H3C 防火墙基于IP资源SSL ***典型配置案例

拓扑环境：
客户端(172.2.215.10)------------172.2.215.105--G1/0/0 -F1060
测试防火墙版本
[H3C]dis version
H3C Comware Software, Version 7.1.064, Release 9323P13
[H3C]probe
[H3C-probe]dis sys int ver
H3C SecPath F1060 V900R003B01D622SP13
Comware V700R001B64D022SP13
IP资源配置（采用设备默认证书）
（这里其他步骤和WEB资源方式基本类似，在新建访问实例时，勾选上IP资源，IP资源的配置如下图所示）

IP业务需要分配的地址段配置完成后，将IP资源和资源组做个关联，需要特别注意的是，IPv4 ACL侧一定要下发包过滤策略，不然无法ping通AC接口地址

强制接入解释：
在资源组中勾选强制接入按钮时，系统会自动下发一条缺省路由到客户端，使得客户端访问外网的流量统一走总部出口设备出去，如下图一

（图一 强制接入时主机路由表项）

如下图二是没有勾选强制接入的主机路由表项，该情况下，客户端访问总部的流量从本地网卡出去（前提是已经配置了到达总部内网网段的明细路由），访问外网的流量走PC自身网卡出去

（图二 没有勾选强制接入时主机路由表项）

图三 是做个简单的测试，在防火墙F1060上起了一个环回口，地址为1.1.1.1 32，点击强制接入和没有点击强制接入时ping测试的效果

结论：当勾选强制接入时，防火墙会向PC下发一条默认路由，该路由比PC自身的默认路由优先级高，所以当访问1.1.1.1时，会主走防火墙下发的那条默认路由，所以ping 1.1.1.1是通的；当没有勾选强制接入时，防火墙不会下发缺省路由给PC，当PC访问1.1.1.1时，会走主机原有的默认路由，而访问1.1.1.1找不到目标主机，所以不可达

注意：在配置IP资源时，在资源中一定要关联上IPv4 ACL策略，否则，Ping测试AC口地址都是不通的。

如上案例为早期学习时整理的，如有错误之处，欢迎指正，技术问题可联系QQ：1656209309