H3C 防火墙混合实验
链接: 拓扑下载
一、项目拓扑
二、项目需求
- 根据题目要求配置IP地址,用路由器模拟PC和internet,只做静态路由
- 防火墙端口绑定安全域,配置安全策略,local/trust/untrust 域可互通
- 内网做ospf
- 配置NAT使内网可访问 internet
三、配置步骤
1. 配置IP地址
2. FW默认路由,FW指向internet
[FW]ip route-static 0.0.0.0 0 1.1.1.2
3. 绑定防火墙安全域端口
[FW]security-zone name Trust
[FW-security-zone-Trust]import interface g1/0/0
[FW]security-zone name Untrust
[FW-security-zone-Untrust]import interface g1/0/1
4. 配置防火墙安全策略
防火墙默认有5个域:Local 本地,Trust 信任,Untrust 不信任,DMZ 隔离区或非军事区,Management 管理
链接: 相关文章
[FW]security-policy ip //创建ipv4安全策略
使 trust域 、local域 可通,配置完成 R1 ping FW 可通。
[FW-security-policy-ip] rule 1 name t2l //规则名 t2l
[FW-security-policy-ip-1-t2l]source-zone trust //源trust
[FW-security-policy-ip-1-t2l]destination-zone local //本地local
[FW-security-policy-ip-1-t2l]action pass //允许通行
[FW-security-policy-ip-1-t2l]rule 2 name l2t
[FW-security-policy-ip-2-l2t]source-zone local
[FW-security-policy-ip-2-l2t]destination-zone trust
[FW-security-policy-ip-2-l2t]action pass
使 local域 、untrust 域 可通,配置完成 internet ping FW 可通。
[FW-security-policy-ip-2-l2t] rule 3 name l2u
[FW-security-policy-ip-3-l2u] source-zone local
[FW-security-policy-ip-3-l2u] destination-zone untrust
[FW-security-policy-ip-3-l2u] action pass
[FW-security-policy-ip-3-l2u]rule 4 name u2l
[FW-security-policy-ip-4-u2l]source-zone untrust
[FW-security-policy-ip-4-u2l]destination-zone local
[FW-security-policy-ip-4-u2l]action pass
使 trust域 、untrust 域 可通。
[FW-security-policy-ip-4-u2l]rule 5 name t2u
[FW-security-policy-ip-5-t2u]source-zone trust
[FW-security-policy-ip-5-t2u]destination-zone untrust
[FW-security-policy-ip-5-t2u]action pass
[FW-security-policy-ip-5-t2u]rule 6 name u2t
[FW-security-policy-ip-6-u2t]source-zone untrust
[FW-security-policy-ip-6-u2t]destination-zone trust
[FW-security-policy-ip-6-u2t]action pass
5. OSPF
[R1]ospf
[R1-ospf-1]import-route direct //引入直连路由
[R1-ospf-1]a 0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 10.16.1.0 0.0.0.3
[FW]ospf
[FW-ospf-1]import-route direct
[FW-ospf-1]a 0
[FW-ospf-1-area-0.0.0.0]net 10.16.1.0 0.0.0.3
6. NAT
公网上不可做路由,保证通往internet的数据流可返回
[FW]acl basic 2000
[FW-acl-ipv4-basic-2000]rule permit source any
[FW]interface g1/0/1
[FW-GigabitEthernet1/0/1]nat outbound 2000
R1 ping internet 可通
7. PC 默认路由,PC 指向 R1
[PC]ip route-static 0.0.0.0 0 192.168.1.1
PC ping R1 可通
