1.使用eNSP拓扑图搭建以下拓扑图，并按如下要求规划IP地址

实验步骤

方法一：access与trunk搭配

Lsw1 ：

g0/0/3 配置access口，pvid 为10，

g0/0/4配置access口，pvid 为 20。

G0/0/1和g0/0/2配置聚合链路Eth-trunk 1，再为聚合接口为配置trunk口，然后放行 vlan 10 和 20。

防火墙：

1.G0/0/1和g0/0/2配置聚合链路Eth-trunk，再给聚合接口Eth-trunk 1划分两子接口Eth-trunk1.1和Eth-trunk1.2，分别给两个接口配上相应的网关ip地址

2.vlan-type dot1q 10和 20（类似于路由器上的dot1q termination pvid 10）

3.在开启子接口下开启ping的服务，service-manage ping permit

4.进入trust区域，将聚合接口和其子接口都加入进该区域

5.最后在系统模式下配置安全策略，默认允许所有动作

security-policy

default action permit

方法二：hybrid搭配

Lsw1 :

g0/0/3 配置hybrid口，pvid 为10，untagged 发送，

g0/0/4配置hybrid口，pvid 为 20，untagged 发送。

G0/0/1和g0/0/2配置聚合链路Eth-trunk 1，再为聚合接口为配置hybrid口，

在两个接口下都，配置hybrid接口，tagged保留相应的vlan标签发送。

防火墙：

1.G0/0/1和g0/0/2配置聚合链路Eth-trunk，再给聚合接口Eth-trunk 1划分两子接口Eth-trunk1.1和Eth-trunk1.2，分别给两个接口配上相应的网关ip地址

2.vlan-type dot1q 10和 20（类似于路由器上的dot1q termination pvid 10）

3.在开启子接口下开启ping的服务，service-manage ping permit

4.进入trust区域，将聚合接口和其子接口都加入进该区域

5.最后在系统模式下配置安全策略，默认允许所有动作

security-policy

default action permit

我采用的是方法一：access与trunk搭配

SW上的配置：

interface Eth-Trunk1 创建聚合链路的接口Eth-Trunk1

port link-type trunk 将Eth-Trunk1 设为trunk口

port trunk allow-pass vlan 10 20 放行vlan10 和 20

#interface GigabitEthernet0/0/3

port link-type access

port default vlan 10

interface GigabitEthernet0/0/4

port link-type access

port default vlan 20

FW上的配置（有两种配置方案）：

security-policy 系统模式下配置安全策略

default action permit 默认允许动作

interface Eth-Trunk1.1 进入Eth-Trunk1 子接口1.1

vlan-type dot1q 10 dot1q终结，终结vlan10标签

description vlan 10 作为一个描述接口的命令（vlan10的接口）

ip address 192.50.10.1 255.255.255.0

service-manage ping permit 允许ping这个服务

interface Eth-Trunk1.2 （同理）

vlan-type dot1q 20

description vlan 20

ip address 192.50.20.1 255.255.255.0

service-manage ping permit

firewall zone trust 进入trust受信任区域

set priority 85

add interface Eth-Trunk1 将 Eth-Trunk1 和1.1和1.2都加入进该区域

add interface Eth-Trunk1.1

add interface Eth-Trunk1.2

add interface GigabitEthernet0/0/0