H3CF1060防火墙透明模式典型组网配置案例

最新推荐文章于 2025-06-28 15:21:16 发布
最新推荐文章于 2025-06-28 15:21:16 发布
阅读量3.5k 收藏 26
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 网络 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_60797416/article/details/127324347
本文介绍使用H3CHCL模拟器中F1060防火墙进行透明模式组网配置的方法。通过配置R1与SW1间的OSPF路由协议,并设置F1060为透明模式,实现不同PC间互相PING通。文中详细展示了配置步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

组网及说明

组网说明:

本案例采用H3C HCL模拟器的F1060防火墙来模拟防火墙的透明模式典型组网配置1。为了实现PC之间相互PING通,因此需要在SW1、R1之间通过路由指向来实现路由可达。F1060处在R1、SW1之间,所以将F1060配置为透明模式,采用access的方式为R1、SW1透传业务。

配置步骤

1、按照网络拓扑图正确配置IP地址

2、R1与SW1之间运行ospf路由协议

3、将F1060防火墙配置为透明模式,采用access的方式为R1、SW1透传业务。

配置关键点

SW1:

<H3C>sys

System View: return to User View with Ctrl+Z.

[H3C]sysname SW1

[SW1]vlan 100

[SW1-vlan100]quit

[SW1]int vlan 100

[SW1-Vlan-interface100]ip address 172.16.1.1 24

[SW1-Vlan-interface100]quit

[SW1]int gi 1/0/1

[SW1-GigabitEthernet1/0/1]port link-type access

[SW1-GigabitEthernet1/0/1]port access vlan 100

[SW1-GigabitEthernet1/0/1]quit

[SW1]int gi 1/0/2

[SW1-GigabitEthernet1/0/2]port link-mode route

[SW1-GigabitEthernet1/0/2]des <connect to FW1>

[SW1-GigabitEthernet1/0/2]ip address 10.0.0.1 30

[SW1-GigabitEthernet1/0/2]quit

[SW1]int loopback 0

[SW1-LoopBack0]ip address 1.1.1.1 32

[SW1-LoopBack0]quit

[SW1]ospf 1 router-id 1.1.1.1

[SW1-ospf-1]area 0.0.0.0

[SW1-ospf-1-area-0.0.0.0]network 10.0.0.1 0.0.0.0

[SW1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[SW1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255

[SW1-ospf-1-area-0.0.0.0]quit

[SW1-ospf-1]quit

[SW1]

 

R1:

<H3C>sys

System View: return to User View with Ctrl+Z.

[H3C]sysname R1

[R1]int loopback 0

[R1-LoopBack0]ip address 2.2.2.2 32

[R1-LoopBack0]quit

[R1]int gi 0/1

[R1-GigabitEthernet0/1]ip address 192.168.1.1 24

[R1-GigabitEthernet0/1]quit

[R1]int gi 0/0

[R1-GigabitEthernet0/0]des <connect to FW1>

[R1-GigabitEthernet0/0]ip address 10.0.0.2 30

[R1-GigabitEthernet0/0]quit

[R1]ospf 1 router-id 2.2.2.2

[R1-ospf-1]area 0.0.0.0

[R1-ospf-1-area-0.0.0.0]network 10.0.0.2 0.0.0.0

[R1-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0

[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255

[R1-ospf-1-area-0.0.0.0]quit

[R1-ospf-1]quit

 

FW1 透明模式配置关键点:

<H3C>sys

System View: return to User View with Ctrl+Z.

[H3C]sysname FW1

[FW1]vlan 10

[FW1-vlan10]quit

[FW1]int range gi 1/0/2 to gi 1/0/3

[FW1-if-range]port link-mode bridge

[FW1-if-range]port link-type access

[FW1-if-range]port access vlan 10

[FW1-if-range]quit

[FW1]security-zone name Trust

[FW1-security-zone-Trust]import interface GigabitEthernet 1/0/3 vlan 10

[FW1-security-zone-Trust]quit

[FW1]security-zone name Untrust

[FW1-security-zone-Untrust]import interface GigabitEthernet 1/0/2 vlan 10

[FW1-security-zone-Untrust]quit

[FW1]acl basic 2002

[FW1-acl-ipv4-basic-2002]rule 0 permit source any

[FW1-acl-ipv4-basic-2002]quit

[FW1]

[FW1]zone-pair security source trust destination untrust

[FW1-zone-pair-security-Trust-Untrust]packet-filter 2002

[FW1-zone-pair-security-Trust-Untrust]quit

[FW1]

[FW1]zone-pair security source untrust destination trust

[FW1-zone-pair-security-Untrust-Trust]packet-filter 2002

[FW1-zone-pair-security-Untrust-Trust]quit

[FW1]

[FW1]zone-pair security source trust destination local

[FW1-zone-pair-security-Trust-Local]packet-filter 2002

[FW1-zone-pair-security-Trust-Local]quit

[FW1]

[FW1]zone-pair security source local destination trust

[FW1-zone-pair-security-Local-Trust]packet-filter 2002

[FW1-zone-pair-security-Local-Trust]quit

[FW1]

[FW1]zone-pair security source untrust destination local

[FW1-zone-pair-security-Untrust-Local]packet-filter 2002

[FW1-zone-pair-security-Untrust-Local]quit

[FW1]

[FW1]zone-pair security source local destination untrust

[FW1-zone-pair-security-Local-Untrust]packet-filter 2002

[FW1-zone-pair-security-Local-Untrust]quit

[FW1]

[FW1]zone-pair security source trust destination trust

[FW1-zone-pair-security-Trust-Trust]packet-filter 2002

[FW1-zone-pair-security-Trust-Trust]quit

[FW1]

[FW1]zone-pair security source untrust destination untrust

[FW1-zone-pair-security-Untrust-Untrust]packet-filter 2002

[FW1-zone-pair-security-Untrust-Untrust]quit

 

测试:

所有PC都填写IP地址:

PC之间可以相互PING通:

分别查看SW1、R1的OSPF邻居信息:

分别查看SW1、R1的路由表:

查看FW1的zone-pair:

温馨提示:如果要实现防火墙的远程登陆管理,建议新增一条链路连接到交换机或者路由器,做带外管理即可。 

 

至此,F1060透明模式典型组网配置案例1(access)已完成!

 

GRE Over IPsec(华三)
qq_73757784的博客
10-30 1759
当总部想要访问分部172.16.10.0网段时,下一跳为tunnel接口,进入接口后,首先会被GRE封装,封装为源1.1.1.1,目的3.3.3.3然后从G0/1发出,因为在g0/1接口调用了ipsec策略,又会被感兴趣流匹配上,封装为公网地址源100.1.1.1,目的200.1.1.2从g0/1接口发出。那么当数据进入tunnel隧道后,会先被GRE封装后再进行IPsec感兴趣流acl匹配,匹配上了则封装IPsec,没匹配上则丢包。GRE Over IPsec 顾名思义,GRE在内,IPsec在外。
实战 F1060防火墙透明模式典型组网配置案例(trunk)_防火墙透传模式
2401_84563354的博客
05-10 891
温馨提示:如果要实现防火墙的远程登陆管理,建议新增一条链路连接到交换机或者路由器,做带外管理即可。
H3C-V7防火墙透明部署案例(华三)
m0_68265458的博客
04-07 1597
H3C-V7防火墙透明部署案例(华三)
防火墙WEB方式登录配置【HCL模拟】-学习篇(1)
最新发布
06-28 251
HCL模拟器防火墙WEB方式登录配置-学习篇(1)
新华三网络教程之GRE OVER IPSCE实战
weixin_44255593的博客
02-26 2540
实验拓扑:实验环境: 本案例采用H3C HCL模拟器的MSR30-20路由器来模拟GRE OVER IPSCE的典型组网配置。内网和外网在网络拓扑图中已经有了明确的标识。RT1与RT2均为各自内网的出口设备,提供NAT地址转换的服务。为了内网1和内网2能跨越外网实现通信,因为在RT1和RT2之间采用GRE VPN建立隧道,同时为了保证数据传输的安全性,将ipsec嵌入到GRE VPN隧道中。 配置思路: 1、按照网络拓扑图正确配置IP地址 2、RT1配置NAT,并配置默认路由指向ISP 3、RT2
华三防火墙透明模式典型组网配置实例
qq_51235445的博客
11-13 7913
华三防火墙透明模式典型组网配置实例
H3C防火墙配置透明模式配置案例.pdf
11-26
H3C防火墙配置透明模式配置案例.pdf
防火墙透明模式配置举例
01-18
防火墙透明模式的设置、配置举例,例如H3C的百M墙。
实战 F1060路由模式典型组网配置案例(RIP)_华三hcl f1060 配置(3)
2401_84563287的博客
05-10 1134
【代码】实战 F1060路由模式典型组网配置案例(RIP)_华三hcl f1060 配置(3)
华三防火墙F1000-AK系列策略路由配置案例(WEB)
qq_51478530的博客
11-27 3393
案例适用于如F1000-AK180、F1000-AK170等F1000-AK系列的防火墙
【华三】GRE Over IPsec 实验配置
2301_77161465的博客
02-05 3071
GRE over IPSec可利用GRE和IPSec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文通过IPSec为封装后的IP报文提供安全地通信,进而可以提供在总部和分支之间安全地传送广播、组播的业务,例如动态路由协议消息等。就是将GRE的优点和IPsec的优点相结合因为GRE能够传输组播、广播等数据,但对数据的传输是不进行加密的,在不安全的公网上面相当于裸奔啦。而咱们的IPsec 是可以对数据进行加密和认证的,但是不支持传输组播、广播等数据,就是会有一些弊端。
H3C华三 SecPath防火墙WEB管理的典型配置
11-30
H3C华三 SecPath防火墙WEB管理的典型配置
H3C 防火墙产品 Web典型配置案例集(V7)
08-19
H3C 防火墙产品 Web典型配置案例集(V7) 设备支持HTTP(Hypertext Transfer Protocol,超文本传输协议)和HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)两种Web访问方式。 设备出厂时已经缺省启用了HTTPS服务,并且设置有缺省的Web登录信息,用户可以直接使用缺省登录信息通过HTTPS服务登录设备的Web界面。缺省的Web登录信息包括: · 用户名:admin · 密码:admin · 用户角色:network-admin · 设备管理接口的IP地址:192.168.0.1/24
GRE OVER IPSEC的配置方法
weixin_33812433的博客
04-17 1211
试验目的:GRE OVER IPSEC的配置方法: 试验拓扑: R1: interface Tunnel0 ip unnumbered Loopback1 tunnel source Serial1/1 tunnel destination 202.100.23.3 ip route 0.0.0.0 0.0.0.0 Serial1/1 ip route 192.168.23.0...
华三(H3C)GRE OVER IPsec实验
h320758724的博客
04-27 4978
实验需求 1. 某企业北京总部、上海分支、武汉分支分别通过 R1,R3,R4 接入互联网,配置默认路由连通公网 2. 按照图示配置 IP 地址,R1,R3,R4 分别配置 Loopback0 口匹配感兴趣流,Loopback1 口模拟业务网段 3. 北京总部拥有固定公网地址,在 R2 上配置 DHCP,对 R3 和 R4 动态分配 IP 地址,IP 地址网段如图 4. 北京总部、上海分支、武汉分支配置 GRE over IPsec VPN 连通内网,要求北京总部使用模板来简化配置 5. 总部和分支
H3C防火墙透明模式简单配置
qq_33754943的博客
09-06 4281
3、在网络接口里面把对应的接口分别划到trust和untrust安全域,并配置IP。1、进入命令界面,把1/0/1划入安全域,才能WEB登陆,默认账号密码admin。2、HOST设置防火墙相同网段(默认192.168.0.0/24)的IP。配置源地址和目的地址,最后动作选择允许。动作允许,1.1.1.2可以PING通2.2.2.3。动作拒绝,1.1.1.2无法PING通2.2.2.3。4、在对象配置trust安全域的地址。创建ACL允许管理流量通过。
H3C GRE over ipsec配置
qq_23930765的博客
11-13 3310
多分支接入的情况下,如果设备支持点到多点GRE隧道,则总部只需要配置一个GRE Tunnle,但是设备不支持此特性的话,只能在总部为每个分支建立一个GRE Tunnle。三:这种方式下的IPSEC,后续网段变动时,只需要配置不同的静态路由指向GRE Tunnle口,IPsec的配置无需改变,适合私网地址较大的拓扑。一:注意loopback口的建立,和GRE封装时的源目地址保持一致,而不是GRE Tunnle的ip地址。以及IPsec的安全ACL匹配的是GRE封装之后的源目地址。
H3C防火墙透明模式配置
m0_62621003的博客
11-21 1991
将GigabitEthernet1/0/1的VLAN1加入安全域Untrust,GigabitEthernet1/0/2的VLAN1加入安全域Trust。# 在接口GigabitEthernet1/0/1上配置出方向动态地址转换,允许匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。# 配置接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的IP地址。# 配置DHCP地址池1,用来为10.1.1.0/24网段内的客户端分配IP地址和网络配置参数。
h3c防火墙透明模式
01-24
### H3C防火墙透明模式配置及工作原理 #### 透明模式概述 在透明模式下,防火墙如同一个二层设备运作,在数据链路层转发流量而不参与第三层(网络层)的处理。这意味着防火墙不会更改数据包的目的MAC地址或源MAC地址,也不会修改IP头部信息。这种特性使得防火墙网络中的存在几乎不可感知,对于终端用户而言就像不存在一样[^3]。 #### 工作机制详解 当H3C防火墙处于透明模式时,其主要功能是在不改变现有网络拓扑的情况下提供安全防护服务。具体来说: - **端口角色划分**:通常会指定某些物理接口作为内部网络接入点,其他则用于外部连接; - **VLAN Trunking**:为了支持多VLAN环境下的通信需求,防火墙上设置了Trunk类型的端口,允许不同VLAN标签的数据帧穿越防火墙; - **ACL应用**:尽管是透明操作,但仍可通过访问控制列表(ACLs)实施细粒度的安全策略,过滤进出特定区域的数据流; - **状态检测技术**:利用状态表跟踪合法会话的状态变化,阻止非法入侵尝试的同时不影响正常业务通讯[^2]。 #### 实际应用场景说明 考虑到实际部署场景的需求,假设在一个企业局域网内有两台交换机(SW1, SW2),以及一台路由器(R1)相连形成小型园区网络。如果希望在这之间加入一层额外的安全屏障而又不想改动原有架构,则可以选择将H3C防火墙设置成透明模式并置于两者间充当桥梁的角色。此时,只需简单调整相邻节点上的相应参数即可完成整个过程——即把通往对方方向的第一个可用端口设为Trunk类型,并开启相应的802.1Q封装选项以便于跨VLAN间的互访请求得以顺利传递给下游设备继续处理。 ```bash # 进入系统视图 system-view # 创建 VLAN 接口并将物理端口加入到对应的 VLAN 中 interface GigabitEthernet 1/0/1 port link-type trunk port trunk permit vlan all # 应用 ACL 到相关接口上 traffic classifier example if-match acl number 3000 # traffic behavior example filter deny # traffic policy example classifier example behavior example # interface GigabitEthernet 1/0/1 traffic-policy example inbound ``` 上述命令展示了如何快速搭建起基于透明模式运行的基础框架,当然这只是一个简化版的例子,真实世界里可能还需要考虑更多细节因素比如NAT转换、负载均衡等高级特性来满足复杂环境下更严格的要求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

资料库01

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值