防火墙接口类型介绍

防火墙接口类型

? 物理接口
1) 防火墙支持的接口可以是二层接口或者三层接口
2) 二层接口:portswitch
3) 三层接口:undo portswitch
? 逻辑接口
1) VT(virtual template)接口、dialer接口
2) tunnel接口、null接口
3) vlanif接口
4) 三层以太网子接口
5) Eth-Trunk接口、loobacp接口

防火墙的Eth-trunk

? 优点:
1) 本质是要提高链路的带宽
2) 可靠性(LACP协议)
3) 负载分担
? Eth-trunk模式分类:
1) 手工负载分担模式(默认)注意:所有链路都要参与转发
2) 静态LACP模式(没有动态LACP)注意: 可以所有,也可以配置备份M:N形式
? Eth-trunk接口类型
1) 三层Eth-trunk
2) 二层Eth-trunk

? 交换机上面为二层Eth-trunk
第一步:新建Eth-trunk及模式

interface Eth-Trunk1
mode lacp-static ---------默认手工负载分担

第二步:定义Eth-trunk类型

interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

第三步:把接口加入Eth-trunk组
方法一

int  XXXX
eth-trunk 1

方法二

int eth-trunk  XX   (防火墙不能)
trunkport  g0/0/1  to 0/0/2

? 防火墙上面为三层Eth-trunk
第一步:创建ETH-TRUNK及模式

interface Eth-Trunk1
 mode lacp-static

第二步:接口成员加入ETH-TRUNK

int XXX
eth-trunk  1

检查Eth-Trunk的配置

<FW1>display  eth-trunk  1
15:10:49  2019/06/02

Eth-Trunk1‘s state information is:
 Local:
 LAG ID:1                               WorkingMode: STATIC
 Preempt Delay: Disable                 Hash Arichmetic: According to IP
 System Priority: 32768                 System ID: 2444-27ca-fbff
 Least active-linknumber: 1             Max active-linknumber: 8
 Operate Status: up                     Number of Up Port in Trunk: 2
----------------------------------------------------
ActorPortName          Status   PortType PortPri PortNo PortKey PortState Weigth
GigabitEthernet0/0/1   Selected 100M     32768   2      64      10111100  1
GigabitEthernet0/0/2   Selected 100M     32768   3      64      10111100  1
Partner:
----------------------------------------------------
ActorPortName          SysPri    SystemID  PortPri PortNo  PortKey   PortState
GigabitEthernet0/0/1   32768  384c-4f60-9d20  32768  1     289       10111100   GigabitEthernet0/0/2   32768  384c-4f60-9d20  32768  2     289       10111100

防火墙的子接口

物理接口的子接口


防火墙配置子接口

interface GigabitEthernet1/0/1.10 -------先取子接口
 vlan-type dot1q 10 ----------------------封装VLAN ID
 ip address 10.1.1.10 255.255.255.0
#
interface GigabitEthernet1/0/1.16
 vlan-type dot1q 16
 ip address 192.168.1.10 255.255.255.0
#

第二步:把子接口加ZONE

firewall zone trust
 add interface GigabitEthernet1/0/1.10
#
firewall zone dmz
 add interface GigabitEthernet1/0/1.16

检查:

[FW1]display  zone
20:26:16  2019/03/07
local
 priority is 100
#
trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet0/0/0
    GigabitEthernet1/0/1.10
#
dmz
 priority is 50
 interface of the zone is (1):
    GigabitEthernet1/0/1.16

第三步:测试防火墙直连通信
默认一个都通不了,因为华为防火墙默认ZONE与ZONE之间都没有放行安全策略
默认的策略是deny

[FW1]display security-policy all
21:35:50  2019/09/05
Total:1
RULE ID RULE NAME                      STATE      ACTION             HITTED
-------------------------------------------------------------------------------
0       default                        enable     deny               275
-------------------------------------------------------------------------------
[FW1]
security-policy
 default action permit  ----------默认全开安全策略

测试各个直接通信
测试完毕一定要记得关闭

security-policy
 default action deny

注意:
关于PING的问题
? 如果在防火墙上PING各个ZONE,只要上面放行所有安全策略,就可以访问
? 如果从各个安全区域访问防火墙的接口,全放安全策略无用,必须开启接口的访问管理PING,这样才能PING通防火墙接口
第五步:检查测试

逻辑接口的子接口


三层eth-trunk可以配置IP
二层Eth-trunk链路类型
默认为hybrid

interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 10 16 40 50

配置:

interface Eth-Trunk1.10
 vlan-type dot1q 10
 ip address 10.1.1.10 255.255.255.0
#
interface Eth-Trunk1.16
 vlan-type dot1q 16
 ip address 192.168.1.10 255.255.255.0
#

注意:
注意:所有防火墙的接口,无论是物理还是逻辑都需要加ZONE
防火墙所有的接口都定义ZONE

firewall zone trust
 set priority 85
 add interface Eth-Trunk1.10
#
firewall zone untrust
 set priority 5
#
firewall zone dmz
 set priority 50
 add interface Eth-Trunk1.16

放行安全策略

security-policy
 rule name trust_dmz
  source-zone trust
  destination-zone dmz
action permit

防火墙的vlanif接口

? 实验演示防火墙上面的vlanif接口技术

配置思路:
第一步: 创建VLAN

vlan batch  20 30

第二步:把接口配置成为二层

interface GigabitEthernet1/0/3
 portswitch
 port link-type access------------默认为ACCESS,可以修改
 port access vlan 20
#
interface GigabitEthernet1/0/4
 portswitch
 port link-type access
 port access vlan 30

第三步:创建VLANIF接口

interface Vlanif20
 ip address 10.1.2.10 255.255.255.0
 service-manage ping permit
#
interface Vlanif30
 ip address 10.1.3.10 255.255.255.0
 service-manage ping permit

第四步:接口划入ZONE
注意:不需要把接口再划入ZONE,只需要逻辑加ZONE

firewall zone trust
 add interface Vlanif20
 add interface Vlanif30

第五步:测试检查
注意:
同一个ZONE不需要配置安全策略,可以互相通信 ------结论对吗?
现在USG6320 V100版本 ,就必须要配置同一个ZONE安全策略

security-policy
 rule name trust_trust
  source-zone trust
  destination-zone trust
  action permit

原文地址:https://blog.51cto.com/13817711/2482818

时间: 2024-10-09 19:46:32

防火墙接口类型介绍的相关文章

华为设备的交换机接口类型介绍及配置

博文大纲: vlan是什么? 华为交换机的三种接口模式:1.access模式.2.trunk模式.3.hybrid模式. hybrid接口的工作原理. 华为设备的各种接口模式应用场景及配置. 一.什么是vlan? vlan就是虚拟局域网,是在二层交换机上将一个物理的LAN在逻辑上划分成多个广播域(多个vlan)的通信技术.同一个vlan内的主机可以直接通信,而不同vlan之间进行通行的话,则需要依赖三层网络设备(三层交换机.路由器等). vlan具有灵活性和可扩展性等特点,使用vlan技术有以下

华为防火墙的NAT介绍及配置详解

博文大纲:一.华为防火墙NAT的六个分类:二.解决NAT转换时的环路及无效ARP:三.server-map表的作用:四.NAT对报文的处理流程:五.各种常用NAT的配置方法: 一.华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少. NAPT(Network Address and Port Translation,网络地址和端口转换):类似于Cisco的PAT转

[转]电脑显卡4种接口类型:VGA、DVI、HDMI、DP

电脑显卡全称显示接口卡(Video card,Graphics card),又称为显示适配器(Video adapter),是个人电脑最基本组成部分之一.对于显卡接口类型,主要包括VGA.dvi.HDMI.dp这四种比较常见的接口,当然还有其他的. VGA接口是最常见,也就是我们通常的电脑显示器连接主机的那种,VGA接口是一种D型接口,上面共有15针,分成三排,每排五个.并且VGA接口扩展性比较强,可以轻松与DVI接口进行转换,VGA接口介绍如下图: 通过上面介绍了VGA接口包括15个针脚,那么

Hibernate核心类和接口详细介绍

一.hiobernate核心类和接口预览图 二.hibernate.properties 这个文件是以前老版本使用的 类似于hibernate.cfg.xml文件:作用和hibernate.cfg.xml一致. 三.hibernate.cfg.xml (1)详细介绍 ①该文件主要用于指定各个参数,是hibernate核心文件 ②默认放在src目录下,也可以放在别的目录下. ③指定连接数据库的驱动.用户名.密码.url.连接池.. ④指定对象关系映射文件的位置. ⑤也可使用hibernate.pr

硬盘接口类型介绍

IDE IDE的英文全称为“Integrated Drive Electronics”,即“电子集成驱动器”,它的本意是指把“硬盘控制器”与“盘体”集成在一起的硬盘驱动器.把盘体与控制器集成在一起的做法减少了硬盘接口的电缆数目与长度,数据传输的可靠性得到了增强,硬盘制造起来变得更容易,因为硬盘生产厂商不需要再担心自己的硬盘是否与其它厂商生产的控制器兼容.对用户而言,硬盘安装起来也更为方便.IDE这一接口技术从诞生至今就一直在不断发展,性能也不断的提高,其拥有的价格低廉.兼容性强的特点,为其造就了

电脑显卡4种接口类型:VGA、DVI、HDMI、DP

电脑显卡全称显示接口卡(Video card,Graphics card),又称为显示适配器(Video adapter),显示器配置卡简称为显卡,是个人电脑最基本组成部分之一.对于显卡接口类型,主要包括VGA.dvi/HDMI.dp这四种比较常见的接口,当然还有其他的. VGA接口是最常见,也就是我们通常的电脑显示器连接主机的那种,VGA接口是一种D型接口,上面共有15针,分成三排,每排五个.并且VGA接口扩展性比较强,可以轻松与DVI接口进行转换,VGA接口介绍如下图: 通过上面介绍了VGA

光模块接口类型大盘点

今天来讲一讲光模块接口类型 光模块是可以发射和接收模拟信号的光学器件.电信号通过光模块的发射端后转化为光信号,再经过接收端将光信号转化为电信号以此实现光电转换. 要想让他们实现信息交换,需要将两个光模块连接起来,那么则需要与之匹配的接口. 如下图所示,1个40G QSFP光模块与4个10G SFP光模块相连,需要用MPO-4DLC光纤跳线连接. 接口类型 主要介绍光模块MPO接口.双芯LC接口.单芯LC.和RJ-45接口. MPO接口光模块 MPO接口光模块中有QSFP28光模块.CFP2光模块

基本类型介绍

目录 基本类型介绍 JAVA 中标识符的命名原则 变量类型 1.常用变量的大小 (1 Bytes = 8 bits) 2.分类 局部变量 成员变量 静态变量 常量(constant) 数据类型 基本数据类型 引用数据类型 (4B) 数值型 浮点型 字符型 char : 2B 布尔型(boolean) (1bit) 注意: 基本类型介绍 JAVA 中标识符的命名原则 可以使用 " _ ", " $ " 开头,其他字符一律不行: 不可以使用数字作为开头: JAVA 使用

混合调用时接口类型中的陷阱

[delphi] view plain copy function abc(A: Integer): IUnknown; 这是一个Delphi的函数声明,看上去很简单,只有一个参数而已,但是真实情况呢?在编译成二进制代码后,实际上函数的参数已经有2个了! 为了更详细的说明问题,先用Delphi写一个DLL,导出一个接口,接口有一个Show方法. [delphi] view plain copy library Project1; uses Windows; {$R *.res} type ITe