华为防火墙 |
您所在的位置:网站首页 › 交换机与防火墙连接的接口需设置trunk › 华为防火墙 |
1.使用eNSP拓扑图搭建以下拓扑图,并按如下要求规划IP地址 方法一:access与trunk搭配 Lsw1 : g0/0/3 配置access口,pvid 为10, g0/0/4配置access口,pvid 为 20。 G0/0/1和g0/0/2配置聚合链路Eth-trunk 1,再为聚合接口为配置trunk口,然后放行 vlan 10 和 20。 防火墙: 1.G0/0/1和g0/0/2配置聚合链路Eth-trunk,再给聚合接口Eth-trunk 1划分两子接口Eth-trunk1.1和Eth-trunk1.2,分别给两个接口配上相应的网关ip地址 2.vlan-type dot1q 10和 20(类似于路由器上的dot1q termination pvid 10) 3.在开启子接口下开启ping的服务,service-manage ping permit 4.进入trust区域,将聚合接口和其子接口都加入进该区域 5.最后在系统模式下配置安全策略,默认允许所有动作 security-policy default action permit 方法二:hybrid搭配 Lsw1 : g0/0/3 配置hybrid口,pvid 为10,untagged 发送, g0/0/4配置hybrid口,pvid 为 20,untagged 发送。 G0/0/1和g0/0/2配置聚合链路Eth-trunk 1,再为聚合接口为配置hybrid口, 在两个接口下都,配置hybrid接口,tagged保留相应的vlan标签发送。 防火墙: 1.G0/0/1和g0/0/2配置聚合链路Eth-trunk,再给聚合接口Eth-trunk 1划分两子接口Eth-trunk1.1和Eth-trunk1.2,分别给两个接口配上相应的网关ip地址 2.vlan-type dot1q 10和 20(类似于路由器上的dot1q termination pvid 10) 3.在开启子接口下开启ping的服务,service-manage ping permit 4.进入trust区域,将聚合接口和其子接口都加入进该区域 5.最后在系统模式下配置安全策略,默认允许所有动作 security-policy default action permit 我采用的是方法一:access与trunk搭配 SW上的配置:# interface Eth-Trunk1 创建聚合链路的接口Eth-Trunk1 port link-type trunk 将Eth-Trunk1 设为trunk口 port trunk allow-pass vlan 10 20 放行vlan10 和 20 # #interface GigabitEthernet0/0/3 port link-type access port default vlan 10 # interface GigabitEthernet0/0/4 port link-type access port default vlan 20 # FW上的配置(有两种配置方案):# security-policy 系统模式下配置安全策略 default action permit 默认允许动作 # # interface Eth-Trunk1.1 进入Eth-Trunk1 子接口1.1 vlan-type dot1q 10 dot1q终结,终结vlan10标签 description vlan 10 作为一个描述接口的命令(vlan10的接口) ip address 192.50.10.1 255.255.255.0 service-manage ping permit 允许ping这个服务 # interface Eth-Trunk1.2 (同理) vlan-type dot1q 20 description vlan 20 ip address 192.50.20.1 255.255.255.0 service-manage ping permit # # firewall zone trust 进入trust受信任区域 set priority 85 add interface Eth-Trunk1 将 Eth-Trunk1 和1.1和1.2都加入进该区域 add interface Eth-Trunk1.1 add interface Eth-Trunk1.2 add interface GigabitEthernet0/0/0 #
|
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |