第八章 运行模式.ppt

1、第11章 运行模式,ISSUE 1.1,日期：,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,掌握防火墙的工作模式 掌握防火墙混合模式配置,课程目标,学习完本课程，您应该能够：,工作模式介绍 透明模式基本配置 混合模式基本配置,目录,三种工作模式,内网,外网,实际连线,报文路径,202.110.2.0/24,202.110.2.0/24,防火墙,路由模式 透明模式 混合模式,路由模式,内网,外网,实际连线,报文路径,202.110.2.0/24,202.110.2.0/24,防火墙,路由模式,10.110.1.254,202.110.2.1,透明模式,内网,外网,实际连线,报文路

2、径,202.110.2.0/24,202.110.2.0/24,防火墙,透明模式,透明模式下获取地址表过程(1),工作站A,工作站B,工作站C,工作站D,以太网段1,以太网段2,00e0-fcaa-aaaa,00e0-fcbb-bbbb,00e0-fccc-cccc,00e0-fcdd-dddd,接口1,接口2,透明模式下获取地址表过程(2),工作站A,工作站B,工作站C,工作站D,以太网段1,以太网段2,00e0-fcaa-aaaa,00e0-fcbb-bbbb,00e0-fccc-cccc,00e0-fcdd-dddd,接口1,接口2,透明模式下转发与过滤(1),工作站A,工作站B,工作站

3、C,工作站D,以太网段1,以太网段2,00e0-fcaa-aaaa,00e0-fcbb-bbbb,00e0-fccc-cccc,00e0-fcdd-dddd,接口1,接口2,转发,透明模式下转发与过滤(2),工作站A,工作站B,工作站C,工作站D,以太网段1,以太网段2,00e0-fcaa-aaaa,00e0-fcbb-bbbb,00e0-fccc-cccc,00e0-fcdd-dddd,接口1,接口2,不转发,透明模式下转发与过滤(3),工作站A,工作站B,工作站C,工作站D,以太网段1,以太网段2,00e0-fcaa-aaaa,00e0-fcbb-bbbb,00e0-fccc-cccc,0

4、0e0-fcdd-dddd,接口1,接口2,混合模式,内网,外网,202.110.2.0/24,202.110.2.0/24,防火墙,防火墙,主,备,VRRP,混合模式之网桥原理,网桥交换 接口可加入到网桥中 转发依据网桥表：MAC + 出接口 与交换机转发类似，网桥内数据转发基于网桥表 反向地址学习 网桥路由 BVI接口为网桥内主机的三层网关,混合模式原理,混合模式是基于路由器上的网桥实现 支持路由和桥接功能 支持透明网桥 支持子接口的桥接功能 防火墙透明模式与网桥对比 二层转发流程采用的是网桥转发流程 透明模式是系统IP配置来提供设备管理接口，混合模式是用虚拟接口IP管理； 增加了模式配置

5、和IP地址配置,工作模式介绍 透明模式基本配置 混合模式基本配置,目录,透明模式基本配置,防火墙透明模式的配置包括 ： 配置防火墙的工作模式 配置防火墙的系统IP地址 启动/禁止ARP学习功能 配置对未知目的MAC地址的IP报文的处理方式 配置基于MAC地址的访问控制列表 配置在接口上应用访问控制列表 配置MAC地址转发表的老化时间 配置允许通过的报文类型,工作模式配置,配置防火墙的工作模式,透明模式基本配置,配置防火墙系统IP地址,透明模式基本配置,启动或禁止ARP学习功能,透明模式基本配置,配置对未知目的MAC的IP报文的处理方式,透明模式基本配置,配置基于MAC地址的访问控制列表,透明模

6、式基本配置,在接口上应用访问控制列表,透明模式基本配置,配置MAC地址转发表的老化时间,透明模式基本配置,配置允许通过的报文类型,透明模式基本配置,透明防火墙的显示与调试,透明模式基本配置,透明防火墙的显示与调试(续),透明模式基本配置,透明防火墙的显示与调试(续),工作模式介绍 透明模式基本配置 混合模式基本配置,目录,混合模式命令,增加的桥组配置 使能桥模块 bridge enable 创建一个桥组 bridge 1 enable 接口加入桥组bridge-set 1 创建BVI接口int Bridge-template 1 快转使能 bridge-set fast-forwarding,

7、混合模式应用之一,SecPath F1000-S防火墙部署在公网出口，下联两台核心交换机，两台交换机做冗余备份 组网图,混合模式应用之二,客户端PC，A、C属于VLAN100，客户端PC，B、D属于VLAN200，用来模拟属于不同VLAN的用户，在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式，保证带Tag标记的报文能够透传。 要求,Vlan100,F1000-A,Switch2,A,Switch1,Vlan200,Vlan100,Vlan200,B,C,D,80.1.1.2/24,80.1.1.1/24,90.1.1.2/24,90.1.1.1/24,混合模式应用之二（续）,H

8、3Cfirewall packet-filter default permit/防火墙包过滤默认改为允许 H3Cbridge enable/使能桥组功能 H3Cbridge 1 enable/创建桥组1 H3CinterfaceGigabitEthernet0/0/进入连接g0/0的接口视图 H3C-GigabitEthernet0/0bridge-set 1/将接口g0/0加入到桥组1 H3C-GigabitEthernet0/0bridge vlanid-transparent-transmit enable /使能接口VLAN透传 H3C-GigabitEthernet0/0interface GigabitEthernet0/1 H3C-GigabitEthernet0/1bridge-set 1/将接口g1/0加入到桥组1 H3C-GigabitEthernet0/1bridge vlanid-transparent-transmit enable /使能接口VLAN透传 H3Cfirewall zone trust H3C-zone-trustadd interface GigabitEthernet0/0 H3Cfir