FW-013-014 SecPath F1000-E基本转发配置指导VIP

实验1 SecPath防火墙透明模式配置基础1-11.1 实验内容与目标1-11.2 实验组网图1-11.3 实验设备与版本1-11.4 实验过程1-2实验任务：透明模式下各区域的互通1-21.5 实验中的命令列表1-31.6 思考题1-4实验2 SecPath防火墙路由模式配置基础2-42.1 实验内容与目标2-42.2 实验组网图2-42.3 实验设备与版本2-42.4 实验过程2-5实验任务：路由模式下各区域的互通2-52.5 实验中的命令列表2-122.6 思考题2-13实验3 SecPath防火墙混合模式配置基础3-133.1 实验内容与目标3-133.2 实验组网图3-133.3 背景需求3-143.4 实验设备与版本3-143.5 实验过程3-14实验任务一：混合模式下各区域的互通3-143.6 实验中的命令列表3-153.7 思考题3-16实验4 SecPath防火墙VLAN透传4-164.1 实验内容与目标4-164.2 实验组网图4-164.3 背景需求4-164.4 实验设备与版本4-174.5 实验过程4-17实验任务：VLAN透传4-174.6 实验中的命令列表4-184.7 思考题4-19实验1 SecPathF1000-E防火墙透明模式配置基础Issue 1.0实验1 SecPath防火墙透明模式配置基础1.1 实验内容与目标完成本实验，您应该能够：l 了解以防火墙透明模式工作原理l 掌握防火墙透明模式的基本配置方法l 掌握防火墙透明模式的常用配置命令1.2 实验组网图图1-1 透明模式转发组网图组网要求说明：如图：PC1和PC2分别连在F1000-E防火墙的Ge0/1和Ge0/2接口上，其IP地址分别为/24和/24，需要通过F1000-E实现互通。1.3 实验设备与版本主机：2台线缆：若干SecPath防火墙：R3102P10及以上版本1.4 实验过程实验任务：透明模式下各区域的互通步骤一：命令行配置命令行配置如下：#vlan 1# vlan 100#interface GigabitEthernet0/1 port link-mode bridge port access vlan 100 #interface GigabitEthernet0/2 port link-mode bridge port access vlan 100# 步骤二：web相关配置web相关配置如下： 进入WEB管理界面后，单击“系统管理”“安全域管理”，编辑trust安全域，将Ge0/1加入该域：把Ge0/1接口加入trust域同样的操作，将Ge0/2加入untrust安全域；然后通过WEB页面配置trust与untrust之间的策略可实现安全过滤。1.5 实验中的命令列表表1-1 命令列表命令描述port link-mode bridge以太网接口可工作在二层模式（bridge）port access vlan设置所属Vlan配置命令介绍： 请参考20071102-H3C SecPath系列安全产品 用户手册(V1.00)。 1.6 思考题SecPath防火墙透明模式与混合模式的区别在哪里？实验2 SecPath防火墙路由模式配置基础2.1 实验内容与目标完成本实验，您应该能够：l 了解以防火墙路由模式工作原理l 掌握防火墙路由模式的基本配置方法l 掌握防火墙路由模式的常用配置命令2.2 实验组网图图2-3 路由模式转发组网组网要求说明：如图：PC1和PC2分别连在F1000-E防火墙的Ge0/1和Ge0/2接口上，其IP地址分别为/24和/24，需要通过F1000-E实现互通。F1000-E防火墙的Ge0/1和Ge0/2的接口IP分别为/24和/24。2.3 实验设备与版本主机：2台线缆：若干SecPath防火墙：R3102P10及以上版本2.4 实验过程实验任务：路由模式下各区域的互通步骤一：命令行配置命令行配置如下：#acl number 2000 rule 0 permit #interface GigabitEthernet0/1 port link-mode route ip address #interface GigabitEthernet0/2 port link-mode route ip address # 步骤二：web相关配置web相关配置如下： 将接口Ge0/1和Ge0/2分别添加到Trust和Untrust域 把Ge0/1接口加入trust域把Ge0/2接口加入untrust域单击“策略管理”“地址转换策略”“地址转换”，单击“新建”按钮，在Ge0/2接口上，配置NAT Outbound Easy-ip/PAT配置nat地址转换在Ge0/2接口上，配置NAT Server（以HTTP协议为例）单击“策略管理”“地址转换策略”“内部服务器”，单击“新建”按钮， 配置nat server配置从Untrust域到Trust域的面向对象ACL，允许外网用户访问Trust区的Web服务器）。单击“对象管理”“地址对象”“地址对象”，单击“增加”按钮，增加地址对象增加地址对象新建地址对象单击“对象管理”“地址对象”“地址组对象”，单击“增加”按钮，增加地址组对象，把前面新建的地址对象WebServerAddr加入地址组对象WebServerGroup增加地址组对象新建地址组对象单击“对象管理”“服务对象”“自定义服务对象”，单击“增加”按钮，增加服务对象增加自定义服务对象新建自定义服务对象单击“对象管理”“服务对象”“服务组对象”，单击“增加”按钮，增加服务组对象，把前面新建的服务对象WebService加入到服务组对象WebServiceGroup中去增加服务组对象新建服务组对象单击“策略管理”“访问控制策略”“面向对象ACL”，选择源域为“Untrust”，目的域为“Trust”，单击“增加”按钮，增加从Untrust域到Trust域的域间策略新建访问控制列表规则，选择源地址为any_address，目的地址为地址组对象WebServerGroup，服务组对象为WebServiceGroup。 配置从Untrust域到Trust域的域间策略2.5 实验中的命令列表表2-2 命令列表命令描述acl number 2000定义ACL过来模板port link-mode route以太网接口可工作在三层模式（route）ip address添加接口IP配置命令介绍： 请参考20071102-H3C SecPath系列安全产品 用户手册(V1.00)。2.6 思考题SecPath防火墙混合模式与透明模式的区别在哪里？实验3 SecPath防火墙混合模式配置基础3.1 实验内容与目标完成本实验，您应该能够：l 了解以防火墙混合模式工作原理l 掌握防火墙混合模式的基本配置方法l 掌握防火墙混合模式的常用配置命令3.2 实验组网图图3-5 混合模式转发组网图组网要求说明：如图：PC1，PC2和PC3分别连在F1000-E防火墙的Ge0/1，Ge0/2和Ge0/3接口上。PC2和PC3在一个网段/24，其IP地址分别为/24和/24；PC1的地址是/24，需要通过F1000-E实现互通。F1000-E防火墙Ge0/1的接口IP为/24，Ge0/2和Ge0/3所在vlan的vlan-interface的接口IP为/24。3.3 背景需求SecPath防火墙支持透明桥组，并同时支持路由和桥接功能。桥组路由功能提供了一种结合路由和桥接的转发方法。对于指定的协议数据，如果是在桥组端口之间进行通讯，则进行桥接转发；如果是需要与非桥组组内的网络进行通讯，则可以进行网络协议的路由转发。3.4 实验设备与版本主机：3台线缆：若干SecPath防火墙：R3102P10及以上版本3.5 实验过程实验任务一：混合模式下各区域的互通典型配置：Ge0/2和Ge0/3接口工作在二层模式下，加入vlan 10，vlan 10的三层终结为vlan-interface 10，Ge0/1接口工作在三层模式下。步骤一：命令行下配置基本配置如下： #vlan 10#interface Vlan-interface10 ip address # interface GigabitEthernet0/1 port link-mode route ip address #interface GigabitEthernet0/2 port link-mode bridge port access vlan 10#interface GigabitEthernet0/3 port link-mode bridge port access vlan 10步骤二：web相关配置web相关配置如下： 把Ge0/2接口加入trust域，Ge0/3接口加入DMZ域，Ge0/1接口加入untrust域，Vlan-interface10加入trust域。根据实际组网需要添加untrust域到trust域，untrust域到dmz域，dmz域到trust域的域间策略。3.6 实验中的命令列表表3-3 命令列表命令描述port link-mode route/bridge以太网接口可工作在三层/二层模式（route/bridge）port access vlan所属的Vlan配置命令介绍： 请参考20071102-H3C SecPath系列安全产品 用户手册(V1.00)。 3.7 思考题SecPath防火墙混合模式与透明模式的区别在哪里？实验4 SecPath防火墙VLAN透传4.1 实验内容与目标完成本实验，您应该能够：l 了解SecPath防火墙VLAN透传的基本工作原理l 掌握SecPath防火墙VLAN透传的配置方法l 掌握SecPath防火墙VLAN透传简单排错方法4.2 实验组网图图4-7 二层Vlan透传组网图组网要求说明：如图：F1000-E防火墙Ge0/2和Ge0/3接口都工作在二层，trunk模式，实现vlan透传，Switch-A和Switch-B和F1000-E连接的接口也工作在trunk模式下，PC1的地址是/8，PC2的地址是/8。此外，要求PC1和PC2能够通过业务vlan远程管理F1000-E。4.3 背景需求当系统中存在VLAN部署，而VLAN间的通信需要穿过防火墙。不同的VLAN之间需要进行隔离，而且所有VLAN的防火墙策略（比如配置在接口上的防火墙包过滤）是一样的。4.4 实验设备与版本主机：2台线缆：若干防火墙：SecPath防火墙：R3102P10及以上版本交换机：任意二层交换机两台4.5 实验过程实验任务：VLAN透传步骤一：命令行配置命令行配置如下：#vlan 1#vlan 2 to 4094# interface Vlan-interface100 ip address # interface GigabitEthernet0/2 port link-mode bridge port link-type trunk port trunk permit vlan all #interface GigabitEthernet0/3 port link-mode bridge port link-type trunk port trunk permit vlan all# Switch-A的配置如下：#vlan 1#vlan 2 to 4094#interface GigabitEthernet1/0/33 port link-type trunk port trunk permit vlan all#interface GigabitEthernet1/0/34 port access vlan 100# Switch-B的配置如下：#vlan 1#vlan 2 to 4094#interface GigabitEthernet1/0/13 port link-type trunk port trunk permit vlan all#interface GigabitEthernet1/