第三章_SecPath_F1000E二三层转发基本配置.ppt

第三章 secpathf1000e二三层转发基本配置 issue 1.0 日期：2009.5.15 杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播 2 n 掌握f1000e透明模式、路由模式、 混合模式下的组网和配置 课程目标 学习完本课程，您应该能够： n 透明模式基本转发 n 透明模式inline转发 n 二层vlan透传转发 n 路由模式转发 n 混合模式转发 目录 4 透明模式普通转发 l组网需求： pc1和pc2分别连在f1000-e防火墙的ge0/1和ge0/2接口上， 其ip地址分别为/24和/24，需要通过f1000-e实 现互通。 5 透明模式普通转发 l 配置方法： 将g0/1和g0/2设置成bridge模式 将g0/1和g0/2配置成access端口（缺省即是），将两 access端口的pvid设置相同（缺省为1） 将g0/1和g0/2加入不同的安全区域（如trust、untrust ），在区域或区域间配置相关安全策略（acl、攻击防 范等） interface gigabitethernet0/1 port link-mode bridge port access vlan 100 # interface gigabitethernet0/2 port link-mode bridge port access vlan 100 6 透明模式普通转发 l 工作流程 不带vlan tag的报文进入防火墙，内部打上vlan 100的 标签 报文出防火墙时，去掉vlan tag。 n 透明模式基本转发 n 透明模式inline转发 n 二层vlan透传转发 n 路由模式转发 n 混合模式转发 目录 8 透明模式inline转发（一） linline 转发： 实现对同一网段主机间的报文进行安全过滤，就是由数据链路层 来完成不同vlan间的通信。 l组网需求 在已存在的两个互通的网络之间实现安全过滤，而又不改原有网 络的结构及配置的情况下，可以考虑用 inline 转发，高端防火 墙 f1000e及secbladeii插卡的外部管理口支持二层inline转发 。 9 透明模式inline转发（二） l配置方法 用户通过配置直接指定从某接口入的报文从特定接口出，将两个 二层的端口划为同一 inline 转发组即可实现报文透传。inline 转发只支持二层接口，不支持逻辑接口，包括子接口； l工作流程 报文转发不再根据mac表进行，而是根据用户已经配置好的一 组配对接口进行转发，发送到设备的报文从其中一个接口进入后 从另一个接口转发出去。 n 透明模式基本转发 n 透明模式inline转发 n 二层vlan透传转发 n 路由模式转发 n 混合模式转发 目录 11 二层vlan透传转发（一） l组网需求： switch-a和switch-b和f1000-e连接的接口工作在trunk模式下 ，出交换机时带相同的vlan tag。f1000-e防火墙ge0/2和 ge0/3接口都工作在二层，实现vlan透传。pc1的地址是 /8，pc2的地址是/8。 12 二层vlan透传转发（二） l 配置方法： 将g0/2和g0/3设置成bridge模式 将g0/2和g0/3配置成trunk端口，允许业务vlan通过 将g0/2和g0/3加入不同的安全区域（如trust、untrust ），在区域或区域间配置相关安全策略（acl、攻击防 范等） interface gigabitethernet0/2 port link-mode bridge port link-type trunk port trunk permit vlan all # interface gigabitethernet0/3 port link-mode bridge port link-type trunk port trunk permit vlan all n 透明模式基本转发 n 透明模式inline转发 n 二层vlan透传转发 n 路由模式转发 n 混合模式转发 目录 14 路由模式转发（一） l组网需求： pc1和pc2分别连在f1000-e防火墙的ge0/1和ge0/2接口上， 其ip地址分别为/24和/24，需要通过f1000-e 实现互通。f1000-e防火墙的ge0/1和ge0/2的接口ip分别为 /24和/24。 15 路由模式转发（二） l 配置方法： 将g0/1和g0/2设置成route模式（缺省即是） 在g0/1和g0/2配置相应的ip地址 将g0/1和g0/2加入不同的安全区域（如trust、untrust ），在区域或区域间配置相关安全策略（acl、攻击防 范等） interface gigabitethernet0/1 port link-mode route ip address # interface gigabitethernet0/2 port link-mode route ip address # n 透明模式基本转发 n 透明模式inline转发 n 二层vlan透传转发 n 路由模式转发 n 混合模式转发 目录 17 混合模式转发（一） l组网需求： pc1、pc2和pc3分别连在f1000-e防火墙的ge0/1，ge0/2和 ge0/3接口上。pc2和pc3在一个网段/24，其ip地址分 别为/24和/24；pc1的地址是/24，需要 通过f1000-e实现互通。f1000-e防火墙ge0/1的接口ip为 /24，ge0/2和ge0/3所在vlan的vlan-interface的接口ip 为/24。 18 混合模式转发（二） l 配置方法： 将g0/1设置成route模式（缺省即是），配置ip地址 将g0/2和g0/3设置成bridge模式，此两access接口的 pvid配置成相同的vlan10 配置vlan-interface 10 作为g0/2和g0/3 vlan10的终结 将g0/1、g0/2和g0/3加入不同的安全区域（如trust、 untrust），在区域或区域间配置相关安全策略（acl、 攻击防范等） 19 混合模式转发（三） l 配置举例： # vlan 10 # interface vlan-interface10 ip address # interface gigabitethernet0/1 port link-mode route ip address # interface gigabitethernet0/2 port link-mode bridge port access vlan 10 # interface gigabitethernet0/3 port link-mode bridge port access vlan 10 # 20 混合模式转发（四） l 注意事项： 从ge0/2接口进入f1000-e防火墙，经过vlan- interface10，从ge0/1转发出去的报文，其入安全域由 ge0/2接口所在安全域确定，和vlan-interface10所在 安全域无关，报文出安全域由ge0/1接口所在安全域确 定。从ge0/3接口进入防火墙的报文也是同样处理。 从f1000-e本机发起的在vlan-interface10网段里的广