一、实验拓扑:
二、实验要求:
三、命令部署:
1、路由器接口地址、默认路由等基本配置:
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip add 202.100.1.1 24
[R1-GigabitEthernet0/0/0]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 202.100.1.10 //配置默认路由,指向SRG的接口地址
[R1]quit
<R1>save //选择y才可以
<R2>system-view
Enter system view, return user view with Ctrl+Z. //Ctrl+Z可以在任何模式回到最初的<>模式
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip add 10.1.1.2 24
[R2]ip route-static 0.0.0.0 0.0.0.0 10.1.1.10
<R2>save //选择y才可以
<R3>system-view
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 192.168.1.3 24
[R3-GigabitEthernet0/0/0]quit
[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.1.10
<R3>save
2、交换机VLAN等配置:
配置VLAN:
[SW1]vlan 202
[SW1-vlan202]vlan 10
[SW1-vlan10]vlan 192
定义Access口并划分VLAN:
[SW1]port-group group-member g0/0/1 g0/0/4 //定义端口组—组里边的数量——g0/0/1和g0/0/4
[SW1-port-group]port link-type access //交换机2个接口一起配置access接口类型
[SW1-GigabitEthernet0/0/1]port link-type access //自动弹出来2个
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-port-group]port default vlan 202 //端口划分VLAN 202
[SW1-GigabitEthernet0/0/1]port default vlan 202
[SW1-GigabitEthernet0/0/4]port default vlan 202
[SW1-port-group]stp edged-port enable //stp的边缘端口开启
[SW1-GigabitEthernet0/0/1]stp edged-port enable
[SW1-GigabitEthernet0/0/4]stp edged-port enable
<SW1>undo terminal monitor //关闭乱七八糟提示的鬼东西
[SW1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]stp edged-port enable
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 192
[SW1-GigabitEthernet0/0/3]stp edged-port enable
定义Trunk:
[SW1]int g0/0/5
[SW1-GigabitEthernet0/0/5]port link-type trunk
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 10 192 //放行VLAN 10和192,华为默认是干掉所有VLAN的
查看配置:
[SW1]display current-configuration //这里省略
3、SRG配置:
(1)SRG基本配置:
[SRG]int g0/0/0
[SRG-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[SRG-GigabitEthernet0/0/0]ip add 202.100.1.10 24
[SRG]int g0/0/1
[SRG-GigabitEthernet0/0/1]undo shutdown //先打开接口
[SRG]int g0/0/1.10
[SRG-GigabitEthernet0/0/1.10]vlan dot1q 10 //封装dot1q vlan10
[SRG-GigabitEthernet0/0/1.10]ip add 10.1.1.10 24 //给子接口配置IP地址
[SRG]int g0/0/1.192
[SRG-GigabitEthernet0/0/1.192]vlan-type dot1q 192
[SRG-GigabitEthernet0/0/1.192]ip add 192.168.1.10 24
查看验证:
[SRG]display ip int bri
(2)SRG重点配置:
区域:
华为有区域的概念的,分为:Trust、Untrust、DMZ;
默认存在4个区域:[SRG]display current-configuration
firewall zone local set priority 100
firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 默认把该接口划分为Trust
firewall zone untrust set priority 5
firewall zone dmz set priority 50
思科:没有区域的概念,Inside、Outside、DMZ这只是接口的名字,只有安全级别,用安全级别来区分不同接口类型;
安全级别:
华为1-100;思科:0-100
[SRG]firewall zone trust
[SRG-zone-trust]undo add int g0/0/0 //将默认的g0/0/0挪出Trust区域
[SRG]firewall zone untrust
[SRG-zone-untrust]add int g0/0/0
[SRG]firewall zone trust
[SRG-zone-trust]add int g0/0/1.192
[SRG]firewall zone dmz
[SRG-zone-dmz]add int g0/0/1.10
查看验证:
[SRG]display zone
测试:
[SRG]ping 202.100.1.1
Request time out
Reply from 202.100.1.1: bytes=56 Sequence=2 ttl=255 time=100 ms
Reply from 202.100.1.1: bytes=56 Sequence=3 ttl=255 time=60 ms
Reply from 202.100.1.1: bytes=56 Sequence=4 ttl=255 time=80 ms
Reply from 202.100.1.1: bytes=56 Sequence=5 ttl=255 time=80 ms
同理:[SRG]ping 10.1.1.2 //可通
[SRG]ping 192.168.1.3 //可通
注意:思科的防火墙默认所有区域流量抵达ASA后才干掉,就是说可以进入ASA;
华为除Trust区域可以抵达SRG外,其它区域流量进不了SRG;比如Unttust、DMZ去pingSRG的接口地址不不通的;原因:默认有Local区域,安全级别为100,而且没有任何接口,其实默认情况RSG就是Local区域;所以比如DMZ去Ping RSG,它会认为是DMZ跨区域访问我的Local区域,这默认情况是不允许的,流量直接被干掉,同理Untrust也一样。
验证:[R1]ping 202.100.1.10 //都是Request time out
[R2]ping 10.1.1.10 //都是Request time out
[R3]ping 192.168.1.10 //可以Ping通的
[SRG]display firewall packet-filter default all //默认情况就是遵循这种Oubound、Inbound规则,当然可以改的,不建议修改。因为有这种策略才叫防火墙。
华为不是放行ACL,而是放行Zone间策略。
Zone间策略默认都是Deny,不通的;比如Trust和Untrust之间相互都是Deny的。
同一个Zone,ASA是不通的,华为默认是可通的;比如都是Trust区域的2台设备是可通的。
(3)?????
[SRG]undo interface g0/0/1.10
[SRG]undo interface GigabitEthernet0/0/1.192
[SRG]vlan 10
[SRG-vlan-10]vlan 192
[SRG]int Vlanif 10
[SRG-Vlanif10]ip add 10.1.1.10 24
[SRG]int Vlanif 192
[SRG-Vlanif192]ip add 192.168.1.10 24
查看验证:
[SRG]display ip int bri
[SRG]int g0/0/1
[SRG-GigabitEthernet0/0/1]portswitch
[SRG-GigabitEthernet0/0/1]port link-type trunk
[SRG-GigabitEthernet0/0/1]port trunk permit vlan 10 192
对比:思科的3层交换机是可以配IP地址的,只要输入no switchport;默认思科的三层交换机就是二层交换机;
华为刚好是反过来的:默认就是三层的可以配地址的,接口下输入portswitch就变为而层层的了;华为的三层交换机不能做成二层的;华为RSG这里比较特殊允许这么做,接下来ip address 不能Tab了。
把VLAN划分到Zone里边:
[SRG]firewall zone trust
[SRG-zone-trust]add interface Vlanif 192
[SRG]firewall zone dmz
[SRG-zone-dmz]add interface Vlanif 10
查看:
[SRG]display zone
测试:
[SRG]ping 10.1.1.2 //可通
[SRG]ping 192.168.1.3 //可通过
允许把接口变为Trunk
还有一种方法:看课件!!!