《第三章SecPathF1000E二三层转发基本配置.ppt》由会员分享,可在线阅读,更多相关《第三章SecPathF1000E二三层转发基本配置.ppt(22页珍藏版)》请在三一办公上搜索。
1、第三章 SecPathF1000E二三层转发基本配置,ISSUE 1.0,日期:2009.5.15,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,掌握F1000E透明模式、路由模式、混合模式下的组网和配置,课程目标,学习完本课程,您应该能够:,透明模式基本转发透明模式Inline转发二层VLAN透传转发路由模式转发混合模式转发,目录,透明模式普通转发,组网需求:PC1和PC2分别连在F1000-E防火墙的Ge0/1和Ge0/2接口上,其IP地址分别为10.0.0.1/24和10.0.0.2/24,需要通过F1000-E实现互通。,透明模式普通转发,配置方法:将g0/1和g0/2设
2、置成bridge模式将g0/1和g0/2配置成access端口(缺省即是),将两access端口的pvid设置相同(缺省为1)将g0/1和g0/2加入不同的安全区域(如trust、untrust),在区域或区域间配置相关安全策略(ACL、攻击防范等),interface GigabitEthernet0/1 port link-mode bridge port access vlan 100#interface GigabitEthernet0/2 port link-mode bridge port access vlan 100,透明模式普通转发,工作流程不带vlan tag的报文进入防火
3、墙,内部打上vlan 100的标签报文出防火墙时,去掉vlan tag。,透明模式基本转发透明模式Inline转发二层VLAN透传转发路由模式转发混合模式转发,目录,透明模式Inline转发(一),Inline 转发:实现对同一网段主机间的报文进行安全过滤,就是由数据链路层来完成不同VLAN间的通信。组网需求在已存在的两个互通的网络之间实现安全过滤,而又不改原有网络的结构及配置的情况下,可以考虑用 inline 转发,高端防火墙 F1000E及SecbladeII插卡的外部管理口支持二层INLINE转发。,透明模式Inline转发(二),配置方法用户通过配置直接指定从某接口入的报文从特定接口出
4、,将两个二层的端口划为同一 inline 转发组即可实现报文透传。INLINE转发只支持二层接口,不支持逻辑接口,包括子接口;工作流程报文转发不再根据MAC表进行,而是根据用户已经配置好的一组配对接口进行转发,发送到设备的报文从其中一个接口进入后从另一个接口转发出去。,透明模式基本转发透明模式Inline转发二层VLAN透传转发路由模式转发混合模式转发,目录,二层VLAN透传转发(一),组网需求:Switch-A和Switch-B和F1000-E连接的接口工作在trunk模式下,出交换机时带相同的VLAN TAG。F1000-E防火墙Ge0/2和Ge0/3接口都工作在二层,实现vlan透传。P
5、C1的地址是100.0.0.1/8,PC2的地址是100.0.0.2/8。,二层VLAN透传转发(二),配置方法:将g0/2和g0/3设置成bridge模式将g0/2和g0/3配置成trunk端口,允许业务vlan通过将g0/2和g0/3加入不同的安全区域(如trust、untrust),在区域或区域间配置相关安全策略(ACL、攻击防范等),interface GigabitEthernet0/2 port link-mode bridge port link-type trunk port trunk permit vlan all#interface GigabitEthernet0/3
6、port link-mode bridge port link-type trunk port trunk permit vlan all,透明模式基本转发透明模式Inline转发二层VLAN透传转发路由模式转发混合模式转发,目录,路由模式转发(一),组网需求:PC1和PC2分别连在F1000-E防火墙的Ge0/1和Ge0/2接口上,其IP地址分别为100.0.0.2/24和200.0.0.2/24,需要通过F1000-E实现互通。F1000-E防火墙的Ge0/1和Ge0/2的接口IP分别为100.0.0.1/24和200.0.0.1/24。,路由模式转发(二),配置方法:将g0/1和g0/2
7、设置成route模式(缺省即是)在g0/1和g0/2配置相应的IP地址将g0/1和g0/2加入不同的安全区域(如trust、untrust),在区域或区域间配置相关安全策略(ACL、攻击防范等),interface GigabitEthernet0/1 port link-mode routeip address 100.0.0.1 255.255.255.0#interface GigabitEthernet0/2 port link-mode routeip address 200.0.0.1 255.255.255.0#,透明模式基本转发透明模式Inline转发二层VLAN透传转发路由模
8、式转发混合模式转发,目录,混合模式转发(一),组网需求:PC1、PC2和PC3分别连在F1000-E防火墙的Ge0/1,Ge0/2和Ge0/3接口上。PC2和PC3在一个网段10.0.0.0/24,其IP地址分别为10.0.0.2/24和10.0.0.3/24;PC1的地址是20.0.0.2/24,需要通过F1000-E实现互通。F1000-E防火墙Ge0/1的接口IP为20.0.0.1/24,Ge0/2和Ge0/3所在vlan的vlan-interface的接口IP为10.0.0.1/24。,混合模式转发(二),配置方法:将g0/1设置成route模式(缺省即是),配置IP地址将g0/2和g
9、0/3设置成bridge模式,此两access接口的pvid配置成相同的vlan10配置vlan-interface 10 作为g0/2和g0/3 vlan10的终结将g0/1、g0/2和g0/3加入不同的安全区域(如trust、untrust),在区域或区域间配置相关安全策略(ACL、攻击防范等),混合模式转发(三),配置举例:#vlan 10#interface Vlan-interface10 ip address 10.0.0.1 255.255.255.0#interface GigabitEthernet0/1 port link-mode routeip address 20.0
10、.0.1 255.0.0.0#interface GigabitEthernet0/2 port link-mode bridge port access vlan 10#interface GigabitEthernet0/3 port link-mode bridge port access vlan 10#,混合模式转发(四),注意事项:从Ge0/2接口进入F1000-E防火墙,经过vlan-interface10,从Ge0/1转发出去的报文,其入安全域由Ge0/2接口所在安全域确定,和vlan-interface10所在安全域无关,报文出安全域由Ge0/1接口所在安全域确定。从Ge0/3接口进入防火墙的报文也是同样处理。从F1000-E本机发起的在vlan-interface10网段里的广播和多播报文(如rip或者ospf的协议报文),其报文的出安全域由vlan-interface10所在安全域确定,因此必须要把vlan-interface10加入一个安全域,否则这些报文无法发出。,介绍F1000E透明模式、路由模式、混合模式下的组网和配置,本章总结,
