防火墙NetScreen 5GT透明模式配置指引.doc

防火墙NetScreen 5GT透明模式配置指引 目录一、配置网络环境描述2二、配置步骤32.1 防火墙的配置32.3 配置结果10三、参考资料10一、配置网络环境描述网 络 拓 扑 结 构网络拓扑结构图网络拓扑结构简述防火墙采用1台NetScreen 5GT（以下简称5GT），5GT将与其连接的网络设备分为V1-Trust和V1-Untrust两个安全区段，其物理端口配置在透明模式下运行，并定义各端口为中继端口，实现5GT允许与其连接的交换机接收、发送来自多个VLAN的信息流，并按帧头中的 VLAN 标识符 (VID) 对各个封包进行分类。交换机采用2台Cisco Catalyst 2950-24。Cat 2950-2的F0/24端口连接5GT的Trust端口，f0/24配置为Trunk工作模式，Cat 2950-2指定为VTP Server工作模式，并建立VLAN101、VLAN102和VLAN103；Cat 2950-1的F0/24端口连接5GT的Untrust端口，f0/24配置为Trunk工作模式，Cat 2950-1指定为VTP Client工作模式，并加入Cat 2950-2创建的VTP域，接收其创建的VLAN信息。二、配置步骤2.1 防火墙的配置1、 登录将NetScreen 5GT的Trust端口14中任一端口与一台PC通过网线直连，将该PC的IP地址设置为192.168.1.2255中的任一地址。通过WEB登录NetScreen 5GT，NetScreen默认的管理地址是：192.168.1.1选择“No，use the Initial Configuration Wizard instead。”默认配置：输入默认的用户名“netscreen”和密码“netscreen”：进入5GT的Web用户管理界面（WebUI）：2、 配置端口查看5GT的“Network-interfaces”界面，5GT的物理端口共有5个，由untrust和ethernet 1-4组成，ethernet 1-4端口默认名称(name)为trust，它们在默认的配置中分别属于“Untrust”和“Trust”区段(zone)。进入5GT VLAN1区段的配置界面：配置5GT的VLAN1区段，设置VLAN1的IP地址(此处所设置的IP地址就是防火墙的管理IP，可根据不同网络环境的需要进行调试。如在银河总部的防火墙隔离工程中，我们将4台防火墙VLAN1的IP地址分别设置为192.168.42.143146)，并开启“Service Options”中的“Vlan Trunk”和“Bypass Non-IP packets”选项，“Vlan Trunk”是定义属于VLAN1区段的端口为中继端口，“Bypass Non-IP packets”选项是允许非 IP 信息流通过5GT，如IPX协议，最后单击OK完成配置：进入name为“untrust”，Zone为“Untrust”的端口的配置界面：将untrust端口由Untrust区段更改为V1-Untrust区段：进入name为“trust”，Zone为“Trust”的端口的配置界面，将trust端口由Trust区段更改为V1-Trust区段，并把默认的IP地址192.168.1.1更改为0.0.0.0/0，这样5GT物理端口的IP地址均为0.0.0.0，端口就这样被配置为透明模式完成上述配置后，“Network-interfaces”的界面显示如下， trust和untrust的端口已经由原来的Trust和Untrust区段更改为V1-Trust和V1-Untrust区段，处于这两个区段内的端口已变为在透明模式下工作，同时这些端口被VLAN1区段定义为中继端口vlan trunk：3、 配置策略进入5GT的“Policles”界面，5GT的默认策略是“From Trust To Untrust”没有限制：删除默认的策略：分别建立“From V1-Trust to V1-Untrust”和“From V1-Untrust to V1-Trust”的策略：完成上述策略配置后的“Policles”界面如下：2.3 配置结果在完成上述配置后，连接在5GT untrust端口上的Cat 2950-1 （VTP Client）能够接收由Cat 2950-2（VTP Server）传来的VLAN信息，且2台交换机之间能够相互ping通和实现telnet功能；而整个网络中处于同一VLAN内的设备也能够相互访问，如连接Cat 2950-1 VLAN101内的工作站和Server A之间能够相互ping通对方的IP地址；需要注意的是，在上述5GT的配置中，VLAN1区段的配置中开启了“Bypass Non-IP packets ”允许非 IP 信息流通过5GT，所以VLAN103内无盘工作站能够通过IPX协议登录到NOVELL服务器Server C上，如