配置基於區域策略的防火牆
拓撲以及地址規划
實驗前確保網絡連通
service-0 ping通PC-0
創建一個內部區域。
R2(config)# zone security IN-ZONE
R2(config-sec-zone)# zone security OUT-ZONE
R2(config-sec-zone)# exit
創建一個用來定義內部流量的ACL
R2(config)# access-list 101 permit ip 192.99.3.0 0.0.0.255 any
創建一個涉及內部流量ACL的class map
R2(config)# class-map type inspect match-all IN-NET-CLAA-MAP
R2(config-cmap)# match access-group 101
R2(config-cmap)# exit
創建一個策略圖
R2(config)# policy-map type inspect IN-2-OUT-PMAP.
定義一個檢測級別類型和參考策略圖。
R2(config-pmap)# class type inspect IN-NET-CLAA-MAP
定義檢測策略圖
R2(config-pmap-c)# inspect
創建一對區域
R2(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
定義策略圖來控制兩個區域的流量。
R2(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R2(config-sec-zone-pair)# exit
R2(config)#
把端口調用到合適的安全區域。
R2(config)# interface fa0/1
R2(config-if)# zone-member security IN-ZONE
R2(config-if)# exit
R2(config)# interface s1/1
R2(config-if)# zone-member security OUT-ZONE
R2(config-if)# exit
驗證內配置ZPF后內部能訪問外部
PC-0 ping service-0服務器並且telnet到R1的s1/1口
測試外部區域到內部區域的防火牆功能
R2ping PC-0
總結
這是一份認真耐心的活,長時間的配置讓錯誤機率變高。配置多了,就會有辨別錯誤的方法和思路,也讓整個網絡結構更加具體和清晰了,無疑是總結和鞏固所學知識的一個過程。