目录
实验拓扑图
实验要求
一般组网步骤
to isp区域ping通
dmz区域
trust区域
实验拓扑图
实验要求
1.防火墙向下使用子接口分别对应两个内部区域
2.所有分区设备可以ping通网关
一般组网步骤
1.先配ip、接口、区域、安全策略
2.内网配置回包路由
3.配置dmz区域的服务器映射供外网访问内网
4.配置nat供内网访问外网
5.针对外网的安全策略
按本实验要求只用做前两个步骤,而且不做安全策略
to isp区域ping通
这个实验第一步先把防火墙的三个接口配好,g0/0/0接口算基本配置,这里略过:
只用给个g1/0/2配网关,其他两个配ip和区域就可以,以下是g1/0/2的:
然后进入isp的路由器配个ip。因为没有写安全策略,正常无法ping通,但是把以下这个勾选上就可以了(优先级高于安全策略),其他接口都要勾上:
ping通:
dmz区域
给两台服务器的网关直接设置成g1/0/0就可以了:
trust区域
将lsw2交换机作为三层交换机使用,同时当网关,进行如下配置:
下面的设备分别分配ip和网关,以pc1为例:
现在可以ping通网关,还需要为防火墙添加一条回包路由:
ping通:
