华为防火墙设备,接口类型

防火墙接口类型

物理接口

1 )防火墙支持的接口可以是双层接口或者三层接口

2 )双层接口：端口交换机

3 )三层接口：还原端口交换机

逻辑接口

1 )虚拟模板(vt )接口、拨号接口

2 ) tunnel连接器、空连接器

3 ) vlanif接口

4 )三层以太网子连接器

5 )以太网中继接口、loobacp接口

防火墙以太网中继

好处：

1 )本质是提高链路带宽

2 )可靠性) LACP协议)

3 )负荷分担

eth -中继模式分类：

1 )手动负载平衡模式(默认)注意：所有链路都必须参与传输

2 )静态LACP模式(无动态LACP )注：可以拥有，也可以配置备份M:N格式

eth -中继接口类型

1 )三层以太网

2 )二楼以太网

开关上面是双层的Eth-trunk

步骤1 :新的以太网中继和模式

接口eth -中继1

model ACP----静态-----默认手动负载分担

定义步骤eth -中继类型

接口eth -中继1

端口链接-类型中继

端口中继allow-pass VLAN2to 4094

将接口添加到步骤Eth-trunk组

方法1

int XXXX

以太网1

方法2

无法进行int eth-trunk XX () (防火墙) ) )。

中继端口G0/0/1 to0/0/2

防火墙上是三层楼的Eth-trunk

创建步骤以太网和模式

接口eth -中继1

模式lacp -静态

第2步：接口成员加入以太网中继

int XXX

以太网1

检查以太网中继的配置

防火墙子接口

物理接口的子接口

防火墙配置子接口

接口千兆以太网1/0/0.10---- -先取子接口

封装VLAN-- -类型do t1 q 10------------ VLAN id

IP地址10.1.1.10255.255.255.0

接口千兆以太网1/0/0.20

vlan-type dot1q 20

IP地址10.1.2.10255.255.255.0

步骤2 :将子接口添加到ZONE

防火墙分区信任

addinterfacegigabitethernet1/0/0.10

addinterfacegigabitethernet1/0/0.20

检查：

第三步：测试防火墙直连通信

由于华为防火墙的默认ZONE和ZONE之间没有安全策略，因此默认情况下一个也不能通过

默认策略为deny

[ fw1 ]安全----policydefaultactionpermit--------默认全开安全策略

测试各个直接通信

测试结束后请务必关闭

安全策略默认值操作deny

注意：

关于PING的问题

通过PING每个ZONE到防火墙，只需将所有安全策略放在上面即可访问

从每个安全区域访问防火墙接口时，完全应用安全策略是徒劳的。 要PING防火墙接口，必须打开该接口的访问管理PING

第五步：检验测试

逻辑接口的子接口

三层以太网中继可以配置IP

双层以太网链路类型

默认值为混合动力

接口eth -中继1

端口链接-类型中继

端口中继allow-pass VLAN 10 20

配置：

接口eth -中继1.10

vlan-type dot1q 10

IP地址10.1.1.10255.255.255.0

#接口eth -中继1.20

vlan-type dot1q 20

IP地址10.1.2.10255.255.255.0

注意：

请注意：防火墙的所有接口。 无论是物理上还是逻辑上都需要添加ZONE

防火墙的所有接口都定义ZONE

防火墙分区信任

set priority 85

添加接口eth -中继1.10

添加接口eth -中继1.20

释放安全措施

安全策略

rule name trust_local

源区域信任

目标区域本地

动作权限

防火墙的vlanif接口

实验演示防火墙上的vlanif接口技术

配置理念：

步骤：创建VLAN

vlan batch 10 20

第二步：双重配置接口

接口千兆以太网1/0/0

端口交换机

端口链接-类型访问------- -默认值为访问，可以修改

端口访问VLAN 10

#接口千兆以太网1/0/1

端口交换机

端口链接-类型访问

端口访问VLAN 20

创建步骤VLANIF接口

接口vlanif 10

IP地址10.1.1.10255.255.255.0

服务管理平顶

#接口vlanif 20

IP地址10.1.2.10255.255.255.0

服务管理平顶

第四步：将接口放入ZONE

注意：接口不需要内置到ZONE中。 只需从逻辑上添加ZONE

防火墙分区信任

add接口vlanif 10

add接口vlanif 20

步骤5 :测试检查

注意：

同一ZONE不需要配置安全策略，可以相互通信------结论正确吗？

在USG6320 V100版本中，必须配置相同的ZONE安全策略

安全策略

rule name trust_trust

源区域信任

目标区域信任

动作权限