防火牆配置作業
拓撲
我的學號為201610110045,所以是45
| 路由器 |
接口 |
Ip地址 |
| R1 |
F0/0 |
10.45.1.1 |
| R3 |
F0/0 |
10.45.1.2 |
| F0/1 |
10.45.2.1 |
|
| R4 |
F0/0 |
10.45.2.2 |
| R2 |
F0/0 |
10.45.2.3 |
首先先配置ip地址,讓拓撲配置通
區域策略防火牆
R3:
R3(config)#zone security Private//創建區域Private
R3(config-sec-zone)#exit
R3(config)#zone security Public//創建區域Public
R3(config-sec-zone)#exit
R3(config)#int f0/1
R3(config-if)#zone-member security Private//應用接口到Private區域
R3(config-if)#int f0/0
R3(config-if)#zone-member security Public//應用接口到Public區域
R3(config-if)#exit
R3(config)#class-map type inspect match-any publictop//創建class-map名為publictop
R3(config-cmap)#match protocol icmp//匹配icmp協議
R3(config-cmap)#exi
R3(config)#policy-map type inspect 1//創建policy-map編號1
R3(config-pmap)#class type inspect publictop//應用publictop的規則
R3(config-pmap-c)#inspect//設置匹配到的流量使用inspect
R3(config-pmap-c)#exit
R3(config-pmap)#exit
R3(config) #zone-pair security private-public source private destination public//設置從private區域到public
R3(config-sec-zone-pair)#service-policy type inspect 1//使用policy-map 1
R3(config-sec-zone-pair)#exit
R3(config)#class-map type inspect match-any privatetop
R3(config-cmap)#match protocol telnet
R3(config-cmap)#exit
R3(config)#policy-map type inspect 2
R3(config-pmap)#class type inspect privatetop
R3(config-pmap-c)#inspect
R3(config-pmap-c)#exit
R3(config-pmap)#exit
R3(config)#zone-pair security public-private source public destination private
R3(config-sec-zone-pair)#service-policy type inspect 2
R3(config-sec-zone-pair)#exit
以上配置理論上外網R1可以telnetR4但是不能pingR4,R4可以pingR1但是不能telnetR1,下圖為測試成功理論成立
R1圖如下:
R4如下:
