防火墙接口类型
物理接口
1 )防火墙支持的接口可以是双层接口或者三层接口
2 )双层接口:端口交换机
3 )三层接口:还原端口交换机
逻辑接口
1 )虚拟模板(vt )接口、拨号接口
2 ) tunnel连接器、空连接器
3 ) vlanif接口
4 )三层以太网子连接器
5 )以太网中继接口、loobacp接口
防火墙以太网中继
好处:
1 )本质是提高链路带宽
2 )可靠性) LACP协议)
3 )负荷分担
eth -中继模式分类:
1 )手动负载平衡模式(默认)注意:所有链路都必须参与传输
2 )静态LACP模式(无动态LACP )注:可以拥有,也可以配置备份M:N格式
eth -中继接口类型
1 )三层以太网
2 )二楼以太网
开关上面是双层的Eth-trunk
步骤1 :新的以太网中继和模式
接口eth -中继1
model ACP----静态-----默认手动负载分担
定义步骤eth -中继类型
接口eth -中继1
端口链接-类型中继
端口中继allow-pass VLAN2to 4094
将接口添加到步骤Eth-trunk组
方法1
int XXXX
以太网1
方法2
无法进行int eth-trunk XX () (防火墙) ) )。
中继端口G0/0/1 to0/0/2
防火墙上是三层楼的Eth-trunk
创建步骤以太网和模式
接口eth -中继1
模式lacp -静态
第2步:接口成员加入以太网中继
int XXX
以太网1
检查以太网中继的配置
防火墙子接口
物理接口的子接口
防火墙配置子接口
接口千兆以太网1/0/0.10---- -先取子接口
封装VLAN-- -类型do t1 q 10------------ VLAN id
IP地址10.1.1.10255.255.255.0
接口千兆以太网1/0/0.20
vlan-type dot1q 20
IP地址10.1.2.10255.255.255.0
步骤2 :将子接口添加到ZONE
防火墙分区信任
addinterfacegigabitethernet1/0/0.10
addinterfacegigabitethernet1/0/0.20
检查:
第三步:测试防火墙直连通信
由于华为防火墙的默认ZONE和ZONE之间没有安全策略,因此默认情况下一个也不能通过
默认策略为deny
[ fw1 ]安全----policydefaultactionpermit--------默认全开安全策略
测试各个直接通信
测试结束后请务必关闭
安全策略默认值操作deny
注意:
关于PING的问题
通过PING每个ZONE到防火墙,只需将所有安全策略放在上面即可访问
从每个安全区域访问防火墙接口时,完全应用安全策略是徒劳的。 要PING防火墙接口,必须打开该接口的访问管理PING
第五步:检验测试
逻辑接口的子接口
三层以太网中继可以配置IP
双层以太网链路类型
默认值为混合动力
接口eth -中继1
端口链接-类型中继
端口中继allow-pass VLAN 10 20
配置:
接口eth -中继1.10
vlan-type dot1q 10
IP地址10.1.1.10255.255.255.0
#接口eth -中继1.20
vlan-type dot1q 20
IP地址10.1.2.10255.255.255.0
注意:
请注意:防火墙的所有接口。 无论是物理上还是逻辑上都需要添加ZONE
防火墙的所有接口都定义ZONE
防火墙分区信任
set priority 85
添加接口eth -中继1.10
添加接口eth -中继1.20
释放安全措施
安全策略
rule name trust_local
源区域信任
目标区域本地
动作权限
防火墙的vlanif接口
实验演示防火墙上的vlanif接口技术
配置理念:
步骤:创建VLAN
vlan batch 10 20
第二步:双重配置接口
接口千兆以太网1/0/0
端口交换机
端口链接-类型访问------- -默认值为访问,可以修改
端口访问VLAN 10
#接口千兆以太网1/0/1
端口交换机
端口链接-类型访问
端口访问VLAN 20
创建步骤VLANIF接口
接口vlanif 10
IP地址10.1.1.10255.255.255.0
服务管理平顶
#接口vlanif 20
IP地址10.1.2.10255.255.255.0
服务管理平顶
第四步:将接口放入ZONE
注意:接口不需要内置到ZONE中。 只需从逻辑上添加ZONE
防火墙分区信任
add接口vlanif 10
add接口vlanif 20
步骤5 :测试检查
注意:
同一ZONE不需要配置安全策略,可以相互通信------结论正确吗?
在USG6320 V100版本中,必须配置相同的ZONE安全策略
安全策略
rule name trust_trust
源区域信任
目标区域信任
动作权限