这个防火墙实验配置案例，堪称模板！

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部

下午好，我的网工朋友。

昨天和张总唠嗑，聊到了年前HCIE安全V3.0的发布，几个月了，还是有不少人在群里聊3.0的难度和之前的差别，比如说实操上增强了不少。顺手给你看看知识点啊。

看得头大，网络安全的知识点不要太多了。随随便便一个分支，就可以继续深入拓展学习。

如果你对具体要怎么学安全，学哪块，思路不清晰，加上老杨总，让他给你分析一波，欢迎交流讨论下网络安全现状和未来发展方向啊。

张总最近刚好讲到防火墙的知识点，所以今天就给你讲讲这块的知识点。

这篇文章是一次防火墙实验配置的全记录。从实验设想、实验脚本、实验展示到问题与反思的深度教学。

不得不说，他班上的小弟这作业完成得，堪称模板啊，给你展示一波。

今日文章阅读福利：《 思科防火墙系列产品白皮书 》

私信发送暗号“防火墙”，即可获取此份思科优质白皮书，提升你的技术水平。

01 实验设想

01 实验拓扑

某园区共有四个部门以及一台公共服务器，现有一台核心交换机以及一台内网防火墙，拓扑如下：

02 实验设想

本实验用PC1A到PC4D模拟四个部门，server1模拟公共服务。

其中，PC1A以及PC2B处在同一区域，属于VRF A，PC3C以及PC4D处在同一区域，属于VRF B。内网防火墙使用虚拟防火墙技术，虚拟出两台防火墙。

其中vsysA虚拟防火墙分配给VRF A区域使用，vsysB虚拟防火墙分配给VRF B使用。

通过实验配置，应使得PC1A访问PC3C的路径为vrfA - sysA - SWpublic - vsysB - vrfB，PC2B访问PC4D的路径为vrfA - sysA - vsysB - vrfB，并且所有部门访问公共服务时都应该经过自己本区域的虚拟防火墙。

03 逻辑拓扑

02 实验脚本

01 交换机配置

1. VRF配置

2.创建vlan及接口IP

3.配置物理接口

4.路由配置

02 物理防火墙配置

1.Vlan及接口配置

2.虚拟防火墙分配资源

03 虚拟防火墙vsysA配置

1.接口IP配置

2.区域配置

3.策略配置

4.路由配置1

5.路由配置2

此步骤应在物理防火墙上配置

ip route-static vpn-instance vsysA 192.168.40.0 255.255.255.0 vpn-instance vsysB

04 虚拟防火墙vsysB配置

1.接口IP配置

2.区域配置

3.策略配置

4.路由配置1

5.路由配置2

ip route-static vpn-instance vsysB 192.168.20.0 255.255.255.0 vpn-instance vsysA

03 实验展示

01 PC1A与PC3C互访

02 PC2B与PC4D互访

03 各部门访问Server

04 问题与反思

01 问题一

在设计实验所需的互联网段时，没有考虑全面，导致开始配置后出现部分路径没有网关，后又重新花时间设计网段。

02 问题二

在配置vsys时，两台虚拟防火墙之间通过物理防火墙写VRF路由之后，不通，排查无果后，翻看PPT，发现是由于虚拟接口未加入区域导致。

原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部