第八章 运行模式.ppt

《第八章 运行模式.ppt》由会员分享，可在线阅读，更多相关《第八章 运行模式.ppt（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第11章章 运行模式运行模式ISSUE 1.1日期：杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播n掌握防火墙的工作模式掌握防火墙的工作模式n掌握防火墙混合模式配置掌握防火墙混合模式配置课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：n工作模式介绍工作模式介绍n透明模式基本配置透明模式基本配置n混合模式基本配置混合模式基本配置目录目录4三种工作模式内网外网实际连线报文路径202.110.2.0/24202.110.2.0/24防火墙l路由模式l透明模式l混合模式5路由模式内网外网实际连线报文路径202.110.2.0/24202.110.2.0/24防火墙l路

2、由模式6透明模式内网外网实际连线报文路径202.110.2.0/24202.110.2.0/24防火墙l透明模式7透明模式下获取地址表过程(1)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fcbbbbbb00e0-fcaa-8透明模式下获取地址表过程(2)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fcbb-bbb

3、b00e0-fcaa-aaaaMAC地址地址端口端口00e0-fcaa-aaaa100e0-fcbb-9透明模式下转发与过滤(1)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fccc-cccc00e0-fcaa-aaaaMAC地址地址端口端口00e0-fcaa-aaaa100e0-fcbb-bbbb100e0-fccc-cccc200e0-fcdd-dddd2转发10透明模式下转发与过滤(2)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-

4、fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fcbb-bbbb00e0-fcaa-aaaaMAC地址地址端口端口00e0-fcaa-aaaa100e0-fcbb-bbbb100e0-fccc-cccc200e0-fcdd-dddd2不转发11透明模式下转发与过滤(3)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fccc-cccc00e0-fcaa-aaaaMAC地址地址端口端

5、口00e0-fcaa-aaaa100e0-fcbb-12混合模式内网外网202.110.2.0/24202.110.2.0/24防火墙防火墙主备VRRP13混合模式之网桥原理l网桥交换网桥交换接口可加入到网桥中转发依据网桥表：MAC+出接口与交换机转发类似，网桥内数据转发基于网桥表反向地址学习l网桥路由网桥路由BVI接口为网桥内主机的三层网关14混合模式原理l混合模式是基于路由器上的网桥实现混合模式是基于路由器上的网桥实现支持路由和桥接功能支持透明网桥支持子接口的桥接功能l防火墙透明模式与网桥对比防火墙透明模式与网桥对比二层转发流程采用的是网桥转发流程透明模式是系统IP配置来提供设备管理接口，

6、混合模式是用虚拟接口IP管理；增加了模式配置和IP地址配置n工作模式介绍工作模式介绍n透明模式基本配置透明模式基本配置n混合模式基本配置混合模式基本配置目录目录16透明模式基本配置l防火墙透明模式的配置包括防火墙透明模式的配置包括：配置防火墙的工作模式配置防火墙的系统IP地址启动/禁止ARP学习功能配置对未知目的MAC地址的IP报文的处理方式配置基于MAC地址的访问控制列表配置在接口上应用访问控制列表配置MAC地址转发表的老化时间配置允许通过的报文类型 17工作模式配置l配置防火墙的工作模式操作命令配置防火墙工作在透明模式配置防火墙工作在透明模式 firewall mode transpare

7、nt 配置防火墙工作在路由模式配置防火墙工作在路由模式 firewall mode route 恢复防火墙的工作模式为缺恢复防火墙的工作模式为缺省模式省模式 undo firewall mode 18透明模式基本配置l配置防火墙系统IP地址操作命令配置防火墙系统配置防火墙系统IP地址地址 firewall system-ip system-ip-address address-mask 恢复防火墙的缺省系统恢复防火墙的缺省系统IP地址地址 undo firewall system-ip 19透明模式基本配置l启动或禁止ARP学习功能操作命令启动启动ARP表项自动学表项自动学习功能习功能 fir

8、ewall arp-learning enable 禁止禁止ARP表项自动学表项自动学习功能习功能 undo firewall arp-learning enable 20透明模式基本配置l配置对未知目的MAC的IP报文的处理方式操作命令配置对未知目的配置对未知目的MAC地址的单播地址的单播IP报文的处报文的处理方式理方式 firewall unknown-mac unicast drop|arp|flood 配置对组播和广播配置对组播和广播IP报报文的处理方式文的处理方式 firewall unknown-mac broadcast|multicast drop|flood 恢复对未知目的恢

9、复对未知目的MAC地址的地址的IP报文的处理方报文的处理方式为缺省值式为缺省值 undo firewall unknown-mac unicast|broadcast|multicast 21透明模式基本配置l配置基于MAC地址的访问控制列表操作命令创建访问控制列表创建访问控制列表并进入并进入ACL视图视图 acl number acl-number 删除访问控制列表删除访问控制列表 undo acl number acl-number|all 创建基于创建基于MAC地址地址的访问控制规则的访问控制规则 rule rule-id permit|deny type type-code type-

10、wildcard|lsap lsap-code lsap-wildcard source-mac sour-addr source-wildcard dest-mac dest-addr dest-wildcard 删除基于以太网删除基于以太网MAC地址的访问控地址的访问控制规则制规则 undo rule rule-id 22透明模式基本配置l在接口上应用访问控制列表操作命令配置入配置入/出接口出接口方向上应用访问方向上应用访问控制列表控制列表 firewall ethernet-frame-filter acl-number inbound|outbound 删除入删除入/出接口出接口方向上

11、的访问控方向上的访问控制列表制列表 undo firewall ethernet-frame-filter inbound|outbound 23透明模式基本配置l配置MAC地址转发表的老化时间操作命令配置配置MAC地址转地址转发表的老化时间发表的老化时间 firewall transparent-mode aging-time seconds 恢复恢复MAC地址转地址转发表的老化时间为发表的老化时间为缺省值缺省值 undo firewall transparent-mode aging-time 24透明模式基本配置l配置允许通过的报文类型操作命令配置允许通过的报配置允许通过的报文类型文类型

12、 firewall transparent-mode transmit bpdu|dlsw|ipx 配置拒绝通过的报配置拒绝通过的报文类型文类型 undo firewall transparent-mode transmit bpdu|dlsw|ipx 25透明模式基本配置l透明防火墙的显示与调试操作命令显示当前防火墙的工作模显示当前防火墙的工作模式式 display firewall mode 显示以太帧过滤的统计信显示以太帧过滤的统计信息息 display firewall ethernet-frame-filter all|interface interface-type interfa

13、ce-number 显示透明防火墙的配置信显示透明防火墙的配置信息息 display firewall transparent-mode config 显示透明防火墙的显示透明防火墙的MAC地地址表信息址表信息 display firewall transparent-mode address-table interface interface-type interface-number|mac mac-address 26透明模式基本配置l透明防火墙的显示与调试(续)操作命令显示透明防火墙的流量信显示透明防火墙的流量信息息 display firewall transparent-mode

14、traffic interface interface-type interface-number 打开以太帧过滤的调试开打开以太帧过滤的调试开关关 debugging firewall eff interface interface-type interface-number 打开透明防火墙的打开透明防火墙的IP报文报文转发调试开关转发调试开关 debugging firewall transparent-mode ip-forwarding 清除以太帧的过滤信息清除以太帧的过滤信息 reset firewall ethernet-frame-filter all|interface int

15、erface-type interface-number 27透明模式基本配置l透明防火墙的显示与调试(续)操作命令清除清除MAC地址表中的地址表中的信息信息 reset firewall transparent-mode address-table interface interface-type interface-number 清除透明防火墙的流清除透明防火墙的流量统计信息量统计信息 reset firewall transparent-mode traffic interface interface-type interface-number n工作模式介绍工作模式介绍n透明模式基本配

16、置透明模式基本配置n混合模式基本配置混合模式基本配置目录目录29混合模式命令混合模式命令l增加的桥组配置增加的桥组配置使能桥模块 bridge enable创建一个桥组 bridge 1 enable接口加入桥组bridge-set 1 创建BVI接口int Bridge-template 1快转使能 bridge-set fast-forwarding 30混合模式应用之一混合模式应用之一lSecPath F1000-S防火墙部署在公网出口，下联两台核心防火墙部署在公网出口，下联两台核心交换机，两台交换机做冗余备份交换机，两台交换机做冗余备份l组网图组网图31混合模式应用之二混合模式应用之二

17、 客户端PC，A、C属于VLAN100，客户端PC，B、D属于VLAN200，用来模拟属于不同VLAN的用户，在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式，保证带Tag标记的报文能够透传。要求Vlan100Vlan100F1000-AF1000-ASwitch2Switch2A ASwitch1Switch1Vlan200Vlan200Vlan100Vlan100Vlan200Vlan200B BC CD D80.1.1.2/2480.1.1.2/2480.1.1.1/2480.1.1.1/2490.1.1.2/2490.1.1.2/2490.1.1.1/2490.1.1.1

18、/32混合模式应用之二（续）混合模式应用之二（续）H3Cfirewall packet-filter default permit/防火墙包过滤默认改为允许H3Cbridge enable/使能桥组功能H3Cbridge 1 enable/创建桥组1H3CinterfaceGigabitEthernet0/0/进入连接g0/0的接口视图H3C-GigabitEthernet0/0bridge-set 1/将接口g0/0加入到桥组1H3C-GigabitEthernet0/0bridge vlanid-transparent-transmit enable/使能接口VLAN透传H3C-Gigab

19、itEthernet0/0interface GigabitEthernet0/1 H3C-GigabitEthernet0/1bridge-set 1/将接口g1/0加入到桥组1H3C-GigabitEthernet0/1bridge vlanid-transparent-transmit enable/使能接口VLAN透传H3Cfirewall zone trust H3C-zone-trustadd interface GigabitEthernet0/0 H3Cfirewall zone untrust H3C-zone-untrustadd interface GigabitEthernet0/33混合模式应用之三混合模式应用之三lSecPath防火墙混合模式在综合组网中的应用防火墙混合模式在综合组网中的应用l组网图组网图n介绍防火墙的工作模式介绍防火墙的工作模式n透明模式的配置透明模式的配置n混合模式基本配置混合模式基本配置本章小结本章小结杭州华三通信技术有限公司