目录
- 实验拓扑图:
- 实验要求:各个区域之间相互互通
- untrust区域:
- trust区域:
- DMZ区域:
- 让全网可以互通,在防火墙上面写6条策略
实验拓扑图:
实验要求:各个区域之间相互互通
untrust区域:
在防火墙1/0/3口配置ip地址
一定要勾选ping服务,不然ping不同
给路由器0/0/0和0/0/1口配置ip地址
[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 100.1.1.2 24[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 100.1.1.1 24测试:
在防火墙上面添加去往200.1.10网段的静态路由
在server2ping100.1.1.1
trust区域:
在防火墙1/0/0口配置ip地址
同样要放通ping服务
在交换机sw1上面创建Vlanif2和Vlanif3并添加Ip地址
[Huawei]vlan 2
[Huawei]int vlan 2
[Huawei-Vlanif2]ip add 10.1.1.2 24[Huawei]vlan 3
[Huawei]int vlan 3
[Huawei-Vlanif3]ip add 20.1.1.1 24将vlan3划入g0/0/1口
[Huawei]interface g 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 3将vlan2划入g0/0/2口
[Huawei]interface g 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2在防火墙上面添加去往10.1.1.0网段的静态路由
用PC1ping20.1.1.2
DMZ区域:
在交换机SW2上创建聚合接口:
[sw2]int Eth-Trunk 0
[sw2-Eth-Trunk0]trunkport GigabitEthernet 0/0/1 0/0/2将聚合链路接口类型改为trunk,并设置允许通过的vlan
[sw2-Eth-Trunk0]port link-type trunk
[sw2-Eth-Trunk0]port trunk allow-pass vlan 10 to 11将交换机的0/0/3接口类型改为access,并允许通过van10
[sw2]int g 0/0/3
[sw2-GigabitEthernet0/0/3]port link-type access
[sw2-GigabitEthernet0/0/3]port default vlan 10将交换机的0/0/4接口类型改为access,并允许通过van11
[sw2]int g 0/0/4
[sw2-GigabitEthernet0/0/4]port link-type access
[sw2-GigabitEthernet0/0/4]port default vlan 11在防火墙上面创建聚合接口
在防火墙上面创建vlanif10和vlanif11接口,并配置ip地址,开启ping服务。
用server1ping30.1.10.1
用server3ping30.1.11.1
让全网可以互通,在防火墙上面写6条策略
在sw1,sw2,r1上面写两天回包路由(用缺省代替)
[sw1]ip route-static 0.0.0.0 0 20.1.1.2
[R1]ip route-static 0.0.0.0 0 100.1.1.1
[sw2]ip route-static 0.0.0.0 0 30.1.1.1测试:
pc1 ping server2:
pc1 ping server3:
server 1 ping server 2
server 1 ping pc1
server 2 ping server 3
server 2 ping pc1
至此全网可通。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
