透明模式配置基础 1-1\o"CurrentDocument"1.1实验内容与目标 1-1\o"CurrentDocument"1.2实验组网图 1-1\o"CurrentDocument"1.3实验设备与版本 1-1\o"CurrentDocument"1.4实验过程 1-2实验任务：透明模式下各区域的互通 1-2\o"CurrentDocument"1.5实验中的命令列表 1-3\o"CurrentDocument"1.6思考题 1-4\o"CurrentDocument"实验2SecPath防火墙路由模式配置基础 2-4\o"CurrentDocument"2.1实验内容与目标 2-4\o"CurrentDocument"2.2实验组网图 2-4\o"CurrentDocument"2.3实验设备与版本 2-4\o"CurrentDocument"2.4实验过稈 2-5实验任务：路由模式下各区域的互通 2-5\o"CurrentDocument"2.5实验中的命令列表 2-12\o"CurrentDocument"2.6思考题 2-13\o"CurrentDocument"实验3SecPath防火墙混合模式配置基础 3-13\o"CurrentDocument"3.1实验内容与目标 3-13\o"CurrentDocument"3.2实验组网图 3-13\o"CurrentDocument"3.3背景需求 3-14\o"CurrentDocument"3.4实验设备与版本 3-14\o"CurrentDocument"3.5实验过程 3-14实验任务一：混合模式下各区域的互通 3-14\o"CurrentDocument"3.6实验中的命令列表 3-15\o"CurrentDocument"3.7思考题 3-16\o"CurrentDocument"实验4SecPath防火墙VLAN透传 4-16\o"CurrentDocument"实验内容与目标 4-16\o"CurrentDocument"实验组网图 4-16\o"CurrentDocument"4.3背景需求 4-16\o"CurrentDocument"4.4实验设备与版本 4-17\o"CurrentDocument"4.5实验过稈 4-17实验任务：VLAN透传 4-17\o"CurrentDocument"4.6实验中的命令列表 4-18\o"CurrentDocument"4.7思考题 4-19实验1SecPath防火墙透明模式配置基础1.1实验内容与目标完成本实验，您应该能够：•了解以防火墙透明模式工作原理•掌握防火墙透明模式的基本配置方法•掌握防火墙透明模式的常用配置命令1.2实验组网图图1-1透明模式转发组网图组网要求说明：如图：PC1和PC2分别连在F1OOO-E防火墙的GeO/1和GeO/2接口上，其IP地址分别为/24和/24，需要通过F1000-E实现互通。1.3实验设备与版本主机：2台线缆：若干SecPath防火墙：R3102P10及以上版本1.4实验过程实验任务：透明模式下各区域的互通步骤一：命令行配置命令行配置如下：#vlan1#vlan100#interfaceGigabitEthernet0/1portlink-modebridgeportaccessvlan100#interfaceGigabitEthernet0/2portlink-modebridgeportaccessvlan100#步骤二：web相关配置web相关配置如下：进入WEB管理界面后，单击“系统管理”>>“安全域管理”，编辑trust安全域，将GeO/1加入该域：修改安全域ID:I2域名:|Trust忧先级：|05(1-1003艾享：|No二|虚拟设备:|Root所输入的鹉荊围应加,"及"-琏接』例如；3,5-10星号D为必须埴写项确定I取消|把GeO/1接口加入trust域同样的操作，将Ge0/2加入untrust安全域；然后通过WEB页面配置trust与untrust之间的策略可实现安全过滤。实验中的命令列表表1-1命令列表命令描述portlink-modebridge以太网接口可工作在二层模式(bridge)portaccessvlan设置所属Vlan配置命令介绍：请参考《20071102-H3CSecPath系列安全产品用户手册(V1.00)》。1.6思考题SecPath防火墙透明模式与混合模式的区别在哪里?

实验2SecPath防火墙路由模式配置基础2.1实验内容与目标完成本实验，您应该能够：•了解以防火墙路由模式工作原理•掌握防火墙路由模式的基本配置方法•掌握防火墙路由模式的常用配置命令2.2实验组网图GeO/1/2GeO/2/24F1000-EGeO/1/2GeO/2/24图2-2路由模式转发组网组网要求说明：如图：PC1和PC2分别连在F1000-E防火墙的Ge0/1和Ge0/2接口上，其IP地址分别为/24和/24,需要通过F1000-E实现互通。F1000-E防火墙的Ge0/1和Ge0/2的接口IP分别为/24和/24。2.3实验设备与版本主机：2台线缆：若干SecPath防火墙：R3102P10及以上版本2.4实验过程实验任务：路由模式下各区域的互通步骤一：命令行配置命令行配置如下：#aclnumber2000rule0permit#interfaceGigabitEthernet0/1portlink-moderouteipaddress#interfaceGigabitEthernet0/2portlink-moderouteipaddress#步骤二：web相关配置web相关配置如下：将接口Ge0/1和Ge0/2分别添加到Trust和Untrust域修改安全域星号〔料为必须埴写项确走|取消|把Ge0/1接口加入trust域ID:或名:|Untrust忧先级；|5 (1-1003共享：|NoT虚拟设备：|Root接口；星号〔乍尙必须埴写项确定|取消|

把GeO/2接口加入untrust域

单击“策略管理”>>“地址转换策略”>>“地址转换”，单击“新建”按钮，在Ge0/2接口上，配置NATOutboundEasy-ip/PAT在GeO/2接口上，配置NATServer（以HTTP协议为例）单击“策略管理”>>“地址转换策略”>>“内部服务器”，单击“新建”按钮接口：接口：|GigabitEthernetO/2仲N实例:13协边类型：6(TCP)3外制F地址：00确定|取消|配己置natserver配置从Untrust域到Trust域的面向对象ACL,允许外网用户访问Trust区的Web服务器）。单击“对象管理”>>“地址对象”>>“地址对象”，单击“增加”按钮，增加地址对象

单击“对象管理”>>“地址对象”>>“地址组对象”，单击“增加”按钮，增加地址组对象，把前面新建的地址对象WebServerAddr加入地址组对象WebServerGroup新淫地址组对象组对象名称:WebSen/erGro叩=新淫地址组对象组对象名称:WebSen/erGro叩=（1-31字符）地址组成员webserveraddr确走I返回新建地址组对象单击“对象管理”>>“服务对象”>>“自定义服务对象”，单击“增加”按钮，增加服务对象新逹自运义服务对象新建自定义服务对象单击“对象管理”>>“服务对象”>>“服务组对象”，单击“增加”按钮，增加服务组对象，把前面新建的服务对象WebService加入到服务组对象WebServiceGroup中去服务组成员可坤服勢组成员websenri匚服务组成员可坤服勢组成员websenri匚rwebsen/icebgpchargencmddaytimedhcp-relaydis；card_tcpfirgerftPftp-getftp-putgopherhttphttpsicnnp-address-mask确是I返回新建服务组对象单击“策略管理”>>“访问控制策略”>>“面向对象ACL”，选择源域为“Untrust”，目的域为“Trust”，单击“增加”按钮，Untrust二1目的或|Trust二查询J目的执行UPN实濾地址目的地址服务爼时间段过濾日志操作域域顺序例爼对象爼对象 对象对象动作功能増加|增加从Untrust域到Trust域的域间策略新建访问控制列表规则，选择源地址为any_address，目的地址为地址组对象WebServerGroup，服务组对象为WebServiceGroup。

实验中的命令列表表2-2命令列表命令描述aclnumber2000定义ACL过来模板portlink-moderoute以太网接口可工作在三层模式(route)ipaddress添加接口IP配置命令介绍：请参考《20071102-H3CSecPath系列安全产品用户手册(V1.00)》。2.6思考题SecPath防火墙混合模式与透明模式的区别在哪里?

实验3SecPath防火墙混合模式配置基础3.1实验内容与目标完成本实验，您应该能够：•了解以防火墙混合模式工作原理•掌握防火墙混合模式的基本配置方法•掌握防火墙混合模式的常用配置命令3.2实验组网图PC1Vlan-lnterface1O/24GeO//24GeO//24GeO/2Ge0/3PC2Ge0/3图3-3混合模式转发组网图组网要求说明：如图：PC1，PC2和PC3分别连在F1000-E防火墙的Ge0/1，Ge0/2和Ge0/3接口上。PC2和PC3在一个网段/24,其IP地址分别为/24和/24；PC1的地址是/24，需要通过F1000-E实现互通。F1000-E防火墙Ge0/1的接口IP为/24，Ge0/2和Ge0/3所在vlan的vlan-interface的接口IP为/24。3.3背景需求SecPath防火墙支持透明桥组，并同时支持路由和桥接功能。桥组路由功能提供了一种结合路由和桥接的转发方法。对于指定的协议数据，如果是在桥组端口之间进行通讯，则进行桥接转发；如果是需要与非桥组组内的网络进行通讯，则可以进行网络协议的路由转发。3.4实验设备与版本主机：3台线缆：若干SecPath防火墙：R3102P10及以上版本3.5实验过程实验任务一：混合模式下各区域的互通典型配置：Ge0/2和Ge0/3接口工作在二层模式下，加入vlan10,vlan10的三层终结为vlan-interface10，Ge0/1接口工作在三层模式下。步骤一：命令行下配置基本配置如下：#vlan10#interfaceVlan-interface10ipaddress#interfaceGigabitEthernet0/1portlink-moderouteipaddress#interfaceGigabitEthernet0/2portlink-modebridgeportaccessvlan10#interfaceGigabitEthernet0/3portlink-modebridgeportaccessvlan10步骤二：web相关配置web相关配置如下：把GeO/2接口加入trust域，GeO/3接口加入DMZ域，GeO/1接口加入untrust域，Vian-interfacelO加入trust域。根据实际组网需要添加untrust域到trust域，untrust域到dmz域，dmz域到trust域的域间策略。实验中的命令列表表3-3命令列表命令描述portlink-moderoute/bridge以太网接口可工作在三层/二层模式(route/bridge)portaccessvlan所属的Vlan配置命令介绍：请参考《20071102-H3CSecPath系列安全产品用户手册(V1.00)》。3.7思考题SecPath防火墙混合模式与透明模式的区别在哪里?实验4SecPath防火墙VLAN透传4.1实验内容与目标完成本实验，您应该能够：了解SecPath防火墙VLAN透传的基本工作原理掌握SecPath防火墙VLAN透传的配置方法掌握SecPath防火墙VLAN透传简单排错方法4.2实验组网图Switch-AF1000-ESwitch-B组网要求说明：如图：F1000-E防火墙Ge0/2和Ge0/3接口都工作在二层，trunk模式，实现vlan透传，Switch-A和Switch-B和F1000-E连接的接口也工作在trunk模式下，PC1的地址是/8，PC2的地址是/8。此外，要求PC1和PC2能够通过业务vlan远程管理F1000-E。4.3背景需求当系统中存在VLAN部署，而VLAN间的通信需要穿过防火墙。不同的VLAN之间需要进行隔离，而且所有VLAN的防火墙策略（比如配置在接口上的防火墙包过滤）是一样的。4.4实验设备与版本主机：2台线缆：若干防火墙：SecPath防火墙：R3102P10及以上版本交换机：任意二层交换机两台4.5实验过程实验任务：VLAN透传步骤一：命令行配置命令行配置如下：#vlan1#vlan2to4094#interfaceVlan-interface100ipaddress#interfaceGigabitEthernet0/2portlink