1-華為防火墻：環(huán)境搭建

一、實驗拓撲：

二、實驗要求：

三、命令部署：
1、路由器接口地址、默認路由等基本配置：
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip add 202.100.1.1 24
[R1-GigabitEthernet0/0/0]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 202.100.1.10 //配置默認路由，指向SRG的接口地址
[R1]quit
<R1>save //選擇y才可以

<R2>system-view
Enter system view, return user view with Ctrl+Z. //Ctrl+Z可以在任何模式回到最初的<>模式
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip add 10.1.1.2 24
[R2]ip route-static 0.0.0.0 0.0.0.0 10.1.1.10
<R2>save //選擇y才可以

<R3>system-view
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 192.168.1.3 24
[R3-GigabitEthernet0/0/0]quit
[R3]ip route-static 0.0.0.0 0.0.0.0 192.168.1.10
<R3>save
2、交換機VLAN等配置：
配置VLAN:
[SW1]vlan 202
[SW1-vlan202]vlan 10
[SW1-vlan10]vlan 192
定義Access口并劃分VLAN：
[SW1]port-group group-member g0/0/1 g0/0/4 //定義端口組—組里邊的數(shù)量——g0/0/1和g0/0/4
[SW1-port-group]port link-type access //交換機2個接口一起配置access接口類型
[SW1-GigabitEthernet0/0/1]port link-type access //自動彈出來2個
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-port-group]port default vlan 202 //端口劃分VLAN 202
[SW1-GigabitEthernet0/0/1]port default vlan 202
[SW1-GigabitEthernet0/0/4]port default vlan 202
[SW1-port-group]stp edged-port enable //stp的邊緣端口開啟
[SW1-GigabitEthernet0/0/1]stp edged-port enable
[SW1-GigabitEthernet0/0/4]stp edged-port enable
<SW1>undo terminal monitor //關閉亂七八糟提示的鬼東西

[SW1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]stp edged-port enable

[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 192
[SW1-GigabitEthernet0/0/3]stp edged-port enable
定義Trunk：
[SW1]int g0/0/5
[SW1-GigabitEthernet0/0/5]port link-type trunk
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 10 192 //放行VLAN 10和192，華為默認是干掉所有VLAN的
查看配置：
[SW1]display current-configuration //這里省略
3、SRG配置：
（1）SRG基本配置：
[SRG]int g0/0/0
[SRG-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[SRG-GigabitEthernet0/0/0]ip add 202.100.1.10 24

[SRG]int g0/0/1
[SRG-GigabitEthernet0/0/1]undo shutdown //先打開接口
[SRG]int g0/0/1.10
[SRG-GigabitEthernet0/0/1.10]vlan dot1q 10 //封裝dot1q vlan10
[SRG-GigabitEthernet0/0/1.10]ip add 10.1.1.10 24 //給子接口配置IP地址

[SRG]int g0/0/1.192
[SRG-GigabitEthernet0/0/1.192]vlan-type dot1q 192
[SRG-GigabitEthernet0/0/1.192]ip add 192.168.1.10 24
查看驗證：
[SRG]display ip int bri

（2）SRG重點配置：
區(qū)域：
華為有區(qū)域的概念的，分為：Trust、Untrust、DMZ；
默認存在4個區(qū)域：[SRG]display current-configuration
firewall zone local set priority 100
firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 默認把該接口劃分為Trust
firewall zone untrust set priority 5
firewall zone dmz set priority 50
思科：沒有區(qū)域的概念，Inside、Outside、DMZ這只是接口的名字，只有安全級別，用安全級別來區(qū)分不同接口類型；
安全級別：
華為1-100；思科：0-100

[SRG]firewall zone trust
[SRG-zone-trust]undo add int g0/0/0 //將默認的g0/0/0挪出Trust區(qū)域

[SRG]firewall zone untrust
[SRG-zone-untrust]add int g0/0/0

[SRG]firewall zone trust
[SRG-zone-trust]add int g0/0/1.192

[SRG]firewall zone dmz
[SRG-zone-dmz]add int g0/0/1.10
查看驗證：
[SRG]display zone

測試：
[SRG]ping 202.100.1.1
Request time out
Reply from 202.100.1.1: bytes=56 Sequence=2 ttl=255 time=100 ms
Reply from 202.100.1.1: bytes=56 Sequence=3 ttl=255 time=60 ms
Reply from 202.100.1.1: bytes=56 Sequence=4 ttl=255 time=80 ms
Reply from 202.100.1.1: bytes=56 Sequence=5 ttl=255 time=80 ms
同理：[SRG]ping 10.1.1.2 //可通
[SRG]ping 192.168.1.3 //可通
注意：思科的防火墻默認所有區(qū)域流量抵達ASA后才干掉，就是說可以進入ASA；
華為除Trust區(qū)域可以抵達SRG外，其它區(qū)域流量進不了SRG；比如Unttust、DMZ去pingSRG的接口地址不不通的；原因：默認有Local區(qū)域，安全級別為100，而且沒有任何接口，其實默認情況RSG就是Local區(qū)域；所以比如DMZ去Ping RSG，它會認為是DMZ跨區(qū)域訪問我的Local區(qū)域，這默認情況是不允許的，流量直接被干掉，同理Untrust也一樣。
驗證：[R1]ping 202.100.1.10 //都是Request time out
[R2]ping 10.1.1.10 //都是Request time out
[R3]ping 192.168.1.10 //可以Ping通的
[SRG]display firewall packet-filter default all //默認情況就是遵循這種Oubound、Inbound規(guī)則，當然可以改的，不建議修改。因為有這種策略才叫防火墻。
華為不是放行ACL，而是放行Zone間策略。
Zone間策略默認都是Deny，不通的；比如Trust和Untrust之間相互都是Deny的。
同一個Zone，ASA是不通的，華為默認是可通的；比如都是Trust區(qū)域的2臺設備是可通的。

（3）？？？？？
[SRG]undo interface g0/0/1.10
[SRG]undo interface GigabitEthernet0/0/1.192

[SRG]vlan 10
[SRG-vlan-10]vlan 192

[SRG]int Vlanif 10
[SRG-Vlanif10]ip add 10.1.1.10 24
[SRG]int Vlanif 192
[SRG-Vlanif192]ip add 192.168.1.10 24
查看驗證：
[SRG]display ip int bri

[SRG]int g0/0/1
[SRG-GigabitEthernet0/0/1]portswitch
[SRG-GigabitEthernet0/0/1]port link-type trunk
[SRG-GigabitEthernet0/0/1]port trunk permit vlan 10 192
對比：思科的3層交換機是可以配IP地址的，只要輸入no switchport；默認思科的三層交換機就是二層交換機；
華為剛好是反過來的：默認就是三層的可以配地址的，接口下輸入portswitch就變?yōu)槎鴮訉拥牧?；華為的三層交換機不能做成二層的；華為RSG這里比較特殊允許這么做，接下來ip address 不能Tab了。
把VLAN劃分到Zone里邊：
[SRG]firewall zone trust
[SRG-zone-trust]add interface Vlanif 192
[SRG]firewall zone dmz
[SRG-zone-dmz]add interface Vlanif 10
查看：
[SRG]display zone

測試：
[SRG]ping 10.1.1.2 //可通
[SRG]ping 192.168.1.3 //可通過
允許把接口變?yōu)門runk
還有一種方法：看課件?。。?/p>