防火墙透明模式配置（二层模式）

实验 V3防火墙透明模式（二层模式）

一、 实验目的

了解并熟悉H3C Secpath V3防火墙的两种二层模式配置

二、 场景描述

用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图

四、配置步骤

基本配置

1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常 2. 将防火墙加入到网络中，进行防火墙的基本配置 3. 将防火墙转换成二层模式，保证内网运行正常

防火墙的配置： 一、基本配置：

1、设备命名，防火墙数据放通，接口加入区域 system sys F1000-S

firewall packet-filter enable //开通防火墙的包过滤功能 firewall packet-filter default permit //包过滤的默认规则为permit firewall zone trust //内网口加入trust add interface g1/0 quit

firewall zone untrust //外网口加入untrust add interface g2/0

quit

2、将防火墙转换成二层模式：

bridge enable //启用桥接模式 bridge 1 enable //建立一个桥组 int bridge-template 1 //设置管理地址 ip address 192.168.1.100 255.255.255.0 quit

int g1/0 //将接口加入桥组 bridge-set 1 quit int g2/0 bridge-set 1 quit

firewall zone trust //将桥模板加入区域 add interface bridge-template 1 quit

ip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由 3、放通DHCP报文

bridge 1 firewall unknown-mac flood //未知MAC洪泛

1.1 五、查看和测试：

使用dis cu 查看防火墙的配置 使用dis ver 查看防火墙的软件版本

1、在内网PC机上获取IP地址，能否获取到？

2、获取IP地址后，PC能否Ping通网关，能否上公网？ 3、内网PC机能否管理F1000-S

1.2 六、实验思考：

1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？

1.3 附：老版本的二层模式配置：

firewall mode transparent （配置为透明模式） firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址） interface Ethernet2/0（进入WAN口）

promiscuous （配置为透明传输）

quit interface Ethernet1/0 （进入LAN口）

promiscuous （配置为透明传输） quit

firewall packet-filter default permit （配置防火墙默认规则） firewall unknown-mac flood （未知MAC泛洪）