防火墙接口类型介绍（防火墙接口类型介绍图）

防火墙接口类型介绍（防火墙接口类型介绍图）

防火墙接口类型

 物理接口1) 防火墙支持的接口可以是二层接口或者三层接口2) 二层接口：portswitch3) 三层接口：undo portswitch 逻辑接口1) VT（virtual template）接口、dialer接口2) tunnel接口、null接口3) vlanif接口4) 三层以太网子接口5) Eth-Trunk接口、loobacp接口

防火墙的Eth-trunk

interface Eth-Trunk1 mode lacp-static ---------默认手工负载分担

第二步：定义Eth-trunk类型

interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 2 to 4094

第三步：把接口加入Eth-trunk组方法一

int XXXX eth-trunk 1

方法二

int eth-trunk XX (防火墙不能） trunkport g0/0/1 to 0/0/2

 防火墙上面为三层Eth-trunk 第一步：创建ETH-TRUNK及模式

interface Eth-Trunk1 mode lacp-static

第二步：接口成员加入ETH-TRUNK

int XXX eth-trunk 1

检查Eth-Trunk的配置

display eth-trunk 1 15:10:49 2019/06/02 Eth-Trunk1's state information is: Local: LAG ID:1 WorkingMode: STATIC Preempt Delay: Disable Hash Arichmetic: According to IP System Priority: 32768 System ID: 2444-27ca-fbff Least active-linknumber: 1 Max active-linknumber: 8 Operate Status: up Number of Up Port in Trunk: 2 ---------------------------------------------------- ActorPortName Status PortType PortPri PortNo PortKey PortState Weigth GigabitEthernet0/0/1 Selected 100M 32768 2 64 10111100 1 GigabitEthernet0/0/2 Selected 100M 32768 3 64 10111100 1 Partner: ---------------------------------------------------- ActorPortName SysPri SystemID PortPri PortNo PortKey PortState GigabitEthernet0/0/1 32768 384c-4f60-9d20 32768 1 289 10111100 GigabitEthernet0/0/2 32768 384c-4f60-9d20 32768 2 289 10111100

防火墙的子接口

物理接口的子接口

interface GigabitEthernet1/0/1.10 -------先取子接口 vlan-type dot1q 10 ----------------------封装VLAN ID ip address 10.1.1.10 255.255.255.0 # interface GigabitEthernet1/0/1.16 vlan-type dot1q 16 ip address 192.168.1.10 255.255.255.0 #

第二步：把子接口加ZONE

firewall zone trust add interface GigabitEthernet1/0/1.10 # firewall zone dmz add interface GigabitEthernet1/0/1.16

检查：

[FW1]display zone 20:26:16 2019/03/07 local priority is 100 # trust priority is 85 interface of the zone is (2): GigabitEthernet0/0/0 GigabitEthernet1/0/1.10 # dmz priority is 50 interface of the zone is (1): GigabitEthernet1/0/1.16

第三步：测试防火墙直连通信默认一个都通不了，因为华为防火墙默认ZONE与ZONE之间都没有放行安全策略 默认的策略是deny

[FW1]display security-policy all 21:35:50 2019/09/05 Total:1 RULE ID RULE NAME STATE ACTION HITTED ------------------------------------------------------------------------------- 0 default enable deny 275 ------------------------------------------------------------------------------- [FW1] security-policy default action permit ----------默认全开安全策略

测试各个直接通信测试完毕一定要记得关闭

security-policy default action deny

注意： 关于PING的问题 如果在防火墙上PING各个ZONE，只要上面放行所有安全策略，就可以访问 如果从各个安全区域访问防火墙的接口，全放安全策略无用，必须开启接口的访问管理PING，这样才能PING通防火墙接口第五步：检查测试

逻辑接口的子接口

interface Eth-Trunk1 port link-type trunk port trunk allow-pass vlan 10 16 40 50

配置：

interface Eth-Trunk1.10 vlan-type dot1q 10 ip address 10.1.1.10 255.255.255.0 # interface Eth-Trunk1.16 vlan-type dot1q 16 ip address 192.168.1.10 255.255.255.0 #

注意：注意:所有防火墙的接口，无论是物理还是逻辑都需要加ZONE防火墙所有的接口都定义ZONE

firewall zone trust set priority 85 add interface Eth-Trunk1.10 # firewall zone untrust set priority 5 # firewall zone dmz set priority 50 add interface Eth-Trunk1.16

放行安全策略

security-policy rule name trust_dmz source-zone trust destination-zone dmz action permit

防火墙的vlanif接口

vlan batch 20 30

第二步：把接口配置成为二层

interface GigabitEthernet1/0/3 portswitch port link-type access------------默认为ACCESS，可以修改 port access vlan 20 # interface GigabitEthernet1/0/4 portswitch port link-type access port access vlan 30

第三步：创建VLANIF接口

interface Vlanif20 ip address 10.1.2.10 255.255.255.0 service-manage ping permit # interface Vlanif30 ip address 10.1.3.10 255.255.255.0 service-manage ping permit

第四步：接口划入ZONE注意：不需要把接口再划入ZONE，只需要逻辑加ZONE

firewall zone trust add interface Vlanif20 add interface Vlanif30

第五步：测试检查注意: 同一个ZONE不需要配置安全策略，可以互相通信 ------结论对吗？现在USG6320 V100版本 ，就必须要配置同一个ZONE安全策略

security-policy rule name trust_trust source-zone trust destination-zone trust action permit

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。