目录

• • 实验拓扑图：
  • 实验要求：各个区域之间相互互通
  • untrust区域：
  • trust区域：
  • DMZ区域：
  • 让全网可以互通，在防火墙上面写6条策略

实验拓扑图：

实验要求：各个区域之间相互互通

untrust区域：

在防火墙1/0/3口配置ip地址

一定要勾选ping服务，不然ping不同

给路由器0/0/0和0/0/1口配置ip地址

[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 100.1.1.2 24

[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/0]ip add 100.1.1.1 24

测试：

在防火墙上面添加去往200.1.10网段的静态路由

在server2ping100.1.1.1

trust区域：

在防火墙1/0/0口配置ip地址

同样要放通ping服务

在交换机sw1上面创建Vlanif2和Vlanif3并添加Ip地址

[Huawei]vlan 2
[Huawei]int vlan 2
[Huawei-Vlanif2]ip add 10.1.1.2 24

[Huawei]vlan 3
[Huawei]int vlan 3
[Huawei-Vlanif3]ip add 20.1.1.1 24

将vlan3划入g0/0/1口

[Huawei]interface g 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]port default vlan 3

将vlan2划入g0/0/2口

[Huawei]interface g 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access 
[Huawei-GigabitEthernet0/0/2]port default vlan 2

在防火墙上面添加去往10.1.1.0网段的静态路由

用PC1ping20.1.1.2

DMZ区域：

在交换机SW2上创建聚合接口：

[sw2]int Eth-Trunk 0
[sw2-Eth-Trunk0]trunkport GigabitEthernet 0/0/1 0/0/2

将聚合链路接口类型改为trunk，并设置允许通过的vlan

[sw2-Eth-Trunk0]port link-type  trunk 
[sw2-Eth-Trunk0]port trunk allow-pass vlan 10 to 11

将交换机的0/0/3接口类型改为access，并允许通过van10

[sw2]int g 0/0/3
[sw2-GigabitEthernet0/0/3]port link-type access 
[sw2-GigabitEthernet0/0/3]port default vlan 10

将交换机的0/0/4接口类型改为access，并允许通过van11

[sw2]int g 0/0/4
[sw2-GigabitEthernet0/0/4]port link-type access 
[sw2-GigabitEthernet0/0/4]port default vlan 11

在防火墙上面创建聚合接口

在防火墙上面创建vlanif10和vlanif11接口，并配置ip地址，开启ping服务。

用server1ping30.1.10.1

用server3ping30.1.11.1

让全网可以互通，在防火墙上面写6条策略

在sw1,sw2,r1上面写两天回包路由（用缺省代替）

[sw1]ip route-static 0.0.0.0 0 20.1.1.2
[R1]ip route-static 0.0.0.0 0 100.1.1.1
[sw2]ip route-static 0.0.0.0 0 30.1.1.1

测试：

pc1 ping server2:

pc1 ping server3:

server 1 ping server 2

server 1 ping pc1

server 2 ping server 3

server 2 ping pc1

至此全网可通。