山石网科防火墙接入方式之透明模式.docx

《山石网科防火墙接入方式之透明模式.docx》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、山石网科防火墙在接入方面为我们提供了四个方面的选择1. 透明模式2. 路由模式3. 混合模式4. 旁路模式今天我们简单的看下透明模式的接入，首先我们来看下拓扑图。 通过这样的一个拓扑图我们发现，在防火墙的左边和右边都是连接的同一个网络，但是我们并没有给防火墙分配地址，而是让防火墙透明的存在这个网络中，这种接入方式就是我们的接入方式的透明模式。既然是透明的，并且没有IP地址，那么我们让他们正常的进行通信就需要通过二层来实现。山石网科的设备在设备内部默认存在一个虚拟交换机，通过这个交换机来实现二层的互联。 下面我们有两种方式来为配置我们的透明模式，一种是命令行方式，还有一种是网页方

2、式。 一：命令行模式先要把对应的接口划入到对应的zone，如我们的拓扑图所示。QYTANG(config)# int e0/1QYTANG(config-if-eth0/1)# zone l2-trust QYTANG(config-if-eth0/1)# no shutdown QYTANG(config-if-eth0/1)# exit QYTANG(config)# int e0/2QYTANG(config-if-eth0/2)# zone l2-untrust QYTANG(config-if-eth0/2)# no shutdown 现在我们需要在两边的路由器上配置

3、相应的ip地址。R1(config)#int e0/0R1(config-if)#ip address 10.1.1.1 255.255.255.0R1(config-if)#no shutdown R1(config-if)#exit R2(config)#int e0/0R2(config-if)#ip address 10.1.1.2 255.255.255.0R2(config-if)#no shutdown R2(config-if)#exit在没有做策略之前做测试，看是否能够通信。 最后我们需要在防火墙上做相应的策略来放行从trust 到untrust的流量,先定义

4、要放行的地址的范围。QYTANG(config)# address trust-address QYTANG(config-addr)# range 10.1.1.0 10.1.1.255QYTANG(config-addr)# exitQYTANG(config)# address untrust-addressQYTANG(config-addr)# range 10.1.1.0 10.1.1.255QYTANG(config-addr)# exit在对应的规则里面放行上面自己定义的地址。QYTANG(config)# rule id 2 Rule id 2 is crea

5、tedQYTANG(config-policy-rule)# src-zone l2-trust QYTANG(config-policy-rule)# dst-zone l2-untrust QYTANG(config-policy-rule)# src-addr trust-addressQYTANG(config-policy-rule)# dst-addr untrust-address         QYTANG(config-policy-rule)# action permit QYTANG(config-policy-rule)# service anyQYT

6、ANG(config-policy-rule)# exit做了策略和相关的设置之后再来测试下连通性。   二：通过网页来操作。和命令行一样的顺序，先要把对应的端口划入到对应的zone。   由于命令行的时候已经配置过了路由器的ip地址，这边就不需要了，直接进入策略的配置就好了。  到现在为止山石网科透明模式防火墙的接入就简单的介绍完成了。