小型sbr废水处理plc电气控制系统课程设计_secret 16页

实验5UTM二三层转发配置实验5-15.1实验内容与目标5-15.2实验组网图5-15.3背景需求5-15.4实验设备与版本5-25.5实验过程5-2实验任务一：配置防火墙工作在透明模式5-2实验任务二：配置防火墙工作在路由模式5-4实验任务二：配置防火墙工作在混合模式5-105.6实验中的命令列表5-15n实验5UTM二三层转发配置实验实验5UTM二三层转发配置实验5.1实验内容与目标完成本实验，您应该能够：·了解UTM转发模式的简单原理·掌握UTM转发模式的配置方法·掌握UTM转发模式的常用配置命令5.2实验组网图图5-1实验组网图5.3背景需求缺省情况下，防火墙工作在路由模式下，路由模式就是路由器工作模式，防火墙相当于具有保护功能的路由器。此外，防火墙还提供了透明模式，类似于在网络中像放置了一个网桥（BridGE），无需修改任何已有的配置。但是，防火墙透明模式与网桥存在不同，防火墙接收到的IP报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL规则以确定是否允许该报文通过；此外，还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。当防火墙工作在透明模式（也可以称为桥接模式）下时，所有接口都不能配置IP地址，接口所在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时，需要根据报文的MAC地址来寻找出接口，此时防火墙表现为一个透明网桥。工作在透明模式下的防火墙在数据链路层连接局域网（LAN），网络终端用户无需为连接网络而对设备进行特别配置，就像使用以太网交换机一样进行网络连接。14n实验5UTM二三层转发配置实验SecPath防火墙支持透明桥组，并同时支持路由和桥接功能。桥组路由功能提供了一种结合路由和桥接的转发方法。对于指定的协议数据，如果是在桥组端口之间进行通讯，则进行桥接转发；如果是需要与非桥组组内的网络进行通讯，则可以进行网络协议的路由转发。5.1实验设备与版本主机：2台线缆：若干UTM：H3CSecPathU200-A，Version5.20,Beta51125.2实验过程实验任务一：配置防火墙工作在透明模式图5-1透明模式转发组网图组网要求说明：如图：PC1和PC2分别连在UTM200-S防火墙的GE0/1和GE0/2接口上，其IP地址分别为10.0.0.1/24和10.0.0.2/24，需要通过UTM200-S实现互通。步骤一：命令行配置命令行配置如下：#vlan1#interfaceGigabitEthernet0/1portlink-modebridge#interfaceGigabitEthernet0/2portlink-modebridge#14n实验5UTM二三层转发配置实验步骤二：web相关配置web相关配置如下：进入WEB管理界面后，单击“设备管理”>>“安全域”，编辑trust安全域，将GE0/1加入该域：同样的操作，将GE0/2加入untrust安全域；然后通过WEB页面配置trust与untrust之间的策略可实现安全过滤。14n实验5UTM二三层转发配置实验实验任务二：配置防火墙工作在路由模式图5-1路由模式转发组网组网要求说明：如图：PC1和PC2分别连在F1000-E防火墙的GE0/1和GE0/2接口上，其IP地址分别为100.0.0.2/24和200.0.0.2/24，需要通过UTM200-S实现互通。UTM200-S防火墙的GE0/1和GE0/2的接口IP分别为100.0.0.1/24和200.0.0.1/24。步骤一：接口配置在页面点击接口后面对应的编辑按钮，配置接口GE0/1的IP地址，相同方法配置GE0/2接口的IP地址为200.0.0.1/24。在页面，创建ACL2000。14n实验5UTM二三层转发配置实验ACL2000的规则作如下设置，点击“确定”步骤二：安全域相关配置web相关配置如下：将接口GE0/1和GE0/2分别添加到Trust和Untrust域14n实验5UTM二三层转发配置实验步骤三：NAT配置在页面，单击“新建”按钮，在GE0/2接口上，配置NATOutboundEasy-ip/PAT。步骤四：NATServer配置在GE0/2接口上，配置NATServer（以HTTP协议为例）在web页面，单击“新建”按钮，14n实验5UTM二三层转发配置实验步骤五：地址组和域间策略配置配置从Untrust域到Trust域的面向对象ACL，允许外网用户访问Trust区的Web服务器。在页面，单击“新建”按钮，增加地址对象，点击“添加”--->“确定”按钮。在页面，单击“新建”按钮，增加地址组对象，把前面新建的地址对象WebServerAddr加入地址组对象WebServerGroup。14n实验5UTM二三层转发配置实验在页面，单击“新建”按钮，增加服务对象。在页面，单击“新建”按钮，增加服务组对象，把前面新建的服务对象WebService加入到服务组对象WebServiceGroup中去。14n实验5UTM二三层转发配置实验在页面，单击“新建”按钮。新建访问控制列表规则，选择源地址为any_address，目的地址为地址组对象WebServerGroup，服务组对象为WebServiceGroup。14n实验5UTM二三层转发配置实验实验任务二：配置防火墙工作在混合模式组网要求说明：14n实验5UTM二三层转发配置实验如图：PC1，PC2和PC3分别连在UTM200-S防火墙的GE0/1，GE0/2和GE0/3接口上。PC2和PC3在一个网段10.0.0.0/24，其IP地址分别为10.0.0.2/24和10.0.0.3/24；PC1的地址是20.0.0.2/24，需要通过UTM200-S实现互通。UTM200-S防火墙GE0/1的接口IP为20.0.0.1/24，GE0/2和GE0/3所在VLAN的vlan-interface的接口IP为10.0.0.1/24。GE0/2和GE0/3接口工作在二层模式下，加入vlan10，vlan10的三层终结为vlan-interface10，GE0/1接口工作在三层模式下。步骤一：命令行下配置基本配置如下：#vlan10#interfaceVlan-interface10ipaddress10.0.0.1255.255.255.0#interfaceGigabitEthernet0/1portlink-moderouteipaddress20.0.0.1255.0.0.0#interfaceGigabitEthernet0/2portlink-modebridGEportaccessvlan10#interfaceGigabitEthernet0/3portlink-modebridGEportaccessvlan10步骤二：web相关配置web相关配置如下：A.设置GE0/1的接口地址在“”页面点击GE0/1后面的编辑按钮，设置GE0/1接口的地址如下。14n实验5UTM二三层转发配置实验A.设置接口为二层模式在“”页面点击GE0/2和GE0/3接口后面的编辑按钮，将接口设置为二层模式，点击“确定”。B.创建vlan10在“”页面点击“新建”按钮，创建vlan10。14n实验5UTM二三层转发配置实验A.将GE0/2和GE0/3接口加入vlan10在“”页面点击vlan10后面的编辑按钮。将GE0/2和GE0/3接口设置为vlan10成员。如果设置为vlan10的Tagged成员，接口将修改为Hybrid口。B.创建vlaninterface10在“”页面，点击“新建”按钮，创建Vlan-interface10。14n实验5UTM二三层转发配置实验A.把接口加入安全域把GE0/2接口加入trust域，GE0/3接口加入DMZ域，GE0/1接口加入untrust域，Vlan-interface10加入trust域。B.域间策略根据实际组网需要按照前面的步骤添加untrust域到trust域，untrust域到dmz域，dmz域到trust域的域间策略。14n实验5UTM二三层转发配置实验5.1实验中的命令列表操作视图操作命令操作说明接口视图portlink-modebridge以太网接口可工作在二层模式（bridGE）接口视图portaccessvlan设置所属Vlan系统视图aclnumber2000定义ACL过滤模板接口视图portlink-moderoute以太网接口可工作在三层模式（route）接口视图ipaddress添加接口IP接口视图portlink-moderoute/bridge以太网接口可工作在三层/二层模式（route/bridGE）14