FW013014SecPathF1000E基本轉(zhuǎn)發(fā)配置指導(dǎo)

TOC\o"1-5"\h\z\o"CurrentDocument"實(shí)驗(yàn)1SecPath防火墻透明模式配置基礎(chǔ) 1-1\o"CurrentDocument"1.1實(shí)驗(yàn)內(nèi)容與目標(biāo) 1-1\o"CurrentDocument"1.2實(shí)驗(yàn)組網(wǎng)圖 1-1\o"CurrentDocument"1.3實(shí)驗(yàn)設(shè)備與版本 1-1\o"CurrentDocument"1.4實(shí)驗(yàn)過(guò)程 1-2實(shí)驗(yàn)任務(wù)：透明模式下各區(qū)域的互通 1-2\o"CurrentDocument"1.5實(shí)驗(yàn)中的命令列表 1-3\o"CurrentDocument"1.6思考題 1-4\o"CurrentDocument"實(shí)驗(yàn)2SecPath防火墻路由模式配置基礎(chǔ) 2-4\o"CurrentDocument"2.1實(shí)驗(yàn)內(nèi)容與目標(biāo) 2-4\o"CurrentDocument"2.2實(shí)驗(yàn)組網(wǎng)圖 2-4\o"CurrentDocument"2.3實(shí)驗(yàn)設(shè)備與版本 2-4\o"CurrentDocument"2.4實(shí)驗(yàn)過(guò)稈 2-5實(shí)驗(yàn)任務(wù)：路由模式下各區(qū)域的互通 2-5\o"CurrentDocument"2.5實(shí)驗(yàn)中的命令列表 2-12\o"CurrentDocument"2.6思考題 2-13\o"CurrentDocument"實(shí)驗(yàn)3SecPath防火墻混合模式配置基礎(chǔ) 3-13\o"CurrentDocument"3.1實(shí)驗(yàn)內(nèi)容與目標(biāo) 3-13\o"CurrentDocument"3.2實(shí)驗(yàn)組網(wǎng)圖 3-13\o"CurrentDocument"3.3背景需求 3-14\o"CurrentDocument"3.4實(shí)驗(yàn)設(shè)備與版本 3-14\o"CurrentDocument"3.5實(shí)驗(yàn)過(guò)程 3-14實(shí)驗(yàn)任務(wù)一：混合模式下各區(qū)域的互通 3-14\o"CurrentDocument"3.6實(shí)驗(yàn)中的命令列表 3-15\o"CurrentDocument"3.7思考題 3-16\o"CurrentDocument"實(shí)驗(yàn)4SecPath防火墻VLAN透?jìng)?4-16\o"CurrentDocument"實(shí)驗(yàn)內(nèi)容與目標(biāo) 4-16\o"CurrentDocument"實(shí)驗(yàn)組網(wǎng)圖 4-16\o"CurrentDocument"4.3背景需求 4-16\o"CurrentDocument"4.4實(shí)驗(yàn)設(shè)備與版本 4-17\o"CurrentDocument"4.5實(shí)驗(yàn)過(guò)稈 4-17實(shí)驗(yàn)任務(wù)：VLAN透?jìng)?4-17\o"CurrentDocument"4.6實(shí)驗(yàn)中的命令列表 4-18\o"CurrentDocument"4.7思考題 4-19實(shí)驗(yàn)1SecPath防火墻透明模式配置基礎(chǔ)1.1實(shí)驗(yàn)內(nèi)容與目標(biāo)完成本實(shí)驗(yàn)，您應(yīng)該能夠：?了解以防火墻透明模式工作原理?掌握防火墻透明模式的基本配置方法?掌握防火墻透明模式的常用配置命令1.2實(shí)驗(yàn)組網(wǎng)圖圖1-1透明模式轉(zhuǎn)發(fā)組網(wǎng)圖組網(wǎng)要求說(shuō)明：如圖：PC1和PC2分別連在F1OOO-E防火墻的GeO/1和GeO/2接口上，其IP地址分別為/24和/24，需要通過(guò)F1000-E實(shí)現(xiàn)互通。1.3實(shí)驗(yàn)設(shè)備與版本主機(jī)：2臺(tái)線纜：若干SecPath防火墻：R3102P10及以上版本1.4實(shí)驗(yàn)過(guò)程實(shí)驗(yàn)任務(wù)：透明模式下各區(qū)域的互通步驟一：命令行配置命令行配置如下：#vlan1#vlan100#interfaceGigabitEthernet0/1portlink-modebridgeportaccessvlan100#interfaceGigabitEthernet0/2portlink-modebridgeportaccessvlan100#步驟二：web相關(guān)配置web相關(guān)配置如下：進(jìn)入WEB管理界面后，單擊“系統(tǒng)管理”>>“安全域管理”，編輯trust安全域，將GeO/1加入該域：修改安全域ID:I2域名:|Trust憂先級(jí)：|05(1-1003艾享：|No二|虛擬設(shè)備:|Root所輸入的鵡荊圍應(yīng)加,"及"-璉接』例如；3,5-10星號(hào)D為必須埴寫項(xiàng)確定I取消|把GeO/1接口加入trust域同樣的操作，將Ge0/2加入untrust安全域；然后通過(guò)WEB頁(yè)面配置trust與untrust之間的策略可實(shí)現(xiàn)安全過(guò)濾。實(shí)驗(yàn)中的命令列表表1-1命令列表命令描述portlink-modebridge以太網(wǎng)接口可工作在二層模式(bridge)portaccessvlan設(shè)置所屬Vlan配置命令介紹：請(qǐng)參考《20071102-H3CSecPath系列安全產(chǎn)品用戶手冊(cè)(V1.00)》。1.6思考題SecPath防火墻透明模式與混合模式的區(qū)別在哪里?

實(shí)驗(yàn)2SecPath防火墻路由模式配置基礎(chǔ)2.1實(shí)驗(yàn)內(nèi)容與目標(biāo)完成本實(shí)驗(yàn)，您應(yīng)該能夠：?了解以防火墻路由模式工作原理?掌握防火墻路由模式的基本配置方法?掌握防火墻路由模式的常用配置命令2.2實(shí)驗(yàn)組網(wǎng)圖GeO/1/2GeO/2/24F1000-EGeO/1/2GeO/2/24圖2-2路由模式轉(zhuǎn)發(fā)組網(wǎng)組網(wǎng)要求說(shuō)明：如圖：PC1和PC2分別連在F1000-E防火墻的Ge0/1和Ge0/2接口上，其IP地址分別為/24和/24,需要通過(guò)F1000-E實(shí)現(xiàn)互通。F1000-E防火墻的Ge0/1和Ge0/2的接口IP分別為/24和/24。2.3實(shí)驗(yàn)設(shè)備與版本主機(jī)：2臺(tái)線纜：若干SecPath防火墻：R3102P10及以上版本2.4實(shí)驗(yàn)過(guò)程實(shí)驗(yàn)任務(wù)：路由模式下各區(qū)域的互通步驟一：命令行配置命令行配置如下：#aclnumber2000rule0permit#interfaceGigabitEthernet0/1portlink-moderouteipaddress#interfaceGigabitEthernet0/2portlink-moderouteipaddress#步驟二：web相關(guān)配置web相關(guān)配置如下：將接口Ge0/1和Ge0/2分別添加到Trust和Untrust域修改安全域星號(hào)〔料為必須埴寫項(xiàng)確走|取消|把Ge0/1接口加入trust域ID:或名:|Untrust憂先級(jí)；|5 (1-1003共享：|NoT虛擬設(shè)備：|Root接口；星號(hào)〔乍尙必須埴寫項(xiàng)確定|取消|

把GeO/2接口加入untrust域

單擊“策略管理”>>“地址轉(zhuǎn)換策略”>>“地址轉(zhuǎn)換”，單擊“新建”按鈕，在Ge0/2接口上，配置NATOutboundEasy-ip/PAT在GeO/2接口上，配置NATServer（以HTTP協(xié)議為例）單擊“策略管理”>>“地址轉(zhuǎn)換策略”>>“內(nèi)部服務(wù)器”，單擊“新建”按鈕接口：接口：|GigabitEthernetO/2仲N實(shí)例:13協(xié)邊類型：6(TCP)3外制F地址：00確定|取消|配己置natserver配置從Untrust域到Trust域的面向?qū)ο驛CL,允許外網(wǎng)用戶訪問(wèn)Trust區(qū)的Web服務(wù)器）。單擊“對(duì)象管理”>>“地址對(duì)象”>>“地址對(duì)象”，單擊“增加”按鈕，增加地址對(duì)象

單擊“對(duì)象管理”>>“地址對(duì)象”>>“地址組對(duì)象”，單擊“增加”按鈕，增加地址組對(duì)象，把前面新建的地址對(duì)象WebServerAddr加入地址組對(duì)象WebServerGroup新淫地址組對(duì)象組對(duì)象名稱:WebSen/erGro叩=新淫地址組對(duì)象組對(duì)象名稱:WebSen/erGro叩=（1-31字符）地址組成員webserveraddr確走I返回新建地址組對(duì)象單擊“對(duì)象管理”>>“服務(wù)對(duì)象”>>“自定義服務(wù)對(duì)象”，單擊“增加”按鈕，增加服務(wù)對(duì)象新逹自運(yùn)義服務(wù)對(duì)象新建自定義服務(wù)對(duì)象單擊“對(duì)象管理”>>“服務(wù)對(duì)象”>>“服務(wù)組對(duì)象”，單擊“增加”按鈕，增加服務(wù)組對(duì)象，把前面新建的服務(wù)對(duì)象WebService加入到服務(wù)組對(duì)象WebServiceGroup中去服務(wù)組成員可坤服勢(shì)組成員websenri匚服務(wù)組成員可坤服勢(shì)組成員websenri匚rwebsen/icebgpchargencmddaytimedhcp-relaydis；card_tcpfirgerftPftp-getftp-putgopherhttphttpsicnnp-address-mask確是I返回新建服務(wù)組對(duì)象單擊“策略管理”>>“訪問(wèn)控制策略”>>“面向?qū)ο驛CL”，選擇源域?yàn)椤癠ntrust”，目的域?yàn)椤癟rust”，單擊“增加”按鈕，Untrust二1目的或|Trust二查詢J目的執(zhí)行UPN實(shí)濾地址目的地址服務(wù)爼時(shí)間段過(guò)濾日志操作域域順序例爼對(duì)象爼對(duì)象 對(duì)象對(duì)象動(dòng)作功能増加|增加從Untrust域到Trust域的域間策略新建訪問(wèn)控制列表規(guī)則，選擇源地址為any_address，目的地址為地址組對(duì)象WebServerGroup，服務(wù)組對(duì)象為WebServiceGroup。

實(shí)驗(yàn)中的命令列表表2-2命令列表命令描述aclnumber2000定義ACL過(guò)來(lái)模板portlink-moderoute以太網(wǎng)接口可工作在三層模式(route)ipaddress添加接口IP配置命令介紹：請(qǐng)參考《20071102-H3CSecPath系列安全產(chǎn)品用戶手冊(cè)(V1.00)》。2.6思考題SecPath防火墻混合模式與透明模式的區(qū)別在哪里?

實(shí)驗(yàn)3SecPath防火墻混合模式配置基礎(chǔ)3.1實(shí)驗(yàn)內(nèi)容與目標(biāo)完成本實(shí)驗(yàn)，您應(yīng)該能夠：?了解以防火墻混合模式工作原理?掌握防火墻混合模式的基本配置方法?掌握防火墻混合模式的常用配置命令3.2實(shí)驗(yàn)組網(wǎng)圖PC1Vlan-lnterface1O/24GeO//24GeO//24GeO/2Ge0/3PC2Ge0/3圖3-3混合模式轉(zhuǎn)發(fā)組網(wǎng)圖組網(wǎng)要求說(shuō)明：如圖：PC1，PC2和PC3分別連在F1000-E防火墻的Ge0/1，Ge0/2和Ge0/3接口上。PC2和PC3在一個(gè)網(wǎng)段/24,其IP地址分別為/24和/24；PC1的地址是/24，需要通過(guò)F1000-E實(shí)現(xiàn)互通。F1000-E防火墻Ge0/1的接口IP為/24，Ge0/2和Ge0/3所在vlan的vlan-interface的接口IP為/24。3.3背景需求SecPath防火墻支持透明橋組，并同時(shí)支持路由和橋接功能。橋組路由功能提供了一種結(jié)合路由和橋接的轉(zhuǎn)發(fā)方法。對(duì)于指定的協(xié)議數(shù)據(jù)，如果是在橋組端口之間進(jìn)行通訊，則進(jìn)行橋接轉(zhuǎn)發(fā)；如果是需要與非橋組組內(nèi)的網(wǎng)絡(luò)進(jìn)行通訊，則可以進(jìn)行網(wǎng)絡(luò)協(xié)議的路由轉(zhuǎn)發(fā)。3.4實(shí)驗(yàn)設(shè)備與版本主機(jī)：3臺(tái)線纜：若干SecPath防火墻：R3102P10及以上版本3.5實(shí)驗(yàn)過(guò)程實(shí)驗(yàn)任務(wù)一：混合模式下各區(qū)域的互通典型配置：Ge0/2和Ge0/3接口工作在二層模式下，加入vlan10,vlan10的三層終結(jié)為vlan-interface10，Ge0/1接口工作在三層模式下。步驟一：命令行下配置基本配置如下：#vlan10#interfaceVlan-interface10ipaddress#interfaceGigabitEthernet0/1portlink-moderouteipaddress#interfaceGigabitEthernet0/2portlink-modebridgeportaccessvlan10#interfaceGigabitEthernet0/3portlink-modebridgeportaccessvlan10步驟二：web相關(guān)配置web相關(guān)配置如下：把GeO/2接口加入trust域，GeO/3接口加入DMZ域，GeO/1接口加入untrust域，Vian-interfacelO加入trust域。根據(jù)實(shí)際組網(wǎng)需要添加untrust域到trust域，untrust域到dmz域，dmz域到trust域的域間策略。實(shí)驗(yàn)中的命令列表表3-3命令列表命令描述portlink-moderoute/bridge以太網(wǎng)接口可工作在三層/二層模式(route/bridge)portaccessvlan所屬的Vlan配置命令介紹：請(qǐng)參考《20071102-H3CSecPath系列安全產(chǎn)品用戶手冊(cè)(V1.00)》。3.7思考題SecPath防火墻混合模式與透明模式的區(qū)別在哪里?實(shí)驗(yàn)4SecPath防火墻VLAN透?jìng)?.1實(shí)驗(yàn)內(nèi)容與目標(biāo)完成本實(shí)驗(yàn)，您應(yīng)該能夠：了解SecPath防火墻VLAN透?jìng)鞯幕竟ぷ髟碚莆誗ecPath防火墻VLAN透?jìng)鞯呐渲梅椒ㄕ莆誗ecPath防火墻VLAN透?jìng)骱?jiǎn)單排錯(cuò)方法4.2實(shí)驗(yàn)組網(wǎng)圖Switch-AF1000-ESwitch-B組網(wǎng)要求說(shuō)明：如圖：F1000-E防火墻Ge0/2和Ge0/3接口都工作在二層，trunk模式，實(shí)現(xiàn)vlan透?jìng)?，Switch-A和Switch-B和F1000-E連接的接口也工作在trunk模式下，PC1的地址是/8，PC2的地址是/8。此外，要求PC1和PC2能夠通過(guò)業(yè)務(wù)vlan遠(yuǎn)程管理F1000-E。4.3背景需求當(dāng)系統(tǒng)中存在VLAN部署，而VLAN間的通信需要穿過(guò)防火墻。不同的VLAN之間需要進(jìn)行隔離，而且所有VLAN的防火墻策略（比如配置在接口上的防火墻包過(guò)濾）是一樣的。4.4實(shí)驗(yàn)設(shè)備與版本主機(jī)：2臺(tái)線纜：若干防火墻：SecPath防火墻：R3102P10及以上版本交換機(jī)：任意二層交換機(jī)兩臺(tái)4.5實(shí)驗(yàn)過(guò)程實(shí)驗(yàn)任務(wù)：VLAN透?jìng)鞑襟E一：命令行配置命令行配置如下：#vlan1#vlan2to4094#interfaceVlan-interface100ipaddress#interfaceGigabitEthernet0/2portlink