拓补图:

方案一(子接口的形式)

防火墙gre隧道允许trust到dmz 防火墙 trunk_网络安全

实验目的:解决防火墙上的接口不足以为其他区域服务的问题,比方说防火墙上只有两个接口,但是有三个区域,那这个实验的目的为了解决防火墙上的接口不足以为多区域提供服务的问题 

实验思路:1.防火墙上的g1/0/0接口继续为trust区域提供服务

                  2.g1/0/1划分两个子接口分别为DMZ和untrush区域提供服务

                  3.交换机上除了g0/0/5接口配置成trunk接口以外,其他接口都配置成access口

                  4.根据需求新建防火墙的安全策略

1. 配置代码

1.1 IP地址的配置忽略,注意防火墙的1/0/0接口需要配置IP地址,但是1/0/1是要划分子接口的所以不需要配置地址,是在子接口里面去配置IP地址

int g1/0/1.20

ip add 10.1.2.2 24

int g1/0/1.30

ip add 100.1.1.2 24

1.2 交换机划分接口

[SW]port-group group-member g0/0/1 g0/0/4

[SW-port-group]port link-type access 

[SW-port-group]port default vlan 10

[SW]int g0/0/2

[SW-GigabitEthernet0/0/2]port link-type access 

[SW-GigabitEthernet0/0/2]port default vlan 20

[SW]int g0/0/3

[SW-GigabitEthernet0/0/3]port link-type access 

[SW-GigabitEthernet0/0/3]port default vlan 30

[SW]int g0/0/5

[SW-GigabitEthernet0/0/3]port link-type trunk

[SW-GigabitEthernet0/0/3]port default vlan 20 30

1.3 防火墙划分安全区域

[USG6000V1]firewall zone trust 

[USG6000V1-zone-trust]add interface g1/0/0

[USG6000V1]firewall zone  untrust

[USG6000V1-zone-untrust]add interface g1/0/1.30

[USG6000V1]firewall zone  dmz

[USG6000V1-zone-dmz]add interface g1/0/1.20

1.4 新建安全策略

[USG6000V1]security-policy

[USG6000V1-policy-security]default action permit     //默认放行所有的流量

rule name huawei    //新建名字为huawei的安全策略
source-zone trust    //设置源区域
destination-zone untrust  //设置目标区域
source-address 10.1.1.0 mask 255.255.255.0   //设置源地址
destination-address 100.1.1.0 mask 255.255.255.0   //设置目标地址
service icmp    //应用的服务类型
action permit   //做出的动作,一定要这条命令才能够生效

1.5 在子接口封装dot1q的数据

[USG6000V1]int g1/0/1.20

[USG6000V1-GigabitEthernet1/0/1.20]vlan-type dot1q  20

[USG6000V1]int g1/0/1.30

[USG6000V1-GigabitEthernet1/0/1.30]vlan-type dot1q  30

1.6 别忘了还有路由的问题

[R1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.2

[R2]ip route-static 0.0.0.0 0 10.1.2.2

[R3]ip route-static 0.0.0.0 0 100.1.1.2

验证效果:R1ping所有区域都能通

防火墙gre隧道允许trust到dmz 防火墙 trunk_华为_02

 方案二(trunk接口)

配置思路:

1. 我们只需要在防火墙上新建两个vlan相同于trust和untrust区域,专门服务于这两个区域,然后在vlan的三层接口配置IP地址保证防火墙跟这两个区域可以进行通信,然后再把vlan的三层接口划分进防火墙的区域里面即可,注意是把g1/0/1划分为trunk口,允许vlan20、30通过

1.1 防火墙划分接口

[USG6000V1]int g1/0/1

[USG6000V1-GigabitEthernet1/0/1]portswitch       //防火墙的接口默认是三层接口,一定要换成二层接口才行

[USG6000V1-GigabitEthernet1/0/1]port link-type trunk

[USG6000V1-GigabitEthernet1/0/1]port trunk  allow-pass  vlan 20 30

1.2 给vlan的三层接口划分IP地址

[USG6000V1]int Vlanif  20

[USG6000V1-Vlanif20]ip add 10.1.2.2 24

[USG6000V1]int Vlanif  30

[USG6000V1-Vlanif30]ip add 100.1.1.2 24

1.3 防火墙划分区域

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]add interface g1/0/0

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface Vlanif 30

[USG6000V1]firewall zone  dmz 

[USG6000V1-zone-dmz]add  interface Vlanif 20

1.4 防火墙新建安全策略

[USG6000V1]security-policy

[USG6000V1-policy-security]default action  permit    //这里我就简单的写允许全部了,可以根据自己的需求自己写

验证效果:

防火墙gre隧道允许trust到dmz 防火墙 trunk_防火墙gre隧道允许trust到dmz_03