- 拓撲
- 地址表
| Device |
interface |
IP Address |
Subnet mask |
Default Gateway |
| R1 |
F 0/0 |
172.20.1.1 |
/24 |
N/A |
| S0/0/0 |
10.20.1.1 |
/24 |
N/A |
|
| R2 |
S0/0/0 |
10.20.1.2 |
/24 |
N/A |
| S0/0/1 |
10.20.2.2 |
/24 |
N/A |
|
| R3 |
F 0/0 |
172.20.1.1 |
/24 |
N/A |
| S0/0/1 |
10.20.2.1 |
/24 |
N/A |
|
| PC-A |
Fa0 |
172.20.1.2 |
/24 |
172.20.1.1 |
| PC-C |
Fa0 |
172.20.2.2 |
/24 |
172.20.2.1 |
(1)console密碼和Vty密碼
Router(config)#username zhu1 password zjw1 //console 密碼
Router(config)#aaa authentication login default local
Router(config)#lin
Router(config)#line console 0
Router(config-line)#login authentication default
Router(config)#aaa authentication login ZTE local //vty 密碼
Router(config)#line vty 0 4
Router(config-line)#login authentication ZTE
Router(config-line)#end
(2)接口配置
與上實驗相同,這里省略
(3)靜態路由
與上實驗相同,這里省略
- 驗證基本網絡聯通性
(1)PC-A ping PC-C
(2)PC-C telnet R2的s0/0/1口
說明:如上,基本網絡聯通性完好。
- 在R3 創建一個區域防火牆
(1)創建一個內部區域
R3(config)#zone security IN-ZONE
(2)創建一個外部區域
R3(config-sec-zone)#zone security OUT-ZONE
R3(config-sec-zone)#exi
- 定義一個流量級別和訪問
(1)創建一個用來定義內部流量的ACL
R3(config)#access-list 101 permit ip 172.20.2.0 0.0.0.255 any
(2)創建一個涉及內部流量ACL的class map
R3(config)#class-map type inspect match-all IN-NET-CLASS-MAP
R3(config-cmap)#match access-group 101
R3(config-cmap)#exi
- 指定防火牆策略
(1)創建一個策略圖來確定對匹配的流量
R3(config)#policy-map type inspect IN-2-OUT-PMAP
(2)定義一個檢測級別類型和參考策略圖。
R3(config-pmap)#class type inspect IN-NET-CLASS-MAP
(3)定義檢測策略圖
R3(config-pmap-c)# inspect
R3(config-pmap-c)#exi
R3(config-pmap)# exit
- 應用防火牆策略
(1)創建一對區域
R3(config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
(2)定義策略圖來控制兩個區域的流量。
R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP
R3(config-sec-zone-pair)# exit
R3(config)#
(3)把端口調用到合適的安全區域。
在端口的全局模式用zone-member security來把F0/1調用到IN-ZONE ,把S0/0/1調用到OUT-ZONE
R3(config)# interface fa0/1
R3(config-if)# zone-member security IN-ZONE
R3(config-if)# exit
R3(config)# interface s0/0/1
R3(config-if)# zone-member security OUT-ZONE
R3(config-if)# exit
- 測試從IN-ZONE到OUT-ZONE的防火牆功能
(1)PC-C ping PC-A服務器
(2)從PC-Ctelnet到R2的s0/0/1口
(3)在R3輸show policy-map type inspect zone-pair sessions看完成情況。
結論:如上,內部到外部的防火牆功能完整,內部能夠訪問外部。
- 第七步 測試外部區域到內部區域的防火牆功能
(1)驗證配置ZPF之后外部無法訪問內部。
(2)R2 ping PC-C也ping不通
結論:如上,外部區域到內部區域的防火牆功能完整,外部不能訪問內部。