基于IP地址的转发策略

基于IP地址的转发策略_第1张图片

步骤一:

基于IP地址的转发策略_第2张图片

 system-view

[USG6000V1]interface GigabitEthernet 0/0/0

[USG6000V1-GigabitEthernet0/0/0]display this

步骤二:配置防火墙两边接口的IP地址

基于IP地址的转发策略_第3张图片

基于IP地址的转发策略_第4张图片

 [USG6000V1-GigabitEthernet0/0/0]undo ip binding -instance default

基于IP地址的转发策略_第5张图片

[USG6000V1-GigabitEthernet0/0/0]dis this

[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.5.1 24

基于IP地址的转发策略_第6张图片

[USG6000V1-GigabitEthernet0/0/0]interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 1.1.1.1 24

基于IP地址的转发策略_第7张图片

[USG6000V1-GigabitEthernet1/0/0]q

步骤三:将 GigabitEthernet 0/0/0 端口添加到trust区域,将 GigabitEthernet 1/0/0添加到untrust区域


[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 0/0/0 

[USG6000V1-zone-trust]q
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/0基于IP地址的转发策略_第8张图片

[USG6000V1-zone-untrust]q

步骤四:配置名称为ip_deny的地址集,将几个不允许通过防火墙的IP地址加入地址集。

创建名称为ip_deny的地址集
[USG6000V1]ip address-set ip_deny type object

将不允许通过防火墙的IP地址加入ip_deny地址集

[USG6000V1-object-address-set-ip_deny]address 192.168.5.2 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.3 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.6 0 

 [USG6000V1-object-address-set-ip_deny]q基于IP地址的转发策略_第9张图片

步骤五:创建不允许通过防火墙IP地址的转发策略,就是说加入ip_deny地址集的几个IP地址将不允许通过防火墙

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_deny
[USG6000V1-policy-security-rule-policy_deny]source-address address-set ip_deny基于IP地址的转发策略_第10张图片 

[USG6000V1-policy-security-rule-policy_deny]action deny

[USG6000V1-policy-security-rule-policy_deny]q
[USG6000V1-policy-security]q

步骤六:创建允许其他属于192.168.5.0/24这个网段的IP地址通过防火墙的转发策略。


[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_permit
[USG6000V1-policy-security-rule-policy_permit]source-address 192.168.5.0 24

[USG6000V1-policy-security-rule-policy_permit]action permit
[USG6000V1-policy-security-rule-policy_permit]q 

步骤七:测试,因为pc1和pc2的IP地址(192.168.5.2和192.168.5.3)被添加到不允许访问防火墙IP地址的转发策略,而pc3(192.168.5.4)没有被添加到不允许访问防火墙IP地址的转发策略,所以pc1和pc2无法ping通,pc3成功ping通目标主机,实验成功

基于IP地址的转发策略_第11张图片

基于IP地址的转发策略_第12张图片

 基于IP地址的转发策略_第13张图片

 开始忘记标记图片啦,不过步骤我已经写了,图片只是一个辅助而已。

你可能感兴趣的:(网络)