1-华为防火墙：环境搭建

一、实验拓扑：

二、实验要求：

三、命令部署： 1、路由器接口地址、默认路由等基本配置： [R1]interface GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]ip add 202.100.1.1 24 [R1-GigabitEthernet0/0/0]quit [R1]ip route-static 0.0.0.0 0.0.0.0 202.100.1.10 //配置默认路由，指向SRG的接口地址 [R1]quit <R1>save //选择y才可以

<R2>system-view Enter system view, return user view with Ctrl+Z. //Ctrl+Z可以在任何模式回到最初的<>模式 [R2]interface GigabitEthernet 0/0/0 [R2-GigabitEthernet0/0/0]ip add 10.1.1.2 24 [R2]ip route-static 0.0.0.0 0.0.0.0 10.1.1.10 <R2>save //选择y才可以

<R3>system-view [R3]int g0/0/0 [R3-GigabitEthernet0/0/0]ip add 192.168.1.3 24 [R3-GigabitEthernet0/0/0]quit [R3]ip route-static 0.0.0.0 0.0.0.0 192.168.1.10 <R3>save 2、交换机VLAN等配置： 配置VLAN: [SW1]vlan 202 [SW1-vlan202]vlan 10 [SW1-vlan10]vlan 192 定义Access口并划分VLAN： [SW1]port-group group-member g0/0/1 g0/0/4 //定义端口组—组里边的数量——g0/0/1和g0/0/4 [SW1-port-group]port link-type access //交换机2个接口一起配置access接口类型 [SW1-GigabitEthernet0/0/1]port link-type access //自动弹出来2个 [SW1-GigabitEthernet0/0/4]port link-type access [SW1-port-group]port default vlan 202 //端口划分VLAN 202 [SW1-GigabitEthernet0/0/1]port default vlan 202 [SW1-GigabitEthernet0/0/4]port default vlan 202 [SW1-port-group]stp edged-port enable //stp的边缘端口开启 [SW1-GigabitEthernet0/0/1]stp edged-port enable [SW1-GigabitEthernet0/0/4]stp edged-port enable <SW1>undo terminal monitor //关闭乱七八糟提示的鬼东西

[SW1]int g0/0/2 [SW1-GigabitEthernet0/0/2]port link-type access [SW1-GigabitEthernet0/0/2]port default vlan 10 [SW1-GigabitEthernet0/0/2]stp edged-port enable

[SW1]int g0/0/3 [SW1-GigabitEthernet0/0/3]port link-type access [SW1-GigabitEthernet0/0/3]port default vlan 192 [SW1-GigabitEthernet0/0/3]stp edged-port enable 定义Trunk： [SW1]int g0/0/5 [SW1-GigabitEthernet0/0/5]port link-type trunk [SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 10 192 //放行VLAN 10和192，华为默认是干掉所有VLAN的 查看配置： [SW1]display current-configuration //这里省略 3、SRG配置： （1）SRG基本配置： [SRG]int g0/0/0 [SRG-GigabitEthernet0/0/0]undo shutdown Info: Interface GigabitEthernet0/0/0 is not shutdown. [SRG-GigabitEthernet0/0/0]ip add 202.100.1.10 24

[SRG]int g0/0/1 [SRG-GigabitEthernet0/0/1]undo shutdown //先打开接口 [SRG]int g0/0/1.10 [SRG-GigabitEthernet0/0/1.10]vlan dot1q 10 //封装dot1q vlan10 [SRG-GigabitEthernet0/0/1.10]ip add 10.1.1.10 24 //给子接口配置IP地址

[SRG]int g0/0/1.192 [SRG-GigabitEthernet0/0/1.192]vlan-type dot1q 192 [SRG-GigabitEthernet0/0/1.192]ip add 192.168.1.10 24 查看验证： [SRG]display ip int bri

（2）SRG重点配置： 区域： 华为有区域的概念的，分为：Trust、Untrust、DMZ； 默认存在4个区域：[SRG]display current-configuration
firewall zone local set priority 100 firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 默认把该接口划分为Trust firewall zone untrust set priority 5 firewall zone dmz set priority 50 思科：没有区域的概念，Inside、Outside、DMZ这只是接口的名字，只有安全级别，用安全级别来区分不同接口类型； 安全级别： 华为1-100；思科：0-100

[SRG]firewall zone trust [SRG-zone-trust]undo add int g0/0/0 //将默认的g0/0/0挪出Trust区域

[SRG]firewall zone untrust [SRG-zone-untrust]add int g0/0/0

[SRG]firewall zone trust [SRG-zone-trust]add int g0/0/1.192

[SRG]firewall zone dmz [SRG-zone-dmz]add int g0/0/1.10 查看验证： [SRG]display zone

测试： [SRG]ping 202.100.1.1 Request time out Reply from 202.100.1.1: bytes=56 Sequence=2 ttl=255 time=100 ms Reply from 202.100.1.1: bytes=56 Sequence=3 ttl=255 time=60 ms Reply from 202.100.1.1: bytes=56 Sequence=4 ttl=255 time=80 ms Reply from 202.100.1.1: bytes=56 Sequence=5 ttl=255 time=80 ms 同理：[SRG]ping 10.1.1.2 //可通 [SRG]ping 192.168.1.3 //可通 注意：思科的防火墙默认所有区域流量抵达ASA后才干掉，就是说可以进入ASA； 华为除Trust区域可以抵达SRG外，其它区域流量进不了SRG；比如Unttust、DMZ去pingSRG的接口地址不不通的；原因：默认有Local区域，安全级别为100，而且没有任何接口，其实默认情况RSG就是Local区域；所以比如DMZ去Ping RSG，它会认为是DMZ跨区域访问我的Local区域，这默认情况是不允许的，流量直接被干掉，同理Untrust也一样。 验证：[R1]ping 202.100.1.10 //都是Request time out [R2]ping 10.1.1.10 //都是Request time out [R3]ping 192.168.1.10 //可以Ping通的 [SRG]display firewall packet-filter default all //默认情况就是遵循这种Oubound、Inbound规则，当然可以改的，不建议修改。因为有这种策略才叫防火墙。 华为不是放行ACL，而是放行Zone间策略。 Zone间策略默认都是Deny，不通的；比如Trust和Untrust之间相互都是Deny的。 同一个Zone，ASA是不通的，华为默认是可通的；比如都是Trust区域的2台设备是可通的。

（3）？？？？？ [SRG]undo interface g0/0/1.10 [SRG]undo interface GigabitEthernet0/0/1.192

[SRG]vlan 10 [SRG-vlan-10]vlan 192

[SRG]int Vlanif 10 [SRG-Vlanif10]ip add 10.1.1.10 24 [SRG]int Vlanif 192 [SRG-Vlanif192]ip add 192.168.1.10 24 查看验证： [SRG]display ip int bri

[SRG]int g0/0/1 [SRG-GigabitEthernet0/0/1]portswitch [SRG-GigabitEthernet0/0/1]port link-type trunk [SRG-GigabitEthernet0/0/1]port trunk permit vlan 10 192 对比：思科的3层交换机是可以配IP地址的，只要输入no switchport；默认思科的三层交换机就是二层交换机； 华为刚好是反过来的：默认就是三层的可以配地址的，接口下输入portswitch就变为而层层的了；华为的三层交换机不能做成二层的；华为RSG这里比较特殊允许这么做，接下来ip address 不能Tab了。 把VLAN划分到Zone里边： [SRG]firewall zone trust [SRG-zone-trust]add interface Vlanif 192 [SRG]firewall zone dmz [SRG-zone-dmz]add interface Vlanif 10 查看： [SRG]display zone

测试： [SRG]ping 10.1.1.2 //可通 [SRG]ping 192.168.1.3 //可通过 允许把接口变为Trunk 还有一种方法：看课件！！！