第11章运行模式ISSUE1.1日期:杭州华三通信技术有限公司版权所有,未经授权不得使用与传播掌握防火墙的工作模式掌握防火墙混合模式配置课程目标学习完本课程,您应该能够:工作模式介绍透明模式基本配置混合模式基本配置目录防火墙路由模式透明模式混合模式防火墙路由模式10.110.1.254202.110.2.1防火墙透明模式透明模式下获取地址表过程(1)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fcbb-bbbb00e0-fcaa-aaaa透明模式下获取地址表过程(2)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fcbb-bbbb00e0-fcaa-aaaaMAC地址端口00e0-fcaa-aaaa100e0-fcbb-bbbb1透明模式下转发与过滤(1)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fccc-cccc00e0-fcaa-aaaaMAC地址端口00e0-fcaa-aaaa100e0-fcbb-bbbb100e0-fccc-cccc200e0-fcdd-dddd2转发透明模式下转发与过滤(2)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fcbb-bbbb00e0-fcaa-aaaaMAC地址端口00e0-fcaa-aaaa100e0-fcbb-bbbb100e0-fccc-cccc200e0-fcdd-dddd2不转发透明模式下转发与过滤(3)工作站A工作站B工作站C工作站D以太网段1以太网段200e0-fcaa-aaaa00e0-fcbb-bbbb00e0-fccc-cccc00e0-fcdd-dddd接口1接口200e0-fccc-cccc00e0-fcaa-aaaaMAC地址端口00e0-fcaa-aaaa100e0-fcbb-bbbb1防火墙防火墙主备VRRP混合模式之网桥原理网桥交换接口可加入到网桥中转发依据网桥表:MAC+出接口与交换机转发类似,网桥内数据转发基于网桥表反向地址学习网桥路由BVI接口为网桥内主机的三层网关混合模式原理混合模式是基于路由器上的网桥实现支持路由和桥接功能支持透明网桥支持子接口的桥接功能防火墙透明模式与网桥对比二层转发流程采用的是网桥转发流程透明模式是系统IP配置来提供设备管理接口,混合模式是用虚拟接口IP管理;增加了模式配置和IP地址配置工作模式介绍透明模式基本配置混合模式基本配置目录透明模式基本配置防火墙透明模式的配置包括:配置防火墙的工作模式配置防火墙的系统IP地址启动/禁止ARP学习功能配置对未知目的MAC地址的IP报文的处理方式配置基于MAC地址的访问控制列表配置在接口上应用访问控制列表配置MAC地址转发表的老化时间配置允许通过的报文类型工作模式配置配置防火墙的工作模式操作命令配置防火墙工作在透明模式firewallmodetransparent配置防火墙工作在路由模式firewallmoderoute恢复防火墙的工作模式为缺省模式undofirewallmode透明模式基本配置配置防火墙系统IP地址操作命令配置防火墙系统IP地址firewallsystem-ipsystem-ip-address[address-mask]恢复防火墙的缺省系统IP地址undofirewallsystem-ip透明模式基本配置启动或禁止ARP学习功能操作命令启动ARP表项自动学习功能firewallarp-learningenable禁止ARP表项自动学习功能undofirewallarp-learningenable透明模式基本配置配置对未知目的MAC的IP报文的处理方式操作命令配置对未知目的MAC地址的单播IP报文的处理方式firewallunknown-mac[unicast]{drop|arp|flood}配置对组播和广播IP报文的处理方式firewallunknown-mac{broadcast|multicast}{drop|flood}恢复对未知目的MAC地址的IP报文的处理方式为缺省值undofirewallunknown-mac[unicast|broadcast|multicast]透明模式基本配置配置基于MAC地址的访问控制列表操作命令创建访问控制列表并进入ACL视图aclnumberacl-number删除访问控制列表undoacl{numberacl-number|all}创建基于MAC地址的访问控制规则rule[rule-id]{permit|deny}[typetype-codetype-wildcard|lsaplsap-codelsap-wildcard]][source-macsour-addrsource-wildcard][dest-macdest-addrdest-wildcard]删除基于以太网MAC地址的访问控制规则undorulerule-id透明模式基本配置在接口上应用访问控制列表操作命令配置入/出接口方向上应用访问控制列表firewallethernet-frame-filteracl-number{inbound|outbound}删除入/出接口方向上的访问控制列表undofirewallethernet-frame-filter{inbound|outbound}透明模式基本配置配置MAC地址转发表的老化时间操作命令配置MAC地址转发表的老化时间firewalltransparent-modeaging-timeseconds恢复MAC地址转发表的老化时间为缺省值undofirewalltransparent-modeaging-time透明模式基本配置配置允许通过的报文类型操作命令配置允许通过的报文类型firewalltransparent-modetransmit{bpdu|dlsw|ipx}配置拒绝通过的报文类型undofirewalltransparent-modetransmit{bpdu|dlsw|ipx}透明模式基本配置透明防火墙的显示与调试操作命令显示当前防火墙的工作模式displayfirewallmode显示以太帧过滤的统计信息displayfirewallethernet-frame-filter{all|interfaceinterface-typeinterface-number}显示透明防火墙的配置信息displayfirewalltransparent-modeconfig显示透明防火墙的MAC地址表信息displayfirewalltransparent-modeaddress-table[interfaceinterface-typeinterface-number|macmac-address]透明模式基本配置透明防火墙的显示与调试(续)操作命令显示透明防火墙的流量信息displayfirewalltransparent-modetraffic[interfaceinterface-typeinterface-number]打开以太帧过滤的调试开关debuggingfirewalleff[interfaceinterface-typeinterface-number]打开透明防火墙的IP报文转发调试开关debuggingfirewalltransparent-modeip-forwarding清除以太帧的过滤信息resetfirewallethernet-frame-filter{all|interfaceinterface-typeinterface-number}透明模式基本配置透明防火墙的显示与调试(续)操作命令清除MAC地址表中的信息resetfirewalltransparent-modeaddress-table[interfaceinterface-typeinterface-number]清除透明防火墙的流量统计信息resetfirewalltransparent-modetraffic[interfaceinterface-typeinterface-number]工作模式介绍透明模式基本配置混合模式基本配置目录混合模式命令增加的桥组配置使能桥模块bridgeenable创建一个桥组bridge1enable接口加入桥组bridge-set1创建BVI接口intBridge-template1快转使能bridge-setfast-forwarding混合模式应用之一SecPathF1000-S防火墙部署在公网出口,下联两台核心交换机,两台交换机做冗余备份组网图,A、C属于VLAN100,客户端PC,B、D属于VLAN200,用来模拟属于不同VLAN的用户,在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式,保证带Tag标记的报文能够透传。要求Vlan100F1000-ASwitch2ASwitch1Vlan200Vlan100Vlan200BCD80.1.1.2/2480.1.1.1/2490.1.1.2/2490.1.1.1/24混合模式应用之二(续)[H3C]firewallpacket-filterdefaultpermit//防火墙包过滤默认改为允许[H3C]bridgeenable//使能桥组功能[H3C]bridge1enable//创建桥组1[H3C]interfaceGigabitEthernet0/0//进入连接g0/0的接口视图[H3C-GigabitEthernet0/0]bridge-set1//将接口g0/0加入到桥组1[H3C-GigabitEthernet0/0]bridgevlanid-transparent-transmitenable//使能接口VLAN透传[H3C-GigabitEthernet0/0]interfaceGigabitEthernet0/1[H3C-GigabitEthernet0/1]bridge-set1//将接口g1/0加入到桥组1[H3C-GigabitEthernet0/1]br