基础防火墙接口类型全介绍_XMWS IT_防火墙的出接口

物理接口防火墙支持的接口可以是二层接口或者三层接口二层接口：portswitch三层接口：undoportswitch

逻辑接口VT接口、dialer接口tunnel接口、null接口vlanif接口三层以太网子接口Eth-Trunk接口、loobacp接口

防火墙的Eth-trunk

优点：本质是要提高链路的带宽可靠性负载分担

Eth-trunk模式分类：手工负载分担模式注意：所有链路都要参与转发静态LACP模式注意:可以所有，也可以配置备份M:N形式Eth-trunk接口类型三层Eth-trunk二层Eth-trunk交换机上面为二层Eth-trunk第一步：新建Eth-trunk及模式

interfaceEth-Trunk1modelacp-static---------默认手工负载分担

第二步：定义Eth-trunk类型

第三步：把接口加入Eth-trunk组方法一

方法二

防火墙上面为三层Eth-trunk第一步：创建ETH-TRUNK及模式

第二步：接口成员加入ETH-TRUNK

检查Eth-Trunk的配置

displayeth-trunk115:10:492019/06/02Eth-Trunk1'sstateinformationis:Local:LAGID:1WorkingMode:STATICPreemptDelay:DisableHashArichmetic:AccordingtoIPSystemPriority:32768SystemID:2444-27ca-fbffLeastactive-linknumber:1Maxactive-linknumber:8OperateStatus:upNumberofUpPortinTrunk:2----------------------------------------------------ActorPortNameStatusPortTypePortPriPortNoPortKeyPortStateWeigthGigabitEthernet0/0/1Selected100M32768264101111001GigabitEthernet0/0/2Selected100M32768364101111001Partner:----------------------------------------------------ActorPortNameSysPriSystemIDPortPriPortNoPortKeyPortStateGigabitEthernet0/0/132768384c-4f60-9d2032768128910111100GigabitEthernet0/0/232768384c-4f60-9d2032768228910111100

防火墙的子接口

物理接口的子接口

防火墙配置子接口

interfaceGigabitEthernet1/0/10-------先取子接口vlan-typedot1q10----------------------封装VLANIDipaddress10.102525250#interfaceGigabitEthernet1/0/16vlan-typedot1q16ipaddress1916102525250#

第二步：把子接口加ZONE

firewallzonetrustaddinterfaceGigabitEthernet1/0/10#firewallzonedmzaddinterfaceGigabitEthernet1/0/16

检查：

[FW1]displayzone20:26:162019/03/07localpriorityis100#trustpriorityis85interfaceofthezoneis:GigabitEthernet0/0/0GigabitEthernet1/0/10#dmzpriorityis50interfaceofthezoneis:GigabitEthernet1/0/16

第三步：测试防火墙直连通信默认一个都通不了，因为华为防火墙默认ZONE与ZONE之间都没有放行安全策略默认的策略是deny

[FW1]displaysecurity-policyall21:35:502019/09/05Total:1RULEIDRULENAMESTATEACTIONHITTED-------------------------------------------------------------------------------0defaultenabledeny275-------------------------------------------------------------------------------[FW1]security-policydefaultactionpermit----------默认全开安全策略

测试各个直接通信测试完毕一定要记得关闭

注意：关于PING的问题如果在防火墙上PING各个ZONE，只要上面放行所有安全策略，就可以访问如果从各个安全区域访问防火墙的接口，全放安全策略无用，必须开启接口的访问管理PING，这样才能PING通防火墙接口第五步：检查测试

逻辑接口的子接口

三层eth-trunk可以配置IP二层Eth-trunk链路类型默认为hybrid

配置：

interfaceEth-Trunk10vlan-typedot1q10ipaddress10.102525250#interfaceEth-Trunk16vlan-typedot1q16ipaddress1916102525250#

注意：注意:所有防火墙的接口，无论是物理还是逻辑都需要加ZONE防火墙所有的接口都定义ZONE

firewallzonetrustsetpriority85addinterfaceEth-Trunk10#firewallzoneuntrustsetpriority5#firewallzonedmzsetpriority50addinterfaceEth-Trunk16

放行安全策略

防火墙的vlanif接口

实验演示防火墙上面的vlanif接口技术配置思路：第一步:创建VLAN

第二步：把接口配置成为二层

interfaceGigabitEthernet1/0/3portswitchportlink-typeaccess------------默认为ACCESS，可以修改portaccessvlan20#interfaceGigabitEthernet1/0/4portswitchportlink-typeaccessportaccessvlan30

第三步：创建VLANIF接口

interfaceVlanif20ipaddress10.102525250service-managepingpermit#interfaceVlanif30ipaddress10.102525250service-managepingpermit

第四步：接口划入ZONE注意：不需要把接口再划入ZONE，只需要逻辑加ZONE

第五步：测试检查注意:同一个ZONE不需要配置安全策略，可以互相通信------结论对吗？现在USG6320V100版本，就必须要配置同一个ZONE安全策略

文章为作者独立观点，不代表股票交易接口观点