物理接口防火墙支持的接口可以是二层接口或者三层接口二层接口:portswitch三层接口:undoportswitch
逻辑接口VT接口、dialer接口tunnel接口、null接口vlanif接口三层以太网子接口Eth-Trunk接口、loobacp接口
防火墙的Eth-trunk
优点:本质是要提高链路的带宽可靠性负载分担
Eth-trunk模式分类:手工负载分担模式注意:所有链路都要参与转发静态LACP模式注意:可以所有,也可以配置备份M:N形式Eth-trunk接口类型三层Eth-trunk二层Eth-trunk交换机上面为二层Eth-trunk第一步:新建Eth-trunk及模式
interfaceEth-Trunk1modelacp-static---------默认手工负载分担
第二步:定义Eth-trunk类型
第三步:把接口加入Eth-trunk组方法一
方法二
防火墙上面为三层Eth-trunk第一步:创建ETH-TRUNK及模式
第二步:接口成员加入ETH-TRUNK
检查Eth-Trunk的配置
防火墙的子接口
物理接口的子接口
防火墙配置子接口
interfaceGigabitEthernet1/0/10-------先取子接口vlan-typedot1q10----------------------封装VLANIDipaddress10.102525250#interfaceGigabitEthernet1/0/16vlan-typedot1q16ipaddress1916102525250#
第二步:把子接口加ZONE
firewallzonetrustaddinterfaceGigabitEthernet1/0/10#firewallzonedmzaddinterfaceGigabitEthernet1/0/16
检查:
[FW1]displayzone20:26:162019/03/07localpriorityis100#trustpriorityis85interfaceofthezoneis:GigabitEthernet0/0/0GigabitEthernet1/0/10#dmzpriorityis50interfaceofthezoneis:GigabitEthernet1/0/16
第三步:测试防火墙直连通信默认一个都通不了,因为华为防火墙默认ZONE与ZONE之间都没有放行安全策略默认的策略是deny
[FW1]displaysecurity-policyall21:35:502019/09/05Total:1RULEIDRULENAMESTATEACTIONHITTED-------------------------------------------------------------------------------0defaultenabledeny275-------------------------------------------------------------------------------[FW1]security-policydefaultactionpermit----------默认全开安全策略
测试各个直接通信测试完毕一定要记得关闭
注意:关于PING的问题如果在防火墙上PING各个ZONE,只要上面放行所有安全策略,就可以访问如果从各个安全区域访问防火墙的接口,全放安全策略无用,必须开启接口的访问管理PING,这样才能PING通防火墙接口第五步:检查测试
逻辑接口的子接口
三层eth-trunk可以配置IP二层Eth-trunk链路类型默认为hybrid
配置:
interfaceEth-Trunk10vlan-typedot1q10ipaddress10.102525250#interfaceEth-Trunk16vlan-typedot1q16ipaddress1916102525250#
注意:注意:所有防火墙的接口,无论是物理还是逻辑都需要加ZONE防火墙所有的接口都定义ZONE
firewallzonetrustsetpriority85addinterfaceEth-Trunk10#firewallzoneuntrustsetpriority5#firewallzonedmzsetpriority50addinterfaceEth-Trunk16
放行安全策略
防火墙的vlanif接口
实验演示防火墙上面的vlanif接口技术配置思路:第一步:创建VLAN
第二步:把接口配置成为二层
interfaceGigabitEthernet1/0/3portswitchportlink-typeaccess------------默认为ACCESS,可以修改portaccessvlan20#interfaceGigabitEthernet1/0/4portswitchportlink-typeaccessportaccessvlan30
第三步:创建VLANIF接口
interfaceVlanif20ipaddress10.102525250service-managepingpermit#interfaceVlanif30ipaddress10.102525250service-managepingpermit
第四步:接口划入ZONE注意:不需要把接口再划入ZONE,只需要逻辑加ZONE
第五步:测试检查注意:同一个ZONE不需要配置安全策略,可以互相通信------结论对吗?现在USG6320V100版本,就必须要配置同一个ZONE安全策略
文章为作者独立观点,不代表股票交易接口观点