如何配置防火墙之二层透明接入

1.1 背景信息

二层透明接入就是防火墙使用两个二层接口接入网络，通常部署在出口网关的内侧。此种接入方式的优点是不影响原有网络结构，不需要调整上下行设备路由，因此也称为“透明模式”。

二层透明接入防火墙同样具备安全防护能力，也需要配置安全策略，只是部分三层特有的功能二层接口不支持，例如路由。但是可以使用VLANIF作为三层接口。

防火墙无需全局切换路由模式、透明模式，而是进行接口级别的模式切换。接口工作在三层，就可以实现三层网关的功能；接口工作在二层，就可以实现二层透明接入的功能。二、三层接入可以并存。

如下图所示，防火墙一般部署在出口路由器的内侧，防火墙下行是交换机，上行是路由器。根据组网情况，可能路由器做内网用户网关，也可能三层交换机做内网用户网关。

防火墙透明接入组网中，一般使用路由器做源NAT，但是防火墙也支持做源NAT转换。下图中，当三层交换机做内网用户网关时可以在防火墙上配置源NAT。

图1-9 防火墙二层透明接入组网图

1.2  操作步骤

【1】配置二层接口。

B、配置GE0/0/2接口为交换模式，并将接口加入安全区域。

单击“确定”，然后在接口列表中修改GE0/0/2的安全区域为trust。

根据与防火墙连接的交换机的配置情况，配置防火墙二层接口的连接类型是Trunk还是Access。透明接入防火墙类似于二层交换机。

如果防火墙接口是Trunk类型转发VLAN，则需要在路由器上配置子接口终结VLAN。

配置GE0/0/3接口为交换模式，并将接口加入安全区域。

单击“确定”，然后在接口列表中修改GE0/0/3的安全区域为untrust。

【2】配置基础安全策略允许内网用户访问Internet。

A、选择“策略 > 安全策略 > 安全策略”。

B、新建安全策略。

【3】配置交换机和路由器的VLAN、接口及IP地址等，具体步骤略。

【4】可选：配置源NAT转换内网用户IP地址。

当三层交换机做内网用户网关时，可以选择防火墙做源NAT。

B、选择“源转换地址池”页签，新建地址池，地址池中是可供使用的公网IP地址范围。

C、选择“NAT 策略”页签，新建NAT策略。

D、在三层交换机上配置到NAT地址池地址（1.1.1.1～1.1.1.5）的黑洞路由。

<switch> system-view 
[switch] ip route-static 1.1.1.1 32 NULL0 
[switch] ip route-static 1.1.1.2 32 NULL0 
[switch] ip route-static 1.1.1.3 32 NULL0  
[switch] ip route-static 1.1.1.4 32 NULL0  
[switch] ip route-static 1.1.1.5 32 NULL0 

E、在路由器上配置到NAT地址池地址（1.1.1.1～1.1.1.5）的静态路由，下一跳为交换机VLANIF10的地址10.2.1.1。

<router> system-view
[router] ip route-static 1.1.1.1 32 10.2.1.1
[router] ip route-static 1.1.1.2 32 10.2.1.1
[router] ip route-static 1.1.1.3 32 10.2.1.1
[router] ip route-static 1.1.1.4 32 10.2.1.1 
[router] ip route-static 1.1.1.5 32 10.2.1.1

1.3  后续处理

透明接入时，管理员首次登录通过管理口登录防火墙。如果需要使用业务口登录防火墙，或者防火墙需要访问外部地址，均需要配置VLANIF接口IP地址。

好文推荐