安全域
拿到这个防火墙先观(端)察(详)一下,面板上一共12个千兆电口,两个光口跟GE0 GE1形成Combo。反正这项目也不用光口,暂且放下。还一个HDD扩展口,用于插扩展硬盘。还两个USB,暂时不知道有啥用。最后还一个console口,熟悉的套路这玩意是接串口的。
起初以为GE3~GE11这些个端口是交换机作用,于是接两个计算机互相PING,结果不通。
先将计算机上的串口通过专用转接线(买防火墙的时候会送一根)接到防火墙的Console端口上。
打开SecureCRT,配置一下串口连接9600-8-N-1,然后按下回车,会看到login字样。
用户名和密码默认都是admin,登陆进去。
开始配置前的一些基本概念。我在经历了无数次Ping不通之后才弄清楚的几个简单的概念
1、端口可以属于一个安全域。如果此端口不属于任何安全域则此端口收到的任何报文将被丢弃。
2、系统默认有trust untrust dmz management local 这5个安全域。
3、GE0 GE1 GE2默认属于management安全域
4、跨安全域访问需要通过安全域间的规则进行过滤,如果跨的两个域之间没有过滤规则则不可以访问(还有一种说法是可以访问的,没弄明白,暂时这么认为)
这个防火墙端口的一些特性
1、防火墙的端口有两种工作模式,二层模式和三层模式。
2、二层模式端口有三种工作模式 Access Trunk hybrid 不懂这三个模式的区别的话,H3C的参考手册上面有详细的。
3、三层模式端口的IP地址可以手工指定也可以DHCP获取。
4、如果端口工作于二层模式,在加入安全域时需要指定VLAN ID
大致了解了之后,开始配置端口所属的安全域。这里用了GE9 和 GE10。
1、GE9接一个计算机PC1网口,配置此计算机IP地址为192.168.1.2/24
2、GE10接另一个计算机PC2网口,配置此计算机IP地址为192.168.1.3/24
3、配置GE9端口为二层模式,Access类型,VLAN10
4、配置GE10端口为二层模式,Access类型,VLAN10
5、将GE9加入trust安全域 vlan10
6、将GE10加入untrust安全域 vlan 10
7、配置ACL2000 源安全域trust到目的安全域untrust 允许源ip 192.168.1.0 0.0.0.255
验证配置:
PC1 ping PC2 可以通过。
PC2 ping PC1 通不过。