esp二层交换与防火墙对接实例 防火墙接口二层模式

防火墙接口类型

 物理接口

1) 防火墙支持的接口可以是二层接口或者三层接口

2) 二层接口：portswitch

3) 三层接口：undo portswitch

 逻辑接口

1) VT（virtual template）接口、dialer接口

2) tunnel接口、null接口

3) vlanif接口

4) 三层以太网子接口

5) Eth-Trunk接口、loobacp接口

防火墙的Eth-trunk

 优点：

1) 本质是要提高链路的带宽

2) 可靠性（LACP协议）

3) 负载分担

 Eth-trunk模式分类：

1) 手工负载分担模式（默认）注意：所有链路都要参与转发

2) 静态LACP模式（没有动态LACP）注意: 可以所有，也可以配置备份M:N形式

 Eth-trunk接口类型

1) 三层Eth-trunk

2) 二层Eth-trunk

 

 交换机上面为二层Eth-trunk

第一步：新建Eth-trunk及模式

interface Eth-Trunk1

mode lacp-static ---------默认手工负载分担

第二步：定义Eth-trunk类型

interface Eth-Trunk1

port link-type trunk

port trunk allow-pass vlan 2 to 4094

第三步：把接口加入Eth-trunk组

方法一

int XXXX

eth-trunk 1

方法二

int eth-trunk XX (防火墙不能）

trunkport g0/0/1 to 0/0/2

 防火墙上面为三层Eth-trunk

第一步：创建ETH-TRUNK及模式

interface Eth-Trunk1

mode lacp-static

第二步：接口成员加入ETH-TRUNK

int XXX

eth-trunk 1

检查Eth-Trunk的配置

防火墙的子接口

物理接口的子接口

 

防火墙配置子接口

interface GigabitEthernet1/0/0.10 -------先取子接口

vlan-type dot1q 10 ----------------------封装VLAN ID

ip address 10.1.1.10 255.255.255.0

 interface GigabitEthernet1/0/0.20

vlan-type dot1q 20

ip address 10.1.2.10 255.255.255.0 

第二步：把子接口加ZONE

firewall zone trust

add interface GigabitEthernet1/0/0.10

add interface GigabitEthernet1/0/0.20

检查：

第三步：测试防火墙直连通信

默认一个都通不了，因为华为防火墙默认ZONE与ZONE之间都没有放行安全策略

默认的策略是deny

[FW1] security-policy default action permit ----------默认全开安全策略

测试各个直接通信

测试完毕一定要记得关闭

security-policy default action deny

注意：

关于PING的问题

 如果在防火墙上PING各个ZONE，只要上面放行所有安全策略，就可以访问

 如果从各个安全区域访问防火墙的接口，全放安全策略无用，必须开启接口的访问管理PING，这样才能PING通防火墙接口

第五步：检查测试

 

逻辑接口的子接口

 

三层eth-trunk可以配置IP

二层Eth-trunk链路类型

默认为hybrid

interface Eth-Trunk1

port link-type trunk

port trunk allow-pass vlan 10 20

 

配置：

interface Eth-Trunk1.10

vlan-type dot1q 10

ip address 10.1.1.10 255.255.255.0

# interface Eth-Trunk1.20

vlan-type dot1q 20

ip address 10.1.2.10 255.255.255.0

注意：

注意:所有防火墙的接口，无论是物理还是逻辑都需要加ZONE

防火墙所有的接口都定义ZONE

firewall zone trust

set priority 85

add interface Eth-Trunk1.10

add interface Eth-Trunk1.20

放行安全策略

security-policy

rule name trust_local

source-zone trust

 destination-zone local

action permit

防火墙的vlanif接口

 实验演示防火墙上面的vlanif接口技术

 

配置思路：

第一步: 创建VLAN

vlan batch 10 20

第二步：把接口配置成为二层

interface GigabitEthernet1/0/0

portswitch

port link-type access------------默认为ACCESS，可以修改

port access vlan 10

# interface GigabitEthernet1/0/1

portswitch

port link-type access

port access vlan 20

第三步：创建VLANIF接口

interface Vlanif10

ip address 10.1.1.10 255.255.255.0

service-manage ping permit

# interface Vlanif20

ip address 10.1.2.10 255.255.255.0 

service-manage ping permit

第四步：接口划入ZONE

注意：不需要把接口再划入ZONE，只需要逻辑加ZONE

firewall zone trust

add interface Vlanif10

add interface Vlanif20

第五步：测试检查

 

注意:

同一个ZONE不需要配置安全策略，可以互相通信 ------结论对吗？

现在USG6320 V100版本 ，就必须要配置同一个ZONE安全策略

security-policy

rule name trust_trust

source-zone trust

destination-zone trust

action permit