USG2000&5000 透明模式配置案例

发布时间:  2015-03-10 浏览次数:  287 下载次数:  0
问题描述
用户咨询如何把USG更改为2层模式组网。
解决方案

由于USG2200系列接口本身全部工作在3层情况下,所以更改接口就会导致web界面无法登陆,这时候配置2层透明模式就需要在console口下进行操作了。配置方法如下:

USG接口工作在二层模式(透明模式)

USG采用此组网接入上下行网络,无须改变原有网络的拓扑结构,也不需要重新分配额外的业务地址。

组网需求

USG作为安全设备被部署在业务节点上,上行设备是路由器,下行设备为交换机,业务接口工作在交换模式下。

组网图如图1所示,网络规划如下:

· 内部网络的网段地址为192.168.1.0/24,与USGGigabitEthernet 0/0/1接口相连,部署在trust区域。

· 外部网络与USGGigabitEthernet 0/0/2接口相连,部署在Untrust区域。

· USG的管理地址为192.168.1.2/24

1 业务接口工作在二层,上下行连接交换机的组网图

http://support.huawei.com/ecommunity/showimage-10122160-10054923-a741a06809669a8821cad05f7f82d4e3.jpg

配置思路

1. USG接口GigabitEthernet 0/0/1GigabitEthernet 0/0/2均工作在交换模式,分别加入不同的安全区域。

2. USG上创建VLANif接口,配置管理ip地址为192.168.0.1

3. USG上配置到路由器的默认路由。

4. USG上配置Trust区域和Untrust区域的域间包过滤规则。

操作步骤

1. USG上完成以下基本配置。

# 配置GigabitEthernet 0/0/1工作在交换模式。

<USG_A> system-view

[USG_A] interface GigabitEthernet 0/0/1

[USG_A-GigabitEthernet0/0/3] portswitch

[USG_A-GigabitEthernet0/0/3] quit

# 配置GigabitEthernet 0/0/1加入Trust区域。

[USG_A] firewall zone trust

[USG_A-zone-trust] add interface GigabitEthernet 0/0/1

[USG_A-zone-trust] quit

# 配置GigabitEthernet 0/0/2工作在交换模式。

[USG_A] interface GigabitEthernet 0/0/2

[USG_A-GigabitEthernet0/0/2] portswitch

[USG_A-GigabitEthernet0/0/2] quit

# 配置GigabitEthernet 0/0/2加入Untrust区域。

[USG_A] firewall zone untrust

[USG_A-zone-untrust] add interface GigabitEthernet 0/0/2

[USG_A-zone-untrust] quit

2.# 配置USG的管理IP地址。

[USG_A] interface vlianif 1

[USG_A-GigabitEthernet0/0/1] ip address 192.168.0.2 24

[USG_A-GigabitEthernet0/0/1] quit

[USG_A] firewall zone untrust

[USG_A-zone-untrust] add interface vlanif 1

3.# 配置USG到路由器的默认路由。

[USG_A] ip route-static 0.0.0.0 0.0.0.0 192.168.0.1

4.# 默认放开所有区域之间包过滤。

[USG_A]firewall packet-filter default permit all

 

END