USG2000/5000 透明模式

USG接口工作在二层模式（透明模式）

USG采用此组网接入上下行网络，无须改变原有网络的拓扑结构，也不需要重新分配额外的业务地址。

组网需求

USG作为安全设备被部署在业务节点上，上行设备是路由器，下行设备为交换机，业务接口工作在交换模式下。

组网图如图1所示，网络规划如下：

· 内部网络的网段地址为192.168.1.0/24，与USG的GigabitEthernet
0/0/1接口相连，部署在trust区域。

· 外部网络与USG的GigabitEthernet 0/0/2接口相连，部署在Untrust区域。

· USG的管理地址为192.168.1.2/24

图1业务接口工作在二层，上下行连接交换机的组网图



配置思路

1. USG接口GigabitEthernet
0/0/1和GigabitEthernet 0/0/2均工作在交换模式，分别加入不同的安全区域。

2. 在USG上创建VLANif接口，配置管理ip地址为192.168.0.1。

3. 在USG上配置到路由器的默认路由。

4. 在 USG上配置Trust区域和Untrust区域的域间包过滤规则。

操作步骤

1. 在USG上完成以下基本配置。

#配置GigabitEthernet 0/0/1工作在交换模式。

<USG_A> system-view

[USG_A] interface GigabitEthernet 0/0/1

[USG_A-GigabitEthernet0/0/1]portswitch

[USG_A-GigabitEthernet0/0/1]quit

#配置GigabitEthernet 0/0/1加入Trust区域。

[USG_A] firewall zone trust

[USG_A-zone-trust]add interface GigabitEthernet 0/0/1

[USG_A-zone-trust]quit

#配置GigabitEthernet 0/0/2工作在交换模式。

[USG_A] interface GigabitEthernet 0/0/2

[USG_A-GigabitEthernet0/0/2]portswitch

[USG_A-GigabitEthernet0/0/2]quit

#配置GigabitEthernet 0/0/2加入Untrust区域。

[USG_A] firewall zone untrust

[USG_A-zone-untrust]add interface GigabitEthernet 0/0/2

[USG_A-zone-untrust]quit

2.#配置USG的管理IP地址。

[USG_A] interface vlianif 1

[USG_A-GigabitEthernet0/0/1]ip address 192.168.0.2 24

[USG_A-GigabitEthernet0/0/1]quit

[USG_A] firewall zone untrust

[USG_A-zone-untrust]add interface vlanif 1

3.#配置USG到路由器的默认路由。

[USG_A] ip route-static 0.0.0.0 0.0.0.0 192.168.0.1

4.#默认放开所有区域之间包过滤。

[USG_A]firewall packet-filter default permit all