实验一:进行相关实验的配置
配置 Could:
添加端口和进行端口映射,添加环回网卡作为第二个端口,我的环回网卡IP是192.168.10.1/24
登录防火墙并修改密码,初始名字admin,初始密码为Admin@123
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:
Please enter new password:
Please confirm new password:
进入防火墙配置重置密码和相应端口地址
[fw1-GigabitEthernet0/0/0]ip address 192.168.10.2 24
[fw1-GigabitEthernet0/0/0]service-manage all permit
打开浏览器输入192.168.10.2进入防火墙的图形界面进行剩下接口的配置和策略的配置
将1/0/0配入10.1.1.0网段并配置pc的ip地址
将接口1/0/1端口配入100.1.1.0网段并将服务器配置ip
配置策略允许pc端流量 通过防火墙
结果: pc端成功ping通服务器
实验二:
配置untrust区域:
配置AR1路由器
[Isp-GigabitEthernet0/0/0]ip address 100.1.1.2 24
[Isp-GigabitEthernet0/0/1]ip address 200.1.1.1 24
[Isp]ip route-static 0.0.0.0 0 100.1.1.1
配置sever2
配置路由:
配置trust区域
配置LSW1:
[lsw1]vlan 2
[lsw1]interface g 0/0/1
[lsw1-GigabitEthernet0/0/1]port link-type access
[lsw1-GigabitEthernet0/0/1]port default vlan 2
[lsw1]interface Vlanif 2
[lsw1-Vlanif2]ip address 10.1.255.2 24
[lsw1]vlan 3
[lsw1]interface Vlanif 3
[lsw1-Vlanif3]ip address 10.1.1.1 24
[lsw1]interface g0/0/2
[lsw1-GigabitEthernet0/0/2]port link-type access
[lsw1-GigabitEthernet0/0/2]port default vlan 3
[lsw1]ip route-static 0.0.0.0 0 10.1.255.1
配置到10.1.1.0/24网段的路由:
配置Dmz
将1/0/2和1/0/3进行聚合
配置LSW2
[LSW2]interface Eth-Trunk 1
[LSW2-Eth-Trunk1]trunkport g0/0/1
[LSW2-Eth-Trunk1]trunkport g0/0/2
[LSW2-Eth-Trunk1]port link-type trunk
[LSW2-Eth-Trunk1]port trunk allow-pass vlan 10 to 11
[LSW2]vlan 10
[LSW2-vlan10]vlan 11
[LSW2]interface g0/0/4
[LSW2-GigabitEthernet0/0/4]port link-type access
[LSW2-GigabitEthernet0/0/4]port default vlan 10
[LSW2-GigabitEthernet0/0/4]int g 0/0/3
[LSW2-GigabitEthernet0/0/3]port link-type access
[LSW2-GigabitEthernet0/0/3]port default vlan 11
配置网关vlan11同理
测试:
配置区域间通信
配置相关策略:
配置策略使trust与untrust通信:
配置策略使 trust-to-dmz
配置策略使untrust-to-dmz