实现简单的核心交换机与出口路由的隔离
华三防火墙默认账户密码为admin/admin
让g1/0/1口为连接核心交换的接口
[H3C]int g1/0/1 //进入g1/0/1接口
[H3C-GigabitEthernet1/0/1]port link-mode bridge //设置端口模式为二层
[H3C-GigabitEthernet1/0/1]port link-type trunk //设置为trunk接口
[H3C-GigabitEthernet1/0/1]port trunk permit vlan all //透传所有vlan(具体可以看项目需求)
配置让g1/0/2为连接外网接口
[H3C]int g1/0/2 //进入g1/0/2接口
[H3C-GigabitEthernet1/0/2]ip address 192.168.0.1 24 配置ip地址,地址为公网地址
[H3C-GigabitEthernet1/0/2]nat outbound 配置出口nat (看具体情况用不同nat类型)
创建安全域
[H3C]security-zone name Trust //创建安全区域trust并进入
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1 vlan 10(当做管理vlan) //将接口g1/0/1加入trust区域 。vlan10是因为g1/0/1做为二层接口
[H3C-security-zone-Trust]import interface Vlan-interface 10 //并将管理vlan加入trust区域
创建untrust区域并使g1/0/2加入
[H3C]security-zone name Untrust //创建并进入untrust区域
[H3C-security-zone-Untrust]import interface GigabitEthernet 1/0/2 //让g1/0/2接口加入untrust区域
[H3C-security-zone-Untrust]
加入默认路由即可
学习文件
创建安全策略
[H3C]security-policy ip //进入安全策略
[H3C-security-policy-ip]rule name 1 //创建rule 1
[H3C-security-policy-ip-0-1]destination-zone untrust //访问目的区域为untrust区域
[H3C-security-policy-ip-0-1]action pass
版权归原作者 li工 所有, 如有侵权,请联系我们删除。