FW013014SecPathF1000E基本轉(zhuǎn)發(fā)配置指導(dǎo)

TOC\o"1-5"\h\z\o"CurrentDocument"實驗1SecPath防火墻透明模式配置基礎(chǔ) 1-1\o"CurrentDocument"1.1實驗內(nèi)容與目標 1-1\o"CurrentDocument"1.2實驗組網(wǎng)圖 1-1\o"CurrentDocument"1.3實驗設(shè)備與版本 1-1\o"CurrentDocument"1.4實驗過程 1-2實驗任務(wù)：透明模式下各區(qū)域的互通 1-2\o"CurrentDocument"1.5實驗中的命令列表 1-3\o"CurrentDocument"1.6思考題 1-4\o"CurrentDocument"實驗2SecPath防火墻路由模式配置基礎(chǔ) 2-4\o"CurrentDocument"2.1實驗內(nèi)容與目標 2-4\o"CurrentDocument"2.2實驗組網(wǎng)圖 2-4\o"CurrentDocument"2.3實驗設(shè)備與版本 2-4\o"CurrentDocument"2.4實驗過稈 2-5實驗任務(wù)：路由模式下各區(qū)域的互通 2-5\o"CurrentDocument"2.5實驗中的命令列表 2-12\o"CurrentDocument"2.6思考題 2-13\o"CurrentDocument"實驗3SecPath防火墻混合模式配置基礎(chǔ) 3-13\o"CurrentDocument"3.1實驗內(nèi)容與目標 3-13\o"CurrentDocument"3.2實驗組網(wǎng)圖 3-13\o"CurrentDocument"3.3背景需求 3-14\o"CurrentDocument"3.4實驗設(shè)備與版本 3-14\o"CurrentDocument"3.5實驗過程 3-14實驗任務(wù)一：混合模式下各區(qū)域的互通 3-14\o"CurrentDocument"3.6實驗中的命令列表 3-15\o"CurrentDocument"3.7思考題 3-16\o"CurrentDocument"實驗4SecPath防火墻VLAN透傳 4-16\o"CurrentDocument"實驗內(nèi)容與目標 4-16\o"CurrentDocument"實驗組網(wǎng)圖 4-16\o"CurrentDocument"4.3背景需求 4-16\o"CurrentDocument"4.4實驗設(shè)備與版本 4-17\o"CurrentDocument"4.5實驗過稈 4-17實驗任務(wù)：VLAN透傳 4-17\o"CurrentDocument"4.6實驗中的命令列表 4-18\o"CurrentDocument"4.7思考題 4-19實驗1SecPath防火墻透明模式配置基礎(chǔ)1.1實驗內(nèi)容與目標完成本實驗，您應(yīng)該能夠：?了解以防火墻透明模式工作原理?掌握防火墻透明模式的基本配置方法?掌握防火墻透明模式的常用配置命令1.2實驗組網(wǎng)圖圖1-1透明模式轉(zhuǎn)發(fā)組網(wǎng)圖組網(wǎng)要求說明：如圖：PC1和PC2分別連在F1OOO-E防火墻的GeO/1和GeO/2接口上，其IP地址分別為/24和/24，需要通過F1000-E實現(xiàn)互通。1.3實驗設(shè)備與版本主機：2臺線纜：若干SecPath防火墻：R3102P10及以上版本1.4實驗過程實驗任務(wù)：透明模式下各區(qū)域的互通步驟一：命令行配置命令行配置如下：#vlan1#vlan100#interfaceGigabitEthernet0/1portlink-modebridgeportaccessvlan100#interfaceGigabitEthernet0/2portlink-modebridgeportaccessvlan100#步驟二：web相關(guān)配置web相關(guān)配置如下：進入WEB管理界面后，單擊“系統(tǒng)管理”>>“安全域管理”，編輯trust安全域，將GeO/1加入該域：修改安全域ID:I2域名:|Trust憂先級：|05(1-1003艾享：|No二|虛擬設(shè)備:|Root所輸入的鵡荊圍應(yīng)加,"及"-璉接』例如；3,5-10星號D為必須埴寫項確定I取消|把GeO/1接口加入trust域同樣的操作，將Ge0/2加入untrust安全域；然后通過WEB頁面配置trust與untrust之間的策略可實現(xiàn)安全過濾。實驗中的命令列表表1-1命令列表命令描述portlink-modebridge以太網(wǎng)接口可工作在二層模式(bridge)portaccessvlan設(shè)置所屬Vlan配置命令介紹：請參考《20071102-H3CSecPath系列安全產(chǎn)品用戶手冊(V1.00)》。1.6思考題SecPath防火墻透明模式與混合模式的區(qū)別在哪里?

實驗2SecPath防火墻路由模式配置基礎(chǔ)2.1實驗內(nèi)容與目標完成本實驗，您應(yīng)該能夠：?了解以防火墻路由模式工作原理?掌握防火墻路由模式的基本配置方法?掌握防火墻路由模式的常用配置命令2.2實驗組網(wǎng)圖GeO/1/2GeO/2/24F1000-EGeO/1/2GeO/2/24圖2-2路由模式轉(zhuǎn)發(fā)組網(wǎng)組網(wǎng)要求說明：如圖：PC1和PC2分別連在F1000-E防火墻的Ge0/1和Ge0/2接口上，其IP地址分別為/24和/24,需要通過F1000-E實現(xiàn)互通。F1000-E防火墻的Ge0/1和Ge0/2的接口IP分別為/24和/24。2.3實驗設(shè)備與版本主機：2臺線纜：若干SecPath防火墻：R3102P10及以上版本2.4實驗過程實驗任務(wù)：路由模式下各區(qū)域的互通步驟一：命令行配置命令行配置如下：#aclnumber2000rule0permit#interfaceGigabitEthernet0/1portlink-moderouteipaddress#interfaceGigabitEthernet0/2portlink-moderouteipaddress#步驟二：web相關(guān)配置web相關(guān)配置如下：將接口Ge0/1和Ge0/2分別添加到Trust和Untrust域修改安全域星號〔料為必須埴寫項確走|取消|把Ge0/1接口加入trust域ID:或名:|Untrust憂先級；|5 (1-1003共享：|NoT虛擬設(shè)備：|Root接口；星號〔乍尙必須埴寫項確定|取消|

把GeO/2接口加入untrust域

單擊“策略管理”>>“地址轉(zhuǎn)換策略”>>“地址轉(zhuǎn)換”，單擊“新建”按鈕，在Ge0/2接口上，配置NATOutboundEasy-ip/PAT在GeO/2接口上，配置NATServer（以HTTP協(xié)議為例）單擊“策略管理”>>“地址轉(zhuǎn)換策略”>>“內(nèi)部服務(wù)器”，單擊“新建”按鈕接口：接口：|GigabitEthernetO/2仲N實例:13協(xié)邊類型：6(TCP)3外制F地址：00確定|取消|配己置natserver配置從Untrust域到Trust域的面向?qū)ο驛CL,允許外網(wǎng)用戶訪問Trust區(qū)的Web服務(wù)器）。單擊“對象管理”>>“地址對象”>>“地址對象”，單擊“增加”按鈕，增加地址對象

單擊“對象管理”>>“地址對象”>>“地址組對象”，單擊“增加”按鈕，增加地址組對象，把前面新建的地址對象WebServerAddr加入地址組對象WebServerGroup新淫地址組對象組對象名稱:WebSen/erGro叩=新淫地址組對象組對象名稱:WebSen/erGro叩=（1-31字符）地址組成員webserveraddr確走I返回新建地址組對象單擊“對象管理”>>“服務(wù)對象”>>“自定義服務(wù)對象”，單擊“增加”按鈕，增加服務(wù)對象新逹自運義服務(wù)對象新建自定義服務(wù)對象單擊“對象管理”>>“服務(wù)對象”>>“服務(wù)組對象”，單擊“增加”按鈕，增加服務(wù)組對象，把前面新建的服務(wù)對象WebService加入到服務(wù)組對象WebServiceGroup中去服務(wù)組成員可坤服勢組成員websenri匚服務(wù)組成員可坤服勢組成員websenri匚rwebsen/icebgpchargencmddaytimedhcp-relaydis；card_tcpfirgerftPftp-getftp-putgopherhttphttpsicnnp-address-mask確是I返回新建服務(wù)組對象單擊“策略管理”>>“訪問控制策略”>>“面向?qū)ο驛CL”，選擇源域為“Untrust”，目的域為“Trust”，單擊“增加”按鈕，Untrust二1目的或|Trust二查詢J目的執(zhí)行UPN實濾地址目的地址服務(wù)爼時間段過濾日志操作域域順序例爼對象爼對象 對象對象動作功能増加|增加從Untrust域到Trust域的域間策略新建訪問控制列表規(guī)則，選擇源地址為any_address，目的地址為地址組對象WebServerGroup，服務(wù)組對象為WebServiceGroup。

實驗中的命令列表表2-2命令列表命令描述aclnumber2000定義ACL過來模板portlink-moderoute以太網(wǎng)接口可工作在三層模式(route)ipaddress添加接口IP配置命令介紹：請參考《20071102-H3CSecPath系列安全產(chǎn)品用戶手冊(V1.00)》。2.6思考題SecPath防火墻混合模式與透明模式的區(qū)別在哪里?

實驗3SecPath防火墻混合模式配置基礎(chǔ)3.1實驗內(nèi)容與目標完成本實驗，您應(yīng)該能夠：?了解以防火墻混合模式工作原理?掌握防火墻混合模式的基本配置方法?掌握防火墻混合模式的常用配置命令3.2實驗組網(wǎng)圖PC1Vlan-lnterface1O/24GeO//24GeO//24GeO/2Ge0/3PC2Ge0/3圖3-3混合模式轉(zhuǎn)發(fā)組網(wǎng)圖組網(wǎng)要求說明：如圖：PC1，PC2和PC3分別連在F1000-E防火墻的Ge0/1，Ge0/2和Ge0/3接口上。PC2和PC3在一個網(wǎng)段/24,其IP地址分別為/24和/24；PC1的地址是/24，需要通過F1000-E實現(xiàn)互通。F1000-E防火墻Ge0/1的接口IP為/24，Ge0/2和Ge0/3所在vlan的vlan-interface的接口IP為/24。3.3背景需求SecPath防火墻支持透明橋組，并同時支持路由和橋接功能。橋組路由功能提供了一種結(jié)合路由和橋接的轉(zhuǎn)發(fā)方法。對于指定的協(xié)議數(shù)據(jù)，如果是在橋組端口之間進行通訊，則進行橋接轉(zhuǎn)發(fā)；如果是需要與非橋組組內(nèi)的網(wǎng)絡(luò)進行通訊，則可以進行網(wǎng)絡(luò)協(xié)議的路由轉(zhuǎn)發(fā)。3.4實驗設(shè)備與版本主機：3臺線纜：若干SecPath防火墻：R3102P10及以上版本3.5實驗過程實驗任務(wù)一：混合模式下各區(qū)域的互通典型配置：Ge0/2和Ge0/3接口工作在二層模式下，加入vlan10,vlan10的三層終結(jié)為vlan-interface10，Ge0/1接口工作在三層模式下。步驟一：命令行下配置基本配置如下：#vlan10#interfaceVlan-interface10ipaddress#interfaceGigabitEthernet0/1portlink-moderouteipaddress#interfaceGigabitEthernet0/2portlink-modebridgeportaccessvlan10#interfaceGigabitEthernet0/3portlink-modebridgeportaccessvlan10步驟二：web相關(guān)配置web相關(guān)配置如下：把GeO/2接口加入trust域，GeO/3接口加入DMZ域，GeO/1接口加入untrust域，Vian-interfacelO加入trust域。根據(jù)實際組網(wǎng)需要添加untrust域到trust域，untrust域到dmz域，dmz域到trust域的域間策略。實驗中的命令列表表3-3命令列表命令描述portlink-moderoute/bridge以太網(wǎng)接口可工作在三層/二層模式(route/bridge)portaccessvlan所屬的Vlan配置命令介紹：請參考《20071102-H3CSecPath系列安全產(chǎn)品用戶手冊(V1.00)》。3.7思考題SecPath防火墻混合模式與透明模式的區(qū)別在哪里?實驗4SecPath防火墻VLAN透傳4.1實驗內(nèi)容與目標完成本實驗，您應(yīng)該能夠：了解SecPath防火墻VLAN透傳的基本工作原理掌握SecPath防火墻VLAN透傳的配置方法掌握SecPath防火墻VLAN透傳簡單排錯方法4.2實驗組網(wǎng)圖Switch-AF1000-ESwitch-B組網(wǎng)要求說明：如圖：F1000-E防火墻Ge0/2和Ge0/3接口都工作在二層，trunk模式，實現(xiàn)vlan透傳，Switch-A和Switch-B和F1000-E連接的接口也工作在trunk模式下，PC1的地址是/8，PC2的地址是/8。此外，要求PC1和PC2能夠通過業(yè)務(wù)vlan遠程管理F1000-E。4.3背景需求當(dāng)系統(tǒng)中存在VLAN部署，而VLAN間的通信需要穿過防火墻。不同的VLAN之間需要進行隔離，而且所有VLAN的防火墻策略（比如配置在接口上的防火墻包過濾）是一樣的。4.4實驗設(shè)備與版本主機：2臺線纜：若干防火墻：SecPath防火墻：R3102P10及以上版本交換機：任意二層交換機兩臺4.5實驗過程實驗任務(wù)：VLAN透傳步驟一：命令行配置命令行配置如下：#vlan1#vlan2to4094#interfaceVlan-interface100ipaddress#interfaceGigabitEthernet0/2portlink