H3C F100-M-G 配置2条数字专线

通过命令行方式配置Firewall

# 创建 VLAN 102 和 VLAN 103。

<Firewall> system-view [Firewall] vlan 102

[Firewall-vlan102] quit [Firewall] vlan 103

[Firewall-vlan103] quit

# 配置域间策略默认转发规则。

[Firewall] interzone policy default by-priority

# 配置 GigabitEthernet0/1 和 GigabitEthernet0/2 接口为 Access 类型接口，并分别加入 VLAN 102

和 VLAN 103。

[Firewall] interface gigabitethernet 0/1

[Firewall-GigabitEthernet0/1] port link-mode bridge

[Firewall-GigabitEthernet0/1] port access vlan 102

[Firewall-GigabitEthernet0/1] quit

[Firewall] interface gigabitethernet 0/2

[Firewall-GigabitEthernet0/2] port link-mode bridge

[Firewall-GigabitEthernet0/2] port access vlan 103

[Firewall-GigabitEthernet0/2] quit

# 创建 VLAN 接口，并将接口加入安全域。

[Firewall] interface Vlan-interface 102

[Firewall-Vlan-interface102] ip address 192.168.2.1 255.255.255.0

[Firewall-Vlan-interface102] quit

[Firewall] interface Vlan-interface 103

[Firewall-Vlan-interface103] ip address 192.168.3.1 255.255.255.0

[Firewall-Vlan-interface103] quit

# 将虚接口 Vlan-interface 102 接口加入 Trust 安全域，将 Vlan-interface 103 加入 Untrust 安全域。

[Firewall] zone name Trust

[Firewall-zone-Trust] import interface Vlan-interface 102

[Firewall-zone-Trust] quit

[Firewall] zone name Untrust

[Firewall-zone-Untrust] import interface Vlan-interface103

[Firewall-zone-Untrust] quit

# 配置 ACL3000，规则为允许源地址为 192.168.2.0 网段的报文通过。

[Firewall] acl number 3000

[Firewall-acl-adv-3000] rule 0 permit ip source 192.168.2.0 0.0.0.255

[Firewall-acl-adv-3000] quit

# 在 Vlan-interface 103 上配置动态 NAT，匹配 ACL 策略为 3000。

[Firewall] interface Vlan-interface 103

[Firewall-Vlan-interface103] nat outbound 3000

[Firewall-Vlan-interface103] quit

5.5 验证配置

Host A 可以 Ping 通 Host B，并且 Host B 收到的报文源地址由于做了 NAT 转换变为虚接口

Vlan-interface103 的地址，而不再是 Host A 的地址。

 

5.6 配置文件

#

interzone policy default by-priority

#

acl number 3000

rule 0 permit ip source 192.168.2.0 0.0.0.255

#

vlan 102 to 103

#

interface Vlan-interface102

ip address 192.168.2.1 255.255.255.0

#

interface Vlan-interface103 nat outbound 3000

ip address 192.168.3.1 255.255.255.0

#

interface GigabitEthernet0/1 port link-mode bridge

port access vlan 102

#

interface GigabitEthernet0/2 port link-mode bridge

port access vlan 103

#zone name Trust id 2 priority 85

import interface Vlan-interface102 zone name Untrust id 4

priority 5

import interface Vlan-interface103

#

 

6  相关资料

• ·      《H3C SecPath 系列防火墙和 UTM 产品 配置指导》中的“VPN 配置指导”
•         《H3C SecPath 系列防火墙和 UTM 产品 命令参考》中的“VPN 命令参考”
•        《H3C SecPath 系列防火墙和 UTM 产品 配置指导》中的“访问控制配置指导”
•        《H3C SecPath 系列防火墙和 UTM 产品 命令参考》中的“访问控制命令参考”
•         《H3C SecPath 系列防火墙和 UTM 产品 配置指导》中的“网络管理配置指导”
•         《H3C SecPath 系列防火墙和 UTM 产品 命令参考》中的“网络管理命令参考”