防御第二次作业-防火墙组网实验（2）

目录

实验拓扑图

实验要求

一般组网步骤

to isp区域ping通

dmz区域

trust区域

---

实验拓扑图

实验要求

??????? 1.防火墙向下使用子接口分别对应两个内部区域

??????? 2.所有分区设备可以ping通网关

一般组网步骤

1.先配ip、接口、区域、安全策略
2.内网配置回包路由
3.配置dmz区域的服务器映射供外网访问内网
4.配置nat供内网访问外网
5.针对外网的安全策略

按本实验要求只用做前两个步骤，而且不做安全策略

to isp区域ping通

这个实验第一步先把防火墙的三个接口配好，g0/0/0接口算基本配置，这里略过：

只用给个g1/0/2配网关，其他两个配ip和区域就可以，以下是g1/0/2的：

然后进入isp的路由器配个ip。因为没有写安全策略，正常无法ping通，但是把以下这个勾选上就可以了（优先级高于安全策略），其他接口都要勾上：

ping通：

dmz区域

给两台服务器的网关直接设置成g1/0/0就可以了：

trust区域

将lsw2交换机作为三层交换机使用，同时当网关，进行如下配置：

下面的设备分别分配ip和网关，以pc1为例：

现在可以ping通网关，还需要为防火墙添加一条回包路由：

ping通：