Secpath（华为）典型配置案例

http://blog.chinaunix.net/u/18307/showart_188219.html

1 时间段访问控制列表（ACL）：

功能需求及组网说明:


500)this.width=500;">

『组网需求』：
要求内部用户，在8：00－12：00和13：30－18：00可以出公网，其它的时间都不可以出公网
『配置实例』：
1． 在系统视图下配置时间段：
[Secpath] time-range huawei1 08:00 to 18:00 daily
[Secpath] time-range huawei2 12:00 to 13:30 daily

2． 配置高级访问控制列表：
[Secpath] acl number 3001
[Secpath-acl-adv-3001] rule deny ip time-range huawei2
[Secpath-acl-adv-3001] rule permit ip time-range huawei1
[Secpath-acl-adv-3001] rule deny ip

3． 进入内网接口视图，下发时间段ACL规则：
　　[Secpath-GigabitEthernet0/1] firewall packet-filter 3001 inbound

4．对于其它的规则配置请查看操作手册。

『注意事项』：
1、在同一个名字下可以配置多个时间段，这些时间段是“或”关系。
2、在SECPATH系列产品中，只有SECPATH10F是不可以保存系统时间的，重启设备后，时间就会丢失。
3、要将基于MAC地址的访问控制列表应用到接口上，防火墙必须工作在透明模式下，否则系统会提示“Please firstly active the Transparent mode !”。

2 地址转换（NAT）：

『配置实例』：
　1．配置域名与外部地址、端口号、协议类型之间的映射。
[Secpath] nat dns-map www.zc.com 10.153.49.197 80 tcp
[Secpath] nat dns-map ftp.zc.com 10.153.49.197 21 tcp

　2．相关NAT地址转换及映射配置，请参考手册。

『注意事项』：
　1、地址池转换方式是实现多对多地址转换
　2、NAPT的转换方式是多对一地址转换。
　3、NAT ALG是解决特殊协议穿越NAT的一种常用方式，此种方式对载荷中的IP地址和端口号进行替换，从而实现对该协议的透明中继。目前VRP的NAT ALG支持PPTP、DNS、FTP、ILS、NBT、SIP、H.323等协议。

3 防火墙特性：

功能需求及组网说明


500)this.width=500;">

3.1 透明模式

　『功能说明』：
　　　　　　　当防火墙工作在透明模式时，防火墙表现为透明网桥，但防火墙和网桥存在不同，因为防火墙收到IP报文后，会到上层进行相关过滤处理，此外还可防攻击检查，如ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。而网桥是不行的。

『配置实例』：
1． 配置防火墙工作在透明模式：（必配）
[Secpath]firewall mode transparent

2． 配置防火墙的管理IP地址，此地址可用在TELNET、SNMP等管理中。
[Secpath]firewall system-ip 192.168.1.1 255.255.255.0

3． 配置防火墙对未知目的MAC地址的IP报文的处理方式。默认情况单播采用“arp”方式处理，广播和组播都是采“drop”方式处理。
[Secpath]firewall unknown-mac flood

4． 配置其它参数，请参考手册。

　『注意事项』：
1、当透明模式防火墙在某接口接收到广播帧或多播帧时，会向其它接口进行转发。（查找MAC地址表成功后，转发）
2、在同一个物理网段上，透明模式防火墙对此帧进行过滤，不转发该帧。（查找MAC地址表成功后，不转发）
　　3、目的未知的MAC地址帧，透明模式防火墙会向除发送该帧的源接口外的其它所有接口进行转发。（查找MAC地址表失败后，转发）
　　4、基于MAC地址的访问控制列表，只能在透明模式下配置。
　　5、在透明模式下，MAC地址表老化的时间是300秒。