1、SecPathSecPath防火墙混合模式特性防火墙混合模式特性ISSUE 2.0日期:杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播n 了解防火墙工作模式了解防火墙工作模式n 了解桥组工作原理了解桥组工作原理n 掌握防火墙混合模式原理掌握防火墙混合模式原理n VLAN透传基本原理透传基本原理n 掌握防火墙混合模式配置掌握防火墙混合模式配置课程目标课程目标学习完本课程,您应该能够:学习完本课程,您应该能够:n 防火墙模式简介防火墙模式简介n 混合模式原理混合模式原理n 混合模式命令混合模式命令n VLAN透传基本原理透传基本原理n 混合模式应用混合模式应用n 技术及组网限制技术及组
2、网限制目录目录3防火墙模式简介防火墙模式简介l 防火墙路由模式防火墙路由模式三层路由 +防火墙处理基于路由表转发数据所有接口处于三层路由状态l 防火墙透明模式防火墙透明模式二层交换 +防火墙处理基于”目的MAC+出接口”表转发数据除LoopBack0外,所有接口处于二层交换状态通过系统ip(对应LoopBack0口)进行网管等简单的三层通信防火墙不能同时进行二层交换和三层路由透明模式交换能力有限n 防火墙模式简介防火墙模式简介n 混合模式原理混合模式原理n 混合模式命令混合模式命令n VLAN透传基本原理透传基本原理n 混合模式应用混合模式应用n 技术及组网限制技术及组网限制目录目录5网桥原理
3、网桥原理l 网桥交换网桥交换接口可加入到网桥中转发依据网桥表:MAC+出接口与交换机转发类似,网桥内数据转发基于网桥表反向地址学习l 网桥路由网桥路由BVI接口为网桥内主机的三层网关6混合模式原理混合模式原理l 混合模式是基于路由器上的网桥实现混合模式是基于路由器上的网桥实现支持路由和桥接功能支持透明网桥支持子接口的桥接功能l 防火墙透明模式与网桥对比防火墙透明模式与网桥对比二层转发流程采用的是网桥转发流程透明模式是系统IP配置来提供设备管理接口,混合模式是用虚拟接口IP管理;将网桥中的某些配置修改为透明模式的配置增加了模式配置和IP地址配置7防火墙透明与混合模式比较防火墙透明与混合模式比较l
4、 二层交换和三层转发同时进行,而单独的透明和路由模式二层交换和三层转发同时进行,而单独的透明和路由模式无法实现无法实现l 混合模式优化了转发流程,增加了快转功能,性能大大提混合模式优化了转发流程,增加了快转功能,性能大大提升升l BVI接口的实现为二、三层接口之间转发搭建了桥梁,且接口的实现为二、三层接口之间转发搭建了桥梁,且可以实现不同桥组之间的互访可以实现不同桥组之间的互访n 防火墙模式简介防火墙模式简介n 混合模式原理混合模式原理n 混合模式命令混合模式命令n VLAN透传基本原理透传基本原理n 混合模式应用混合模式应用n 技术及组网限制技术及组网限制目录目录9混合模式命令混合模式命令l
5、 增加的桥组配置增加的桥组配置使能桥模块 bridge enable创建一个桥组 bridge 1 enable接口加入桥组bridge-set 1 创建BVI接口int Bridge-template 1快转使能 bridge-set fast-forwarding 10混合模式命令(续)混合模式命令(续)l 删除的配置删除的配置防火墙模式 相关处理增加到接口加入桥组和从桥组中取出系统配IP置l 修改的配置修改的配置原透明防火墙的配置修改为网桥配置 对未知接口报文的控制 网桥表(MAC表)的操作及老化时间n 防火墙模式简介防火墙模式简介n 混合模式原理混合模式原理n 混合模式命令混合模式命令
6、n VLAN透传基本原理透传基本原理n 混合模式应用混合模式应用n 技术及组网限制技术及组网限制目录目录12VLAN透传基本原理透传基本原理配置了VLAN透传后,防火墙不会对报文的vlan tag进行任何的修改和去除等操作。从而可以实现VLAN tag的透明传输,保证不同VLAN之间的隔离、同一vlan之间的互通。在混合模式下,桥支持VLAN ID透传特性是指:通过对加入桥组的设备出接口配置支持VLAN ID透传,可以使报文从该接口送出时,不对报文的VLAN ID做任何修改。n 防火墙模式简介防火墙模式简介n 混合模式原理混合模式原理n 混合模式命令混合模式命令n VLAN透传基本原理透传基本
7、原理n 混合模式应用混合模式应用n 技术及组网限制技术及组网限制目录目录14混合模式应用之一混合模式应用之一lSecPath F1000-S防火墙部署在公网出口,下联两台核心防火墙部署在公网出口,下联两台核心交换机,两台交换机做冗余备份交换机,两台交换机做冗余备份l组网图组网图l详细配置详细配置15混合模式应用之二混合模式应用之二 客户端PC,A、C属于VLAN100,客户端PC,B、D属于VLAN200,用来模拟属于不同VLAN的用户,在交换机1和交换机2与防火墙相连接口上都要配置成Trunk模式,保证带Tag标记的报文能够透传。要求16混合模式应用之二(续)混合模式应用之二(续)H3Cfi
8、rewall packet-filter default permit/防火墙包过滤默认改为允许H3Cbridge enable/使能桥组功能H3Cbridge 1 enable/创建桥组1H3CinterfaceGigabitEthernet0/0/进入连接g0/0的接口视图H3C-GigabitEthernet0/0bridge-set 1/将接口g0/0加入到桥组1H3C-GigabitEthernet0/0bridge vlanid-transparent-transmit enable/使能接口VLAN透传H3C-GigabitEthernet0/0interface Gigabit
9、Ethernet0/1 H3C-GigabitEthernet0/1bridge-set 1/将接口g1/0加入到桥组1H3C-GigabitEthernet0/1bridge vlanid-transparent-transmit enable/使能接口VLAN透传H3Cfirewall zone trust H3C-zone-trustadd interface GigabitEthernet0/0 H3Cfirewall zone untrust H3C-zone-untrustadd interface GigabitEthernet0/17混合模式应用之三混合模式应用之三lSecPa
10、th 1000F应用在两台交换机之间,实现应用在两台交换机之间,实现VLAN透传透传功能功能l组网图组网图l详细配置详细配置18混合模式应用之四混合模式应用之四lSecPath防火墙混合模式在综合组网中的应用防火墙混合模式在综合组网中的应用l组网图组网图l详细配置详细配置n 防火墙模式简介防火墙模式简介n 混合模式原理混合模式原理n 混合模式命令混合模式命令n VLAN透传基本原理透传基本原理n 混合模式应用混合模式应用n 技术及组网限制技术及组网限制目录目录20技术及组网限制技术及组网限制l 仅仅SecPath F1000-A防火墙、防火墙、SecPath F1000-S防火墙、防火墙、SecPath F100-A防火墙和防火墙和SecPath F100-E防火墙支持混防火墙支持混合模式合模式 l BVI接口仅支持包过滤,不支持接口仅支持包过滤,不支持NAT、ASPF等应用等应用l 二层接口仅支持包过滤和二层接口仅支持包过滤和ASPF应用应用l 从三层向二层转发,二层接口的从三层向二层转发,二层接口的ASPF应用不生效应用不生效n 介绍了防火墙工作模式介绍了防火墙工作模式n 介绍了混合模式工作原理介绍了混合模式工作原理n 如何配置混合模式如何配置混合模式n VLANVLAN透传的配置透传的配置本章总结本章总结杭州华三通信技术有限公司
