要求
此次实验的目的是完成设备接口的配置,使电脑和服务器等可以ping通防火墙的接口。
实验步骤
一、搭建拓扑
此次实验的拓扑结构如图所示。
云的搭建
要使云出现接口能与其他设备相连,就需要在云中进行如图配置,配置中的网卡最好是用虚拟网卡,真实网卡可能会引起网络瘫痪。
二、配置交换机
从图中分析,可以看出需要我们进行配置的交换机只有SW1,SW1做的是二层设备,底下的两台交换机可以看成是透明设备,不需要我们进行配置。SW1的配置是分别在0/0/2和0/0/3口做一个access通道,0/0/2是vlan2的通道,0/0/3是vlan3的通道,而0/0/1是truck通道,允许vlan2和3的数据通过,在配置时最好拒绝vlan1,减少资源浪费。具体配置命令如下:
[SW1]vlan 2
[SW1-vlan2]q
[SW1]vlan 3
[SW1-vlan3]q
[SW1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 2
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 3
[SW1-GigabitEthernet0/0/3]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[SW1-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
三、防火墙的配置
防火墙的配置一般在web页面中,也就是浏览器中去配置所需要的命令,在浏览器输入防火墙的ip末尾要加:8443,表示8443端口,登陆成功就会显示如下图所示页面:
如果登陆不成功,就检查云中你所用网卡的IP与防火墙的ip是否在同一网段中。
配置连接DMZ区域的接口
在拓扑中可以看出连接DMZ区域的接口是防火墙的g1/0/0口,进入到接口页面,如图所示:
点击该页面中的g1/0/0口,就会跳出一个弹窗,按下图配置填写内容。
记住要勾选下图中的ping选框,下面的配置也是。
这样就算配置成功。
创建安全区域
因为拓扑中除了DMZ区域外还有两个区域,一个生产区,一个办公区,此时需要我们新建了两个区域,先进入安全区域界面,然后点击新建,创建所需区域,如图所示。
配置连接生产区和办公去的接口
配置生产区和办公区的接口,我们则需要创建两个子接口,在两个子接口中配置ip和专属vlan,做两个区域的网关,进入接口页面后点击新建,具体操作如下图。
也别忘记勾选ping选框。
办公区的操作也如同上,后面只需将底层设备该有的ip和网关配好就ok了。
成果
DMZ区域的服务器ping防火墙上的网关:
生产区的客户端ping防火墙上的网关:
办公区的服务器ping防火墙上的网关。