当前位置:文档之家 › 防火墙模块工作模式

防火墙模块工作模式

  • 格式:docx
  • 大小:93.64 KB
  • 文档页数:12

下载文档原格式

  / 12
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1. 2防火墙模块工作模式配置

2. 2.1工作模式概述

M8600-FW防火墙模块可以工作在路由模式或透明模式。

路由模式:

该模式的防火墙模块可以让处于不同网段的设备通过路由转发的方式进行相互通信,IP报文到达防火墙业务模块后按路由模式进行转发(即按目的IP地址进

行选路),缺省情况下为该模式。

透明模式:

该模式的防火墙模块表现为一个透明网桥,它可以连接在IP地址属于同一子网的两个物理子网之间,报文在接口间进行转发时,需要根据报文的MAC 地址来

寻找出接口。

在使用时,用户可以根据实际情况进行选择,让防火墙模块在透明模式和路由模式下进行切换。

3. 2.2理解路由模式

4. 2.2.1路由模式概述

缺省情况下防火墙模块工作在路由模式。

为了配置防火墙工作在路由模式,需要在交换机和防火墙模块上进行如下的配置。

◆交换机

1)创建2个VLAN,把报文的入端口和出端口加入不同的VLAN

2)配置交换机与防火墙模块相连接的2个万兆以太口为聚合口,工作在trunk模

式,允许上述的VLAN通过

◆防火墙模块

1)配置防火墙工作模式为路由模式

2)创建2个VLAN 接口,接口号分别对应于交换机的2个VLAN ID

3)为2个VLAN 接口配置ip地址

若要实现在多个VLAN 的任意两个VLAN 间进行三层转发,需要在交换机中创建多个VLAN,将防火墙保护的流量经过的各端口划分到各个独立的VLAN中,同时在防火

墙创建多个对应的VLAN接口并配置IP地址。

5. 2.2.2路由模式配置

2.2.2.1配置交换机

下述为在交换机设备线卡端的配置:

Step 1

Step 2

Step 3

Step 4

Step 5

Step 6

Step 7

Step 8

Step 9

Step 10

Step 11

Step 12

Step 13

Step 14

Step 15

Step 16

Step 17

2.2.2.2配置防火墙模块

登录防火墙模块后进行下述配置,具体登录方法请见“配置防火墙模块进行登录”一节说明。

Step 1

Step 2

Step 3

Step 4

Step 5

Step 6

6. 2.2.3路由模式典型配置举例

2.2.

3.1组网需求

交换机(作为网关)的G3/1口连接某公司内网,G3/2口连接Internet,内外网互相交换的所有报文都需要经过防火墙过滤。要求采用交换机加防火墙模块的方案,并使用防

火墙路由模式转发的技术实现。

2.2.

3.2组网拓扑

图3路由模式应用拓扑图

2.2.

3.3配置要点

见上述“路由模式配置”部分说明

2.2.

3.4配置步骤

1)配置交换机

# 创建VLAN 2和VLAN 3。配置端口GigabitEthernet 3/1和GigabitEthernet 3/2是Access口,分别加入VLAN 2和VLAN 3。

Ruijie# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Ruijie(config)# vlan2

Ruijie(config-vlan)# exit

Ruijie(config)# vlan 3

Ruijie(config-vlan)# exit

Ruijie(config)# interface G igabitethernet 3/1

Ruijie(config-if)# switchport access vlan2

Ruijie(config-if)# exit

Ruijie(config)# interface G igabitethernet 3/2

Ruijie(config-if)#switchport access vlan3

Ruijie(config-if)# exit

# (防火墙模块位于交换机机箱的第7槽)配置T enGigabitethernet 7/1和

TenGigabitethernet 7/2 (这两个口是交换机和防火墙模块互联的接口)做为聚合口

Aggretegateport 2的成员:

Ruijie(config)# interface TenGigabitethernet7/1

Ruijie(config-if)# port-group 2

Ruijie(config-if)# exit

Ruijie(config)# interface TenGigabitethernet7/2

Ruijie(config-if)# port-group 2

Ruijie(config-if)# exit

# 配置聚合口Aggretegateport 2 工作在Trunk 模式下,允许VLAN 2 和VLAN 3

报文通过。

Ruijie(config)# interface Aggretegateport2

Ruijie(config-if)#switchport mode trunk

Ruijie(config-if)#switchport trunk allowed vlan remove 1,4-4094

2)配置防火墙

# 防火墙工作在路由模式

M8600-FW(config)#no firewall transparent

M8600-FW(config)#interface vlan 2

M8600-FW(config-if)#ip address 202.1.1.1 255.255.255.0

M8600-FW(config)#interface vlan 3

M8600-FW(config-if)# ip address 101.1.1.1 255.255.255.0

相关主题