一、防火牆充當交換機,使用VSwitchif接口配置網關,調用策略使兩臺PC機互通
拓撲圖如下
配置流程:
注意:如果提示如下信息,將接口的DHCP功能關閉(no ip add dhcp)
1、VPC1配置IP地址爲192.168.1.10,子網掩碼24位,網關爲192.168.1.1,VPC2同理,IP地址爲192.168.1.20;
也可以使用ip 192.168.1.10/24 192.168.1.1配置
2、配置Hillstone的e/0口和e0/1口爲l2-trust區域和l2-untrust區域(接口綁定安全域);
3、配置HillstoneVSwitchif接口爲三層區域,配置IP,開啓該接口的ping功能;
4.1、配置策略,指定源目安全域和源目地址簿,配置服務類型以及動作;
該配置模式下,VPC1可以ping通VPC2,因爲一開始配置VPC1的域爲二層trust區域,而VPC2爲二層untrust區域,策略中配置的源地址爲二層trust區域,目的地址爲二層untrust區域,只能單向ping通,如果需要雙向ping通,可以配置rule5,配置源地址爲二層untrust,目的地址爲二層trust區域,ping結果如下:
4.1.1 VPC1 ping VPC2
4.1.2 VPC2 ping VPC1
4.2 簡易配置雙向互通方式
注意:策略配置要注意動作的添加,默認是拒絕流量通過
5、用IP地址方式配置VPC雙方無法ping通
ping結果,PC機之間ping不通,但是可以ping通網關192.168.1.1
二、調整策略位置
策略表如下所示,通過命令調整策略位置
1、將rule 8調整到頂部:
查看策略表
2、將rule 8調整到底部
查看策略表
3、將rule 8調整到 rule 6前面
查看策略表
也可以用move命令移動rule,move命令模式下有top、before、after、bottom四種方式
三、修改策略中的內容,以rule 8 爲例
1、命名/重命名
查看策略表
2、指定/修改源目安全域
查看策略表
四、策略冗餘
1、檢查策略冗餘
2、查看冗餘策略條目數
3、清除上一次的規則冗餘檢測結果緩存,並檢查
五、策略組
1、創建策略組 text
刪除策略組用 no policy-group text
2、添加對策略組的描述
3、添加策略組成員(將rule7和rule8加入策略組text)
注意:一條策略規則只能添加到一個策略組中
4、策略組重命名
規則是rename policy-group old-name new-name(前面是舊名稱,後面是新名稱)
5、查看策略組中的成員
