实验5 UTM 二三层转发配置实验.docx
- 文档编号:10906416
- 上传时间:2023-02-23
- 格式:DOCX
- 页数:15
- 大小:360.94KB
实验5 UTM 二三层转发配置实验.docx
《实验5 UTM 二三层转发配置实验.docx》由会员分享,可在线阅读,更多相关《实验5 UTM 二三层转发配置实验.docx(15页珍藏版)》请在冰豆网上搜索。
实验5UTM二三层转发配置实验
实验5UTM二三层转发配置实验5-1
5.1实验内容与目标5-1
5.2实验组网图5-1
5.3背景需求5-1
5.4实验设备与版本5-2
5.5实验过程5-2
实验任务一:
配置防火墙工作在透明模式5-2
实验任务二:
配置防火墙工作在路由模式5-4
实验任务二:
配置防火墙工作在混合模式5-10
5.6实验中的命令列表5-15
实验5UTM二三层转发配置实验
5.1实验内容与目标
完成本实验,您应该能够:
∙了解UTM转发模式的简单原理
∙掌握UTM转发模式的配置方法
∙掌握UTM转发模式的常用配置命令
5.2实验组网图
图5-1实验组网图
5.3背景需求
缺省情况下,防火墙工作在路由模式下,路由模式就是路由器工作模式,防火墙相当于具有保护功能的路由器。
此外,防火墙还提供了透明模式,类似于在网络中像放置了一个网桥(BridGE),无需修改任何已有的配置。
但是,防火墙透明模式与网桥存在不同,防火墙接收到的IP报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL规则以确定是否允许该报文通过;此外,还要完成其它防攻击检查。
透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。
当防火墙工作在透明模式(也可以称为桥接模式)下时,所有接口都不能配置IP地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。
当报文在二层区域的接口间进行转发时,需要根据报文的MAC地址来寻找出接口,此时防火墙表现为一个透明网桥。
工作在透明模式下的防火墙在数据链路层连接局域网(LAN),网络终端用户无需为连接网络而对设备进行特别配置,就像使用以太网交换机一样进行网络连接。
SecPath防火墙支持透明桥组,并同时支持路由和桥接功能。
桥组路由功能提供了一种结合路由和桥接的转发方法。
对于指定的协议数据,如果是在桥组端口之间进行通讯,则进行桥接转发;如果是需要与非桥组组内的网络进行通讯,则可以进行网络协议的路由转发。
5.4实验设备与版本
主机:
2台
线缆:
若干
UTM:
H3CSecPathU200-A,Version5.20,Beta5112
5.5实验过程
实验任务一:
配置防火墙工作在透明模式
图5-1透明模式转发组网图
组网要求说明:
如图:
PC1和PC2分别连在UTM200-S防火墙的GE0/1和GE0/2接口上,其IP地址分别为10.0.0.1/24和10.0.0.2/24,需要通过UTM200-S实现互通。
步骤一:
命令行配置
命令行配置如下:
#
vlan1
#
interfaceGigabitEthernet0/1
portlink-modebridge
#
interfaceGigabitEthernet0/2
portlink-modebridge
#
步骤二:
web相关配置
web相关配置如下:
进入WEB管理界面后,单击“设备管理”>>“安全域”,编辑trust安全域,将GE0/1加入该域:
同样的操作,将GE0/2加入untrust安全域;然后通过
WEB页面配置trust与untrust之间的策略可实现安全过滤。
实验任务二:
配置防火墙工作在路由模式
图5-2路由模式转发组网
组网要求说明:
如图:
PC1和PC2分别连在F1000-E防火墙的GE0/1和GE0/2接口上,其IP地址分别为100.0.0.2/24和200.0.0.2/24,需要通过UTM200-S实现互通。
UTM200-S防火墙的GE0/1和GE0/2的接口IP分别为100.0.0.1/24和200.0.0.1/24。
步骤一:
接口配置
在
页面点击接口后面对应的编辑按钮
,配置接口GE0/1的IP地址,相同方法配置GE0/2接口的IP地址为200.0.0.1/24。
在
页面,创建ACL2000。
ACL2000的规则作如下设置,点击“确定”
步骤二:
安全域相关配置
web相关配置如下:
将接口GE0/1和GE0/2分别添加到Trust和Untrust域
步骤三:
NAT配置
在
页面,单击“新建”按钮,在GE0/2接口上,配置NATOutboundEasy-ip/PAT。
步骤四:
NATServer配置
在GE0/2接口上,配置NATServer(以HTTP协议为例)
在
web页面,单击“新建”按钮,
步骤五:
地址组和域间策略配置
配置从Untrust域到Trust域的面向对象ACL,允许外网用户访问Trust区的Web服务器。
在
页面,单击“新建”按钮,增加地址对象,点击“添加”--->“确定”按钮。
在
页面,单击“新建”按钮,增加地址组对象,把前面新建的地址对象WebServerAddr加入地址组对象WebServerGroup。
在
页面,单击“新建”按钮,增加服务对象。
在
页面,单击“新建”按钮,增加服务组对象,把前面新建的服务对象WebService加入到服务组对象WebServiceGroup中去。
在
页面,单击“新建”按钮。
新建访问控制列表规则,选择源地址为any_address,目的地址为地址组对象WebServerGroup,服务组对象为WebServiceGroup。
实验任务二:
配置防火墙工作在混合模式
组网要求说明:
如图:
PC1,PC2和PC3分别连在UTM200-S防火墙的GE0/1,GE0/2和GE0/3接口上。
PC2和PC3在一个网段10.0.0.0/24,其IP地址分别为10.0.0.2/24和10.0.0.3/24;PC1的地址是20.0.0.2/24,需要通过UTM200-S实现互通。
UTM200-S防火墙GE0/1的接口IP为20.0.0.1/24,GE0/2和GE0/3所在VLAN的vlan-interface的接口IP为10.0.0.1/24。
GE0/2和GE0/3接口工作在二层模式下,加入vlan10,vlan10的三层终结为vlan-interface10,GE0/1接口工作在三层模式下。
步骤一:
命令行下配置
基本配置如下:
#
vlan10
#
interfaceVlan-interface10
ipaddress10.0.0.1255.255.255.0
#
interfaceGigabitEthernet0/1
portlink-moderoute
ipaddress20.0.0.1255.0.0.0
#
interfaceGigabitEthernet0/2
portlink-modebridGE
portaccessvlan10
#
interfaceGigabitEthernet0/3
portlink-modebridGE
portaccessvlan10
步骤二:
web相关配置
web相关配置如下:
A.设置GE0/1的接口地址
在“
”页面点击GE0/1后面的编辑按钮,设置GE0/1接口的地址如下。
B.设置接口为二层模式
在“
”页面点击GE0/2和GE0/3接口后面的编辑按钮
,将接口设置为二层模式,点击“确定”。
C.创建vlan10
在“
”页面点击“新建”按钮,创建vlan10。
D.将GE0/2和GE0/3接口加入vlan10
在“
”页面点击vlan10后面的编辑按钮
。
将GE0/2和GE0/3接口设置为vlan10成员。
如果设置为vlan10的Tagged成员,接口将修改为Hybrid口。
E.创建vlaninterface10
在“
”页面,点击“新建”按钮,创建Vlan-interface10。
F.把接口加入安全域
把GE0/2接口加入trust域,GE0/3接口加入DMZ域,GE0/1接口加入untrust域,Vlan-interface10加入trust域。
G.域间策略
根据实际组网需要按照前面的步骤添加untrust域到trust域,untrust域到dmz域,dmz域到trust域的域间策略。
5.6实验中的命令列表
操作视图
操作命令
操作说明
接口视图
portlink-modebridge
以太网接口可工作在二层模式(bridGE)
接口视图
portaccessvlan
设置所属Vlan
系统视图
aclnumber2000
定义ACL过滤模板
接口视图
portlink-moderoute
以太网接口可工作在三层模式(route)
接口视图
ipaddress
添加接口IP
接口视图
portlink-moderoute/bridge
以太网接口可工作在三层/二层模式(route/bridGE)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验5 UTM 二三层转发配置实验 实验 三层 转发 配置