【基础】防火墙接口类型全介绍
物理接口
1) 防火墙支持的接口可以是二层接口或者三层接口
2) 二层接口:portswitch
3) 三层接口:undo portswitch
逻辑接口
1) VT(virtual template)接口、dialer接口
2) tunnel接口、null接口
3) vlanif接口
4) 三层以太网子接口
5) Eth-Trunk接口、loobacp接口
防火墙的Eth-trunk
优点:
1) 本质是要提高链路的带宽
2) 可靠性(LACP协议)
3) 负载分担
Eth-trunk模式分类:
1) 手工负载分担模式(默认)注意:所有链路都要参与转发
2) 静态LACP模式(没有动态LACP)注意: 可以所有,也可以配置备份M:N形式
Eth-trunk接口类型
1) 三层Eth-trunk
2) 二层Eth-trunk
交换机上面为二层Eth-trunk
第一步:新建Eth-trunk及模式
interface Eth-Trunk1
mode lacp-static ---------默认手工负载分担
第二步:定义Eth-trunk类型
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
第三步:把接口加入Eth-trunk组
方法一
int XXXX
eth-trunk 1
方法二
int eth-trunk XX (防火墙不能)
trunkport g0/0/1 to 0/0/2
防火墙上面为三层Eth-trunk
第一步:创建ETH-TRUNK及模式
interface Eth-Trunk1
mode lacp-static
第二步:接口成员加入ETH-TRUNK
int XXX
eth-trunk 1
检查Eth-Trunk的配置
<FW1>display eth-trunk 1
15:10:49 2019/06/02
Eth-Trunk1's state information is:
Local:
LAG ID:1 WorkingMode: STATIC
Preempt Delay: Disable Hash Arichmetic: According to IP
System Priority: 32768 System ID: 2444-27ca-fbff
Least active-linknumber: 1 Max active-linknumber: 8
Operate Status: up Number of Up Port in Trunk: 2----------------------------------------------------ActorPortName Status PortType PortPri PortNo PortKey PortState Weigth
GigabitEthernet0/0/1 Selected 100M 32768 2 64 10111100 1
GigabitEthernet0/0/2 Selected 100M 32768 3 64 10111100 1
Partner:----------------------------------------------------ActorPortName SysPri SystemID PortPri PortNo PortKey PortState
GigabitEthernet0/0/1 32768 384c-4f60-9d20 32768 1 289 10111100 GigabitEthernet0/0/2 32768 384c-4f60-9d20 32768 2 289 10111100
防火墙的子接口
物理接口的子接口
防火墙配置子接口
interface GigabitEthernet1/0/1.10 -------先取子接口
vlan-type dot1q 10 ----------------------封装VLAN ID
ip address 10.1.1.10 255.255.255.0 #interface GigabitEthernet1/0/1.16
vlan-type dot1q 16
ip address 192.168.1.10 255.255.255.0#
第二步:把子接口加ZONE
firewall zone trust
add interface GigabitEthernet1/0/1.10#firewall zone dmz
add interface GigabitEthernet1/0/1.16
检查:
[FW1]display zone
20:26:16 2019/03/07local
priority is 100#trust
priority is 85
interface of the zone is (2):
GigabitEthernet0/0/0
GigabitEthernet1/0/1.10#dmz
priority is 50
interface of the zone is (1):
GigabitEthernet1/0/1.16
第三步:测试防火墙直连通信
默认一个都通不了,因为华为防火墙默认ZONE与ZONE之间都没有放行安全策略
默认的策略是deny
[FW1]display security-policy all
21:35:50 2019/09/05
Total:1
RULE ID RULE NAME STATE ACTION HITTED
-------------------------------------------------------------------------------0 default enable deny 275
-------------------------------------------------------------------------------[FW1]
security-policy
default action permit ----------默认全开安全策略
测试各个直接通信
测试完毕一定要记得关闭
security-policy default action deny
注意:
关于PING的问题
如果在防火墙上PING各个ZONE,只要上面放行所有安全策略,就可以访问
如果从各个安全区域访问防火墙的接口,全放安全策略无用,必须开启接口的访问管理PING,这样才能PING通防火墙接口
第五步:检查测试
逻辑接口的子接口
三层eth-trunk可以配置IP
二层Eth-trunk链路类型
默认为hybrid
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 10 16 40 50
配置:
interface Eth-Trunk1.10
vlan-type dot1q 10 ip address 10.1.1.10 255.255.255.0#interface Eth-Trunk1.16
vlan-type dot1q 16 ip address 192.168.1.10 255.255.255.0#
注意:
注意:所有防火墙的接口,无论是物理还是逻辑都需要加ZONE
防火墙所有的接口都定义ZONE
firewall zone trust set priority 85
add interface Eth-Trunk1.10#
firewall zone untrust set priority 5#
firewall zone dmz set priority 50
add interface Eth-Trunk1.16
放行安全策略
security-policy
rule name trust_dmz source-zone trust
destination-zone dmz
action permit
防火墙的vlanif接口
实验演示防火墙上面的vlanif接口技术
配置思路:
第一步: 创建VLAN
vlan batch 20 30
第二步:把接口配置成为二层
interface GigabitEthernet1/0/3
portswitch
port link-type access------------默认为ACCESS,可以修改
port access vlan 20#interface GigabitEthernet1/0/4
portswitch
port link-type access
port access vlan 30
第三步:创建VLANIF接口
interface Vlanif20
ip address 10.1.2.10 255.255.255.0
service-manage ping permit#interface Vlanif30
ip address 10.1.3.10 255.255.255.0
service-manage ping permit
第四步:接口划入ZONE
注意:不需要把接口再划入ZONE,只需要逻辑加ZONE
firewall zone trust add interface Vlanif20
add interface Vlanif30
第五步:测试检查
注意:
同一个ZONE不需要配置安全策略,可以互相通信 ------结论对吗?
现在USG6320 V100版本 ,就必须要配置同一个ZONE安全策略
security-policy
rule name trust_trust source-zone trust
destination-zone trust
action permit
【基础】防火墙接口类型全介绍相关推荐
- lacp可以在access接口吗_【基础】防火墙接口类型全介绍
物理接口 1) 防火墙支持的接口可以是二层接口或者三层接口 2) 二层接口:portswitch 3) 三层接口:undo portswitch 逻辑接口 1) VT(virtual template ...
- PaloAlto防火墙接口类型介绍
Tap:防火墙旁挂在交换机上,流量传过交换机,交换机做SPAN技术,流量引到PA,PA相当于IDS,做流量分析. Virtual Wire:相当于交换机,两个口子,从一个口进另一个口出,没有mac地址 ...
- Camera驱动基础--硬件接口相关知识介绍
一. LDO, PMIC,PMU, GPIO LDO: 低压差线性稳压器(low dropout regulator): LDO内部有四个部分组成:分别是基准参考电压,误差放大器,分压抽取电路和晶体管 ...
- 安防视频监控系统视频上云解决方案EasyCVR音频基础知识一文全介绍
EasyCVR是TSINGSEE青犀视频研发的视频上云网关,设备端有公网IP,可通过海康SDK.Onvif/RTSP.GB28181.ehome协议接入到EasyCVR中:设备端无公网IP,可通过GB ...
- 一文读懂USB TypeC与USB-PD。TypeC引脚定义-24P 16P 6P,CC1、CC2的作用,USB-PD介绍,USB2.0/3.0接口类型一览
USB TypeC & USB-PD & USB接口类型 24P USB-TypeC 引脚定义 母头/母座 公头/插头 引脚功能定义 引脚功能分布情况 16/12P USB-TypeC ...
- Java基础笔记 – 枚举类型的使用介绍和静态导入
Java基础笔记 – 枚举类型的使用介绍和静态导入 本文由 arthinking 发表于404 天前 ⁄ Java基础 ⁄ 暂无评论 ⁄ 被围观 1,433 views+ 1.枚举(Enum): JD ...
- 快充协议、接口类型、接口协议的介绍
一.快充协议 1.PD协议(USB Power Delivery) USB-IF组织制定的一种快速充电规范的USB-PD,即PD快充协议 PD协议需要搭配USB Type-C接口实现,最大功率可以到1 ...
- 2021-12-15 网工基础(十一) VLAN的基本原理、接口类型、Access、Trunk
VLAN基础 二 VLAN的基本原理 1 以太网二层接口类型 Access接口 交换机上常用来连接用户PC.服务器等终端设备的接口.Access接口所连接的这些设备的网卡往往只收发无标记帧.Acces ...
- typescript利用接口类型声明变量_TypeScript入门指南(基础篇)
戳蓝字「前端技术优选」关注我们哦! 作者:慕晨同学 原文地址:https://github.com/USTB-musion/fee-skills/issues/19 写在前面 ts是拥有类型系统 ...
最新文章
- 导入python库linux_Linux下Python安装PyMySQL成功,但无法导入的问题
- 测试另外一个厂商的T254 高频功率MOS管
- OpenCV下设置灰度直方图的阈值来对图像进行查找(查表)变换的源码
- 计算机网络知识点2——数据交换、码分多路复用
- 【Java数据库】使用properties资源文件,简化数据库连接
- 密码可逆不可逆选择_膝关节损伤不可逆!跑步要注意!
- 两天连续送五国 马云援欧物资加速运抵eWTP枢纽
- 重磅消息!三星、联想和微软的设备将会搭载Android 12L
- ps练习实例_拥有一份史上最全面的50集ps抠图学习教程是什么一种体验?
- 我的KT库之-----缓存与配置
- 【设计模式】解释器模式
- SpringBoot下载项目中文件
- Oracle11g安装包下载
- Jsoup爬虫之Java爬虫工具类
- python乱码怎么办_python中urllib.unquote乱码的原因与解决方法
- Symbian游戏编程入门 (一) Symbian OS简介
- ZZULIOJ:1116: 删除元素
- 【cocos creater】5.仿《弓箭传说》- 创建虚拟遥感
- Scrum立会报告+燃尽图(Beta阶段第二次)
- 流媒体之老黄谈流媒体服务与视频网站研发