USB迷 | 专注于互联网分享

    最新消息: USBMI致力于为网友们分享Windows、安卓、IOS等主流手机系统相关的资讯以及评测、同时提供相关教程、应用、软件下载等服务。
    你的位置: 首页 > IT圈 > H3C SecPath F100-A防火墙VLAN透传的典型配置

    H3C SecPath F100-A防火墙VLAN透传的典型配置

    IT圈 admin 35浏览 0评论

    2024年4月4日发(作者:令狐柔蔓)

    H3C SecPath F100-A防火墙VLAN透传的典型配置

    一、

    组网需求:

    客户端PC1和PC3属于VLAN100,客户端PC2和PC4属于VLAN200,用来模拟属

    于不同VLAN的用户,在Switch1和Switch2与防火墙相连接口上都要配置成

    Trunk模式,保证带Tag标记的报文能够透传。

    二、

    组网图:

    支持混合模式的产品型号有:Secpath F1000-A/F1000-S/F100-E/F100-A;版本

    要求Comware software, Version 3.40, ESS 1622及以后。

    三、

    配置步骤:

    当前视图

    [H3C]

    [H3C]

    [H3C]

    permit

    undo insulate

    bridge enable

    配置命令 注释

    firewall packet-filter default 防火墙包过滤默认改为允

    取消以太网接口隔离

    使能桥组功能

    [H3C]

    [H3C]

    [H3C-Ethernet0/0]

    bridge 1 enable

    interface Ethernet 0/0

    bridge-set 1

    bridge

    创建桥组1

    进入连接e0/0的接口视图

    将接口e0/0加入到桥组1

    [H3C-Ethernet0/0]

    vlanid-transparent-transmit

    enable

    使能接口VLAN透传

    [H3C-Ethernet0/0]

    [H3C-Ethernet1/2]

    interface Ethernet 1/2

    bridge-set 1

    bridge

    进入连接e1/2的接口视图

    将接口e1/2加入到桥组1

    [H3C-Ethernet1/2]

    vlanid-transparent-transmit

    enable

    使能接口VLAN透传

    [H3C-Ethernet1/2]

    [H3C]

    [H3C-zone-trust]

    [H3C-zone-trust]

    [H3C]

    [H3C-zone-untrust]

    [H3C-zone-untrust]

    quit

    firewall zone trust

    add interface Ethernet0/0

    quit

    firewall zone untrust

    add interface Ethernet 1/2

    quit

    退回系统视图

    进入trust区域视图

    将接口e0/0加入到trust

    区域

    退回系统视图

    进入untrust区域视图

    将接口e1/2加入到

    untrust区域

    退回系统视图

    四、

    配置关键点:

    1、子接口不支持VLAN透传;

    2、SecPath F100-A设备的四个LAN接口需要执行undo insulate

    命令聚合成一个接口才能使用VLAN透传功能;

    3、VLAN透传与交换机的Trunk功能并不相同,当与交换机互通时,

    如果希望SecPath防火墙与交换机的管理VLAN 互通,需要借助子接

    口来实现。即将配置了与交换机管理VLAN ID相同的子接口加入到

    桥组,并创建相应的桥组虚接口(BVI接口),配置同一网段地址,

    则防火墙的桥组虚接口就可以与交换机管理VLAN接口互通。

    2024年4月4日发(作者:令狐柔蔓)

    H3C SecPath F100-A防火墙VLAN透传的典型配置

    一、

    组网需求:

    客户端PC1和PC3属于VLAN100,客户端PC2和PC4属于VLAN200,用来模拟属

    于不同VLAN的用户,在Switch1和Switch2与防火墙相连接口上都要配置成

    Trunk模式,保证带Tag标记的报文能够透传。

    二、

    组网图:

    支持混合模式的产品型号有:Secpath F1000-A/F1000-S/F100-E/F100-A;版本

    要求Comware software, Version 3.40, ESS 1622及以后。

    三、

    配置步骤:

    当前视图

    [H3C]

    [H3C]

    [H3C]

    permit

    undo insulate

    bridge enable

    配置命令 注释

    firewall packet-filter default 防火墙包过滤默认改为允

    取消以太网接口隔离

    使能桥组功能

    [H3C]

    [H3C]

    [H3C-Ethernet0/0]

    bridge 1 enable

    interface Ethernet 0/0

    bridge-set 1

    bridge

    创建桥组1

    进入连接e0/0的接口视图

    将接口e0/0加入到桥组1

    [H3C-Ethernet0/0]

    vlanid-transparent-transmit

    enable

    使能接口VLAN透传

    [H3C-Ethernet0/0]

    [H3C-Ethernet1/2]

    interface Ethernet 1/2

    bridge-set 1

    bridge

    进入连接e1/2的接口视图

    将接口e1/2加入到桥组1

    [H3C-Ethernet1/2]

    vlanid-transparent-transmit

    enable

    使能接口VLAN透传

    [H3C-Ethernet1/2]

    [H3C]

    [H3C-zone-trust]

    [H3C-zone-trust]

    [H3C]

    [H3C-zone-untrust]

    [H3C-zone-untrust]

    quit

    firewall zone trust

    add interface Ethernet0/0

    quit

    firewall zone untrust

    add interface Ethernet 1/2

    quit

    退回系统视图

    进入trust区域视图

    将接口e0/0加入到trust

    区域

    退回系统视图

    进入untrust区域视图

    将接口e1/2加入到

    untrust区域

    退回系统视图

    四、

    配置关键点:

    1、子接口不支持VLAN透传;

    2、SecPath F100-A设备的四个LAN接口需要执行undo insulate

    命令聚合成一个接口才能使用VLAN透传功能;

    3、VLAN透传与交换机的Trunk功能并不相同,当与交换机互通时,

    如果希望SecPath防火墙与交换机的管理VLAN 互通,需要借助子接

    口来实现。即将配置了与交换机管理VLAN ID相同的子接口加入到

    桥组,并创建相应的桥组虚接口(BVI接口),配置同一网段地址,

    则防火墙的桥组虚接口就可以与交换机管理VLAN接口互通。

    继续浏览有关 的文章

    与本文相关的文章

    发布评论

    评论列表 (0)

    1. 暂无评论