实验 V3防火墙基本配置(二层模式)实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段,在交换机上划分了两个VLAN,在路由器上设置单臂路由,内 网用户DHCP获取IP地址,DHCP服务器为MSR路由器为了安全,用户现在在内网交 换机和路由器之间增加了一个F1000-S防火墙,为了不改变网络架构,用户要求将防火墙配 置成二层模式三、拓扑图nternetMSR 20VLANA■VLAN20S3100F1000-S四、配置步骤基本配置1. 基本配置:设备命名,先不将防火墙加入网络,保证内网运行正常2. 将防火墙加入到网络中,进行防火墙的基本配置3. 将防火墙转换成二层模式,保证内网运行正常防火墙的配置:一、基本配置:1、设备命名,防火墙数据放通,接口加入区域systemsys F1000-Sfirewall packet-filter enable 〃开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为 permitfirewall zone trust 〃内网口加入 trustadd interface g1/0quitfirewall zone untrust 〃外网口加入 untrustadd interface g2/0 quit〃启用桥接模式〃建立一个桥组〃设置管理地址ip address 192.168.1.100 255.255.255.0 quit int g1/0 bridge-set 1 quit int g2/0 bridge-set 1 quit firewall zone trust add interface bridge-template 1 quit ip route 0.0.0.0 0.0.0.0 192.168.1.13、 放通DHCP报文〃将接口加入桥组〃将桥模板加入区域〃管理ip的路由2、 将防火墙转换成二层模式: bridge enable bridge 1 enable int bridge-template 1bridge 1 firewall unknown-mac flood //未矢口 MAC 洪泛1.1 五、查看和测试:使用dis cu使用dis ver查看防火墙的配置 查看防火墙的软件版本1、 在内网PC机上获取IP地址,能否获取到?2、 获取IP地址后,PC能否Ping通网关,能否上公网?3、 内网PC机能否管理F1000-S1.2六、实验思考:1、当需要管理F1000-S防火墙时,我们需要登录bridge-template接口,请考虑这个时候对 内网S3100交换机有什么特殊要求?1.3附:老版本的二层模式配置:firewall mode transparent (配置为透明模式)firewall system-ip 192.168.1.254 255.255.255.0 (这是防火墙的管理 IP 地址) interface Ethernet2/0 (进入 WAN 口) promiscuous (配置为透明传输)quitinterface Ethernet1/0 (进入 LAN 口)promiscuous (配置为透明传输)quitfirewall packet-filter default permit (配置防火墙默认规则)firewall unknown-mac flood (未知 MAC 泛洪)。