http://blog.chinaunix.net/u/18307/showart_188219.html
1 时间段访问控制列表(ACL):
功能需求及组网说明:
『组网需求』:
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
要求内部用户,在
8
:
00
-
12
:
00
和
13
:
30
-
18
:
00
可以出公网,其它的时间都不可以出公网
『配置实例』:
1.
在系统视图下配置时间段:
[Secpath] time-range huawei1 08:00 to 18:00 daily
[Secpath] time-range huawei2 12:00 to 13:30 daily
2.
配置高级访问控制列表:
[Secpath] acl number 3001
[Secpath-acl-adv-3001] rule deny ip time-range huawei2
[Secpath-acl-adv-3001] rule permit ip time-range huawei1
[Secpath-acl-adv-3001] rule deny ip
3.
进入内网接口视图,下发时间段
ACL
规则:
[Secpath-GigabitEthernet0/1] firewall packet-filter 3001 inbound
4
.对于其它的规则配置请查看操作手册。
『注意事项』:
1
、在同一个名字下可以配置多个时间段,这些时间段是“或”关系。
2
、在
SECPATH
系列产品中,只有
SECPATH10F
是不可以保存系统时间的,重启设备后,时间就会丢失。
3
、要将基于
MAC
地址的访问控制列表应用到接口上,防火墙必须工作在透明模式下,否则系统会提示“
Please firstly active the Transparent mode !
”。
2 地址转换(NAT):
『配置实例』:
1
.配置域名与外部地址、端口号、协议类型之间的映射。
[Secpath] nat dns-map www.zc.com 10.153.49.197 80 tcp
[Secpath] nat dns-map ftp.zc.com 10.153.49.197 21 tcp
2
.相关
NAT
地址转换及映射配置,请参考手册。
『注意事项』:
1
、
地址池转换方式是实现多对多地址转换
2
、
NAPT
的转换方式是
多对一地址转换。
3
、
NAT ALG
是解决特殊协议穿越
NAT
的一种常用方式,此种方式对载荷中的
IP
地址和端口号进行替换,从而实现对该协议的透明中继。目前
VRP
的
NAT ALG
支持
PPTP
、
DNS
、
FTP
、
ILS
、
NBT
、
SIP
、
H.323
等协议。
3 防火墙特性:
功能需求及组网说明
3.1 透明模式
『功能说明』:
当防火墙工作在透明模式时,防火墙表现为透明网桥,但防火墙和网桥存在不同,因为防火墙收到
IP
报文后,会到上层进行相关过滤处理,此外还可防***检查,如
ACL
规则检查、
ASPF
状态过滤、防***检查、流量监控等功能。而网桥是不行的。
『配置实例』:
1.
配置防火墙工作在透明模式:(必配)
[Secpath]firewall mode transparent
2.
配置防火墙的管理
IP
地址,此地址可用在
TELNET
、
SNMP
等管理中。
[Secpath]firewall system-ip 192.168.1.1 255.255.255.0
3.
配置防火墙对未知目的
MAC
地址的
IP
报文的处理方式。默认情况单播采用“arp
”方式处理,广播和组播都是采“drop
”方式处理。
[Secpath]firewall unknown-mac flood
4.
配置其它参数,请参考手册。
『注意事项』:
1
、当透明模式防火墙在某接口接收到广播帧或多播帧时,会向其它接口进行转发。(查找
MAC
地址表成功后,转发)
2
、在同一个物理网段上,透明模式防火墙对此帧进行过滤,不转发该帧。(查找
MAC
地址表成功后,不转发)
3
、目的未知的
MAC
地址帧,透明模式防火墙会向除发送该帧的源接口外的其它所有接口进行转发。(查找
MAC
地址表失败后,转发)
4
、基于
MAC
地址的访问控制列表,只能在透明模式下配置。
5
、在透明模式下,
MAC
地址表老化的时间是
300
秒。
转载于:https://blog.51cto.com/Enskong/250984
扫一扫
1668
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
