Root Firewall配置如下
system-view
sysname root-firewall #防火墙命名
vlan batch 41 71 73 100 to 200 1000 to 2000 3001 to 3100 #创建vlan
interface eth-trunk 0 #创建聚合组0 (为HRP所使用)
trunkport GigabitEthernet1/0/0 #添加聚合组成员
trunkport GigabitEthernet1/0/1 #添加聚合组成员
ip address 1.1.1.1 255.255.255.0 #配置聚合组地址
quit #退出聚合组模式
interface eth-trunk 1 #创建聚合组1(出口链路聚合)
portswitch #切换至二层聚合模式
trunkport 10GE 1/0/8 #添加聚合组成员
trunkport 10GE 1/0/9 #添加聚合组成员
port link-type trunk #端口类型trunk
undo port trunk allow-pass vlan 1 #拒绝vlan1通过
port trunk allow-pass vlan 41 71 73 100 to 200 1000 3000 to 3100 #允许vlan 41 71 73 100 to 200 1000 3000到3100
alias eth-trunk1 #聚合组命名eth-trunk1
quit
将聚合组加入不同区域
firewall zone dmz
add interface Eth-Trunk0 #HRP聚合组加入到DMZ区域
firewall zone trust
add interface Eth-Trunk1 #出口链路聚合加入到Trust区域
add interface Virtual-if0
备注:建议Eth-Trunk1和 Virtual-if接口属于不同区域(因为华为防火墙只存在区域间策略)------默认同一个zone的流量是可以通信的,可以基于源目的地址做安全策略
vsys enable #开启虚拟系统
resource-class r1 # 配置资源类
resource-item-limit session reserved-number 10000 maximum 50000
resource-item-limit policy reserved-number 300
resource-item-limit user reserved-number 300
resource-item-limit user-group reserved-number 10