第八章 運(yùn)行模式.ppt

1、第11章 運(yùn)行模式,ISSUE 1.1,日期：,杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播,掌握防火墻的工作模式 掌握防火墻混合模式配置,課程目標(biāo),學(xué)習(xí)完本課程，您應(yīng)該能夠：,工作模式介紹 透明模式基本配置 混合模式基本配置,目錄,三種工作模式,內(nèi)網(wǎng),外網(wǎng),實(shí)際連線,報(bào)文路徑,202.110.2.0/24,202.110.2.0/24,防火墻,路由模式 透明模式 混合模式,路由模式,內(nèi)網(wǎng),外網(wǎng),實(shí)際連線,報(bào)文路徑,202.110.2.0/24,202.110.2.0/24,防火墻,路由模式,10.110.1.254,202.110.2.1,透明模式,內(nèi)網(wǎng),外網(wǎng),實(shí)際連線,報(bào)文路

2、徑,202.110.2.0/24,202.110.2.0/24,防火墻,透明模式,透明模式下獲取地址表過程(1),工作站A,工作站B,工作站C,工作站D,以太網(wǎng)段1,以太網(wǎng)段2,00e0-fcaa-aaaa,00e0-fcbb-bbbb,00e0-fccc-cccc,00e0-fcdd-dddd,接口1,接口2,透明模式下獲取地址表過程(2),工作站A,工作站B,工作站C,工作站D,以太網(wǎng)段1,以太網(wǎng)段2,00e0-fcaa-aaaa,00e0-fcbb-bbbb,00e0-fccc-cccc,00e0-fcdd-dddd,接口1,接口2,透明模式下轉(zhuǎn)發(fā)與過濾(1),工作站A,工作站B,工作站

3、C,工作站D,以太網(wǎng)段1,以太網(wǎng)段2,00e0-fcaa-aaaa,00e0-fcbb-bbbb,00e0-fccc-cccc,00e0-fcdd-dddd,接口1,接口2,轉(zhuǎn)發(fā),透明模式下轉(zhuǎn)發(fā)與過濾(2),工作站A,工作站B,工作站C,工作站D,以太網(wǎng)段1,以太網(wǎng)段2,00e0-fcaa-aaaa,00e0-fcbb-bbbb,00e0-fccc-cccc,00e0-fcdd-dddd,接口1,接口2,不轉(zhuǎn)發(fā),透明模式下轉(zhuǎn)發(fā)與過濾(3),工作站A,工作站B,工作站C,工作站D,以太網(wǎng)段1,以太網(wǎng)段2,00e0-fcaa-aaaa,00e0-fcbb-bbbb,00e0-fccc-cccc,0

4、0e0-fcdd-dddd,接口1,接口2,混合模式,內(nèi)網(wǎng),外網(wǎng),202.110.2.0/24,202.110.2.0/24,防火墻,防火墻,主,備,VRRP,混合模式之網(wǎng)橋原理,網(wǎng)橋交換 接口可加入到網(wǎng)橋中 轉(zhuǎn)發(fā)依據(jù)網(wǎng)橋表：MAC + 出接口 與交換機(jī)轉(zhuǎn)發(fā)類似，網(wǎng)橋內(nèi)數(shù)據(jù)轉(zhuǎn)發(fā)基于網(wǎng)橋表 反向地址學(xué)習(xí) 網(wǎng)橋路由 BVI接口為網(wǎng)橋內(nèi)主機(jī)的三層網(wǎng)關(guān),混合模式原理,混合模式是基于路由器上的網(wǎng)橋?qū)崿F(xiàn) 支持路由和橋接功能 支持透明網(wǎng)橋 支持子接口的橋接功能 防火墻透明模式與網(wǎng)橋?qū)Ρ?二層轉(zhuǎn)發(fā)流程采用的是網(wǎng)橋轉(zhuǎn)發(fā)流程 透明模式是系統(tǒng)IP配置來提供設(shè)備管理接口，混合模式是用虛擬接口IP管理； 增加了模式配置

5、和IP地址配置,工作模式介紹 透明模式基本配置 混合模式基本配置,目錄,透明模式基本配置,防火墻透明模式的配置包括 ： 配置防火墻的工作模式 配置防火墻的系統(tǒng)IP地址 啟動(dòng)/禁止ARP學(xué)習(xí)功能 配置對(duì)未知目的MAC地址的IP報(bào)文的處理方式 配置基于MAC地址的訪問控制列表 配置在接口上應(yīng)用訪問控制列表 配置MAC地址轉(zhuǎn)發(fā)表的老化時(shí)間 配置允許通過的報(bào)文類型,工作模式配置,配置防火墻的工作模式,透明模式基本配置,配置防火墻系統(tǒng)IP地址,透明模式基本配置,啟動(dòng)或禁止ARP學(xué)習(xí)功能,透明模式基本配置,配置對(duì)未知目的MAC的IP報(bào)文的處理方式,透明模式基本配置,配置基于MAC地址的訪問控制列表,透明模

6、式基本配置,在接口上應(yīng)用訪問控制列表,透明模式基本配置,配置MAC地址轉(zhuǎn)發(fā)表的老化時(shí)間,透明模式基本配置,配置允許通過的報(bào)文類型,透明模式基本配置,透明防火墻的顯示與調(diào)試,透明模式基本配置,透明防火墻的顯示與調(diào)試(續(xù)),透明模式基本配置,透明防火墻的顯示與調(diào)試(續(xù)),工作模式介紹 透明模式基本配置 混合模式基本配置,目錄,混合模式命令,增加的橋組配置 使能橋模塊 bridge enable 創(chuàng)建一個(gè)橋組 bridge 1 enable 接口加入橋組bridge-set 1 創(chuàng)建BVI接口int Bridge-template 1 快轉(zhuǎn)使能 bridge-set fast-forwarding,

7、混合模式應(yīng)用之一,SecPath F1000-S防火墻部署在公網(wǎng)出口，下聯(lián)兩臺(tái)核心交換機(jī)，兩臺(tái)交換機(jī)做冗余備份 組網(wǎng)圖,混合模式應(yīng)用之二,客戶端PC，A、C屬于VLAN100，客戶端PC，B、D屬于VLAN200，用來模擬屬于不同VLAN的用戶，在交換機(jī)1和交換機(jī)2與防火墻相連接口上都要配置成Trunk模式，保證帶Tag標(biāo)記的報(bào)文能夠透傳。 要求,Vlan100,F1000-A,Switch2,A,Switch1,Vlan200,Vlan100,Vlan200,B,C,D,80.1.1.2/24,80.1.1.1/24,90.1.1.2/24,90.1.1.1/24,混合模式應(yīng)用之二（續(xù)）,H

8、3Cfirewall packet-filter default permit/防火墻包過濾默認(rèn)改為允許 H3Cbridge enable/使能橋組功能 H3Cbridge 1 enable/創(chuàng)建橋組1 H3CinterfaceGigabitEthernet0/0/進(jìn)入連接g0/0的接口視圖 H3C-GigabitEthernet0/0bridge-set 1/將接口g0/0加入到橋組1 H3C-GigabitEthernet0/0bridge vlanid-transparent-transmit enable /使能接口VLAN透傳 H3C-GigabitEthernet0/0interface GigabitEthernet0/1 H3C-GigabitEthernet0/1bridge-set 1/將接口g1/0加入到橋組1 H3C-GigabitEthernet0/1bridge vlanid-transparent-transmit enable /使能接口VLAN透傳 H3Cfirewall zone trust H3C-zone-trustadd interface GigabitEthernet0/0 H3Cfir