【组网】
PC1――――SW1――――SECPATH――――SW2――――PC2
【要求】
SW1上的“VLAN2和VLAN3”能与SW2上的“VLAN2和VLAN3”二层通信。
【SECPATH配置】
sysname Quidway
#
firewall packet-filter enable
firewall packet-filter default permit
#
undo connection-limit enable
connection-limit default deny
connection-limit default amount upper-limit 50 lower-limit 20
#
firewall mode transparent
firewall system-ip 1.1.1.1 255.0.0.0
firewall unknown-mac flood
#
interface GigabitEthernet0/0
promiscuous
bridge vlanid-transparent-transmit enable
#
interface GigabitEthernet0/1
promiscuous
bridge vlanid-transparent-transmit enable
#
interface LoopBack0
ip address 1.1.1.1 255.0.0.0
#
firewall zone local
set priority 100
#
firewall zone trust
add interface GigabitEthernet0/1
set priority 85
#
firewall zone untrust
add interface GigabitEthernet0/0
set priority 5
#
firewall zone DMZ
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
#
return
【交换机配置】
SW1和SW2上分别配置VLAN2和VLAN3,然后将上行接口配置也“TRUNK”类型即可。
【注意事项】
1、 SECPATH必须是在“透明模式”下才可实现VLAN透传。
2、 SECPATH配置成透明模式后,必须将相应的接口加入区域中,并在全局配置一条“firewall packet-filter default permit”,默认情况下是“DENY”规则。
3、 如果有一些未知目的MAC地址需要通过防火墙(例如:DHCP,OSPF等报文),还得配置一条“firewall unknown-mac flood”
4、 交换就只需注意报文上行时,必须携带VLAN标签。
5、 目前VRP3.4-1604以上版本才支持。