h3cse security课程布署安全防火墙系统培训胶片八章运行模式

第11章运行模式ISSUE1.1日期：杭州华三通信技术有限公司，掌握防火墙的工作模式掌握防火墙混合模式配置课程目标学习完本课程，您应该能够：工作模式介绍透明模式基本配置混合模式基本配置目录三种工作模式内网外网实际连线报文路径202.110.2.0/24202.110.2.0/24防火墙路由模式透明模式混合模式路由模式内网外网实际连线报文路径202.110.2.0/24202.110.2.0/24防火墙路由模式10.110.1.254202.110.2.1透明模式内网外网实际连线报文路径202.110.2.0/24202.110.2.0/24防火墙透明模式透明模式下获取地址表过程(1)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fcbb－bbbb00e0-fcaa-aaaa透明模式下获取地址表过程(2)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fcbb-bbbb00e0-fcaa-aaaaMAC地址端口00e0-fcaa-aaaa100e0-fcbb-bbbb1透明模式下转发与过滤(1)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fccc-cccc00e0-fcaa-aaaaMAC地址端口00e0-fcaa-aaaa100e0-fcbb-bbbb100e0-fccc-cccc200e0-fcdd-dddd2转发透明模式下转发与过滤(2)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fcbb-bbbb00e0-fcaa-aaaaMAC地址端口00e0-fcaa-aaaa100e0-fcbb-bbbb100e0-fccc-cccc200e0-fcdd-dddd2不转发透明模式下转发与过滤(3)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fccc-cccc00e0-fcaa-aaaaMAC地址端口00e0-fcaa-aaaa100e0-fcbb-bbbb1混合模式内网外网202.110.2.0/24202.110.2.0/24防火墙防火墙主备VRRP混合模式之网桥原理网桥交换接口可加入到网桥中转发依据网桥表：MAC+出接口与交换机转发类似，网桥内数据转发基于网桥表反向地址学习网桥路由BVI接口为网桥内主机的三层网关混合模式原理混合模式是基于路由器上的网桥实现支持路由和桥接功能支持透明网桥支持子接口的桥接功能防火墙透明模式与网桥对比二层转发流程采用的是网桥转发流程透明模式是系统IP配置来提供设备管理接口，混合模式是用虚拟接口IP管理；增加了模式配置和IP地址配置工作模式介绍透明模式基本配置混合模式基本配置目录透明模式基本配置防火墙透明模式的配置包括：配置防火墙的工作模式配置防火墙的系统IP地址启动/禁止ARP学习功能配置对未知目的MAC地址的IP报文的处理方式配置基于MAC地址的访问控制列表配置在接口上应用访问控制列表配置MAC地址转发表的老化时间配置允许通过的报文类型

工作模式配置配置防火墙的工作模式操作命令配置防火墙工作在透明模式firewallmodetransparent

配置防火墙工作在路由模式firewallmoderoute

恢复防火墙的工作模式为缺省模式undofirewallmode

透明模式基本配置配置防火墙系统IP地址操作命令配置防火墙系统IP地址firewallsystem-ipsystem-ip-address[address-mask]恢复防火墙的缺省系统IP地址undofirewallsystem-ip

透明模式基本配置启动或禁止ARP学习功能操作命令启动ARP表项自动学习功能firewallarp-learningenable

禁止ARP表项自动学习功能undofirewallarp-learningenable

透明模式基本配置配置对未知目的MAC的IP报文的处理方式操作命令配置对未知目的MAC地址的单播IP报文的处理方式firewallunknown-mac[unicast]{drop|arp|flood}配置对组播和广播IP报文的处理方式firewallunknown-mac{broadcast|multicast}

{drop|flood}恢复对未知目的MAC地址的IP报文的处理方式为缺省值undofirewallunknown-mac[unicast|broadcast|multicast]

透明模式基本配置配置基于MAC地址的访问控制列表操作命令创建访问控制列表并进入ACL视图aclnumber

acl-number

删除访问控制列表undoacl{

numberacl-number|all}创建基于MAC地址的访问控制规则rule[rule-id]{permit|deny}[type

type-codetype-wildcard|lsaplsap-codelsap-wildcard]][source-mac

sour-addrsource-wildcard][dest-mac

dest-addrdest-wildcard]删除基于以太网MAC地址的访问控制规则undorule

rule-id

透明模式基本配置在接口上应用访问控制列表操作命令配置入/出接口方向上应用访问控制列表firewallethernet-frame-filter

acl-number{inbound|outbound}删除入/出接口方向上的访问控制列表undofirewallethernet-frame-filter{inbound|outbound}透明模式基本配置配置MAC地址转发表的老化时间操作命令配置MAC地址转发表的老化时间firewalltransparent-modeaging-time

seconds

恢复MAC地址转发表的老化时间为缺省值undofirewalltransparent-modeaging-time

透明模式基本配置配置允许通过的报文类型操作命令配置允许通过的报文类型firewalltransparent-modetransmit{bpdu|dlsw|ipx}配置拒绝通过的报文类型undofirewalltransparent-modetransmit{bpdu|dlsw|ipx}

透明模式基本配置透明防火墙的显示与调试操作命令显示当前防火墙的工作模式displayfirewallmode

显示以太帧过滤的统计信息displayfirewallethernet-frame-filter{all|interfaceinterface-type

interface-number

}显示透明防火墙的配置信息displayfirewalltransparent-modeconfig

显示透明防火墙的MAC地址表信息displayfirewalltransparent-modeaddress-table[interfaceinterface-type

interface-number

|macmac-address]透明模式基本配置透明防火墙的显示与调试(续)操作命令显示透明防火墙的流量信息displayfirewalltransparent-modetraffic[interfaceinterface-type

interface-number]

打开以太帧过滤的调试开关debuggingfirewalleff[interfaceinterface-type

interface-number]打开透明防火墙的IP报文转发调试开关debuggingfirewalltransparent-modeip-forwarding

清除以太帧的过滤信息resetfirewallethernet-frame-filter{all|interfaceinterface-type

interface-number

}透明模式基本配置透明防火墙的显示与调试(续)操作命令清除MAC地址表中的信息resetfirewalltransparent-modeaddress-table[interfaceinterface-type

interface-number]

清除透明防火墙的流量统计信息resetfirewalltransparent-modetraffic[

interface

interface-typeinterface-number]工作模式介绍透明模式基本配置混合模式基本配置目录混合模式命令增加的桥组配置使能桥模块 bridgeenable创建一个桥组 bridge1enable接口加入桥组 bridge-set1创建BVI接口 intBridge-template1快转使能 bridge-setfast-forwarding

混合模式应用之一SecPathF1000-S防火墙部署在公网出口，下联两台核心交换机，两台交换机做冗余备份组网图混合模式应用之二

客户端PC，A、C属于VLAN100，客户端PC，B、D属于VLAN200，用来模拟属于不同VLAN的用户，在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式，保证带Tag标记的报文能够透传。要求Vlan100F1000-ASwitch2ASwitch1Vlan200Vlan100Vlan200BCD80.1.1.2/2480.1.1.1/2490.1.1.2/2490.1.1.1/24混合模式应用之二（续）[H3C]firewallpacket-filterdefaultpermit //防火墙包过滤默认改为允许[H3C]bridgeenable //使能桥组功能[H3C]bridge1enable //创建桥组1[H3C]interfaceGigabitEthernet0/0 //进入连接g0/0的接口视图[H3C-GigabitEthernet0/0]bridge-set1 //将接口g0/0加入到桥组1[H3C-GigabitEthernet0/0]bridgevlanid-transparent-transmitenable

//使能接口VLAN透传[H3C-GigabitEthernet0/0]interfaceGigabitEthernet0/1 [H3C-GigabitEthernet0/1]bridge-set1 //将接口g1/0加入到桥组1[H3C-GigabitEthernet0/1