1.配置需求
如下组网图所示,在原有的网络中增加防火墙来提高网络安全性,但又不想对原有网络配置进行改动,所以需要防火墙采用透明模式部署;其中GigabitEthernet 1/0/1接口接原有路由器的下联口,GigabitEthernet 1/0/3接口接原有的交换机上联口。
2.组网图
3.配置步骤
3.1配置连接路由器接口
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]port link-mode bridge #端口配置二层模式
[FW]security-zone name Untrust
[FW-security-zone-Untrust]import int g1/0/0 vlan 1 to 4094 #端口加入到untrust域
3.2配置连接核心交换机接口
[FW]int g1/0/1
[FW-GigabitEthernet1/0/1]port link-mode bridge #端口配置二层模式
[FW]security-zone name Trust
[FW-security-zone-Trust]import int g1/0/1 vlan 1 to 4094 #端口加入到trust域
3.3配置连接核心交换机接口
标签:H3C,zone,FW,int,untrust,华三,V7,security,trust From: https://www.cnblogs.com/xiaozhaoailab/p/18119002[FW]object-policy ip trust-untrust #允许trust访问untrust的对象策略及规则
[FW-object-policy-ip-trust-untrust]rule pass
[FW]zone-pair security source trust destination untrust #放通源为trust,目的为untrust
[FW-zone-pair-security-Trust-Untrust]object-policy apply ip trust-untrust