ファイアウォールインターフェイスタイプ説明

ファイアウォールインターフェイスタイプ

物理インターフェイス
インターフェイスによってサポートされる1）が、ファイアウォールインターフェイスまたはレイヤインタフェース層であってもよい
portswitch：2）レイヤインタフェース
。3）界面層：使用portswitchアンドゥ
論理インターフェイス
1）VTを（仮想テンプレート）インタフェース、ダイヤラインターフェイス
2）トンネルインターフェイス、ヌルインターフェイス
インタフェースvlanif 3）
4）イーサネットサブ界面層
5）ETH-トランクインターフェイス、loobacpインタフェース

ファイアウォールETH-トランク

利点：
1）基本的にリンクの帯域幅が増加する
2）信頼性（LACPプロトコル）
3）ロードバランシング
ETH-トランクパターン分類：
モード（デフォルト）注均衡1）を手動ロード：関与するすべての前方リンク
2）静的LACPモード（NOダイナミックLACP）注：すべては、バックアップMを構成することができる：N形
ETH-トランクインタフェースタイプ
1）レイヤトランクのEth
2）レイヤトランクEthを

スイッチEthをレイヤー上にあります-trunk
最初のステップは：ETH-トランクモードを作成します。

interface Eth-Trunk1
mode lacp-static ---------默认手工负载分担

ステップ2：定義ETH-トランクタイプ

interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094 

第三段階：インターフェースETH-トランクグループの追加
方法

int  XXXX
eth-trunk 1

方法二

int eth-trunk  XX   (防火墙不能）
trunkport  g0/0/1  to 0/0/2

ファイアウォール3 ETH-トランクのための上記
のステップ1：ETH-TRUNKとモードを作成します。

interface Eth-Trunk1
 mode lacp-static

ステップ2：インターフェイスのメンバーETH-TRUNKへ

int XXX
eth-trunk  1

設定ETH-トランクをチェック

<FW1>display  eth-trunk  1 
15:10:49  2019/06/02

Eth-Trunk1's state information is:
 Local:
 LAG ID:1                               WorkingMode: STATIC
 Preempt Delay: Disable                 Hash Arichmetic: According to IP
 System Priority: 32768                 System ID: 2444-27ca-fbff
 Least active-linknumber: 1             Max active-linknumber: 8
 Operate Status: up                     Number of Up Port in Trunk: 2
----------------------------------------------------
ActorPortName          Status   PortType PortPri PortNo PortKey PortState Weigth
GigabitEthernet0/0/1   Selected 100M     32768   2      64      10111100  1     
GigabitEthernet0/0/2   Selected 100M     32768   3      64      10111100  1     
Partner:
----------------------------------------------------
ActorPortName          SysPri    SystemID  PortPri PortNo  PortKey   PortState  
GigabitEthernet0/0/1   32768  384c-4f60-9d20  32768  1     289       10111100   GigabitEthernet0/0/2   32768  384c-4f60-9d20  32768  2     289       10111100 

ファイアウォールのサブインタフェース

サブインターフェースの物理インターフェイス

ファイアウォール設定のサブインタフェース

interface GigabitEthernet1/0/1.10 -------先取子接口
 vlan-type dot1q 10 ----------------------封装VLAN ID 
 ip address 10.1.1.10 255.255.255.0 
#
interface GigabitEthernet1/0/1.16
 vlan-type dot1q 16
 ip address 192.168.1.10 255.255.255.0
#

ステップ2：追加のインタフェースは、ZONEを扱います

firewall zone trust
 add interface GigabitEthernet1/0/1.10
#
firewall zone dmz
 add interface GigabitEthernet1/0/1.16  

チェック：

[FW1]display  zone  
20:26:16  2019/03/07
local
 priority is 100
#
trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet0/0/0
    GigabitEthernet1/0/1.10
#
dmz
 priority is 50
 interface of the zone is (1):
    GigabitEthernet1/0/1.16

第三段階：テストファイアウォールの直接通信
Huawei社はZONEとZONE間のデフォルトのファイアウォールのセキュリティポリシー放出しなかったので、デフォルトでは、パスではありません
デフォルトポリシーが拒否することです

[FW1]display security-policy all 
21:35:50  2019/09/05 
Total:1 
RULE ID RULE NAME                      STATE      ACTION             HITTED            
-------------------------------------------------------------------------------
0       default                        enable     deny               275               
-------------------------------------------------------------------------------
[FW1]
security-policy
 default action permit  ----------默认全开安全策略

テストそれぞれの直接通信
テストが完了すると、あなたがシャットダウンする覚えておく必要があります

security-policy
 default action deny 

注：
PINGの問題
ファイアウォール上もしPING各ZONE限り、すべてのセキュリティポリシーは、あなたがアクセスすることができます上記のリリースなど
、さまざまなセキュリティゾーンからファイアウォールにアクセスする場合は、インタフェースを無用全体のセキュリティポリシーを入れ、アクセス管理インターフェイスのPINGを開く必要があり、 PINGファイアウォールインターフェイスを通過するように
ステップ5：確認試験

サブインターフェース・ロジック・インタフェース

レイヤETH-トランクは、IPの設定することができます
層ETH-トランクリンクタイプの
デフォルトのハイブリッドを

interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 10 16 40 50

構成：

interface Eth-Trunk1.10
 vlan-type dot1q 10
 ip address 10.1.1.10 255.255.255.0
#
interface Eth-Trunk1.16                   
 vlan-type dot1q 16
 ip address 192.168.1.10 255.255.255.0
#

注：
注：すべてのファイアウォールのインターフェイス、それは追加する物理的または論理的ZONEの必要性であるかどうか
、すべてのインタフェースが定義されていますZONEファイアウォールが

firewall zone trust
 set priority 85
 add interface Eth-Trunk1.10
#
firewall zone untrust
 set priority 5
#
firewall zone dmz
 set priority 50
 add interface Eth-Trunk1.16

リリースセキュリティポリシー

security-policy
 rule name trust_dmz
  source-zone trust
  destination-zone dmz
action permit

ファイアウォールvlanifインタフェース

vlanifインタフェース技術の上記実証実験のファイアウォール

設定のロードマップ：
ステップ1：VLANを作成します。

vlan batch  20 30

ステップ2：インターフェース設定されたレイヤ

interface GigabitEthernet1/0/3
 portswitch
 port link-type access------------默认为ACCESS，可以修改
 port access vlan 20
#
interface GigabitEthernet1/0/4            
 portswitch
 port link-type access
 port access vlan 30 

ステップ3：VLANIFインターフェースを作成します。

interface Vlanif20
 ip address 10.1.2.10 255.255.255.0
 service-manage ping permit
#
interface Vlanif30
 ip address 10.1.3.10 255.255.255.0
 service-manage ping permit

四ステップは：ZONEが含まのインタフェース
注：インタフェースZONEに再割り当てする必要はありません、唯一の論理和ZONEが必要です

firewall zone trust
 add interface Vlanif20
 add interface Vlanif30

ステップ5：テストチェック
：注
------結論を右に、ZONEとのconfigureセキュリティポリシーへの必要はありませんが、相互に通信することができますか？
今USG6320 V100のバージョンは、同じセキュリティポリシーZONEを設定する必要があります

security-policy
 rule name trust_trust
  source-zone trust
  destination-zone trust
  action permit