实验目的PC1连接到外网。
关于防火墙的其他知识后续补充。
ensp里的防火墙
用户名admin 密码Admin@123
防火墙的接口类型
1.路由模式 物理口可以直接配.
2.交换模式 物理口不能直接配IP,类似交换机,可以配vlan
首先我们先要对各个设备进行基础的IP配置,按照图片进行配置,然后在AR1写一条静态路由告诉AR1目标6段的下一跳,10.10.10.2
[Huawei]ip route-static 6.6.6.1 24 10.10.10.2
然后第一:把接口加入安全域
防火墙有这几个安全域
信任区域:我的内网,自己人。
非信任区域:外网,外人
dmz区域:中间区域,服务器区,内网主机,外网用户都访问。
在防火墙FW1中配置:
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 6.6.6.1 24
[USG6000V1-GigabitEthernet1/0/0]q
[USG6000V1-zone-trust]add int g1/0/1
[USG6000V1-zone-trust]firewall zone un
[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/0
[USG6000V1-zone-untrust]q
第二:做放行策略
从信任区域,访问非信任,允许我的内网设备访问外网
在防火墙FW1中配置:
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name shangwang
[USG6000V1-policy-security-rule-shangwang]source-zone trust
[USG6000V1-policy-security-rule-shangwang]destination-zone untrust
[USG6000V1-policy-security-rule-shangwang]action permit
[USG6000V1-policy-security-rule-shangwang]q
[USG6000V1-policy-security]q
然后因为内网主机是私网IP,私网IP不能访问外网
用nat,网络地址转换,把私网IP,转成公网IP
在防火墙FW1中配置:
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name shangwang
[USG6000V1-policy-nat-rule-shangwang]source-zone trust
[USG6000V1-policy-nat-rule-shangwang]destination-zone untrust
[USG6000V1-policy-nat-rule-shangwang]action source-nat easy-ip
[USG6000V1-policy-nat-rule-shangwang]q
[USG6000V1-policy-nat]q
最后还有一步至关重要 我们已经写了出的静态路由,那么还有回程路由没写。
在防火墙FW1中配置:
[USG6000V1]ip route-static 192.168.1.0 24 10.10.10.1
至此完成本次实验。