#华为 #usg USG6000双链路透明部署实验（一）

目录

一、实验背景

二、实验环境

三、实验步骤

1、在所有交换机创建对应vlan

2、在核心交换机创建网关，所有的网段IP都是254。网段是10.10.10.0/24-10.10.13.0/24

3、配置接入交换机的管理IP，分别为1和2

4、交换机链路配置手工链路聚合，并放行所有vlan

5、进入web界面配置防火墙，将与接入交换机的接口进行聚合，并配置相应的接口对

​编辑 6、新建安全策略

---

一、实验背景

实际企业生产环境中，常用到防火墙来作为边界防火墙，针对内网服务器做东西向和南北向流量的防护，并与出口防火墙形成两道防护。本次实验，即模拟部署双链路透明模式防火墙，用于后续的防护测试。

二、实验环境

本次实验以核心交换机-防火墙-接入交换机-服务器的拓扑类型来进行，其中一台接入交换机到防火墙是双链路聚合，一台接入交换机到防火墙是单链路（这是因为模拟器没有那么多口了555），并与防火墙到核心交换机的三个链路形成两对接口对。防火墙的0、1和3、4口是一对，2和5口是一对。六个服务器分别为三个网段，划分三个vlan：11、12、13；设备管理网段为vlan 10；接cloud是为了通过电脑web访问，具体怎么配置可以参考#华为 #usg 华为eNSP如何配置防火墙进入web界面。

三、实验步骤

1、在所有交换机创建对应vlan

vlan batch 10 to 13

2、在核心交换机创建网关，所有的网段IP都是254。网段是10.10.10.0/24-10.10.13.0/24

int Vlanif 10
 ip address 10.10.10.254 24

3、配置接入交换机的管理IP，分别为1和2

interface Vlanif 10
  ip address 10.10.10.1 24

4、交换机链路配置手工链路聚合，并放行所有vlan

interface Eth-Trunk 1
  quit
interface GigabitEthernet 0/0/1
  eth-trunk 1
  quit
interface GigabitEthernet 0/0/2
  eth-trunk 1
  quit
interface Eth-Trunk 1
  port link-type trunk
  port trunk allow-pass vlan all

5、进入web界面配置防火墙，将与接入交换机的接口进行聚合，并配置相应的接口对

将防火墙与核心交换机、接入交换机的单链路两个接口模式修改为接口对。

6、新建安全策略

配置源安全区域为trust，目的安全区域为untrust

创建新地址

 

 

卧槽！！！！经过测试，ping不通，可能是模拟器问题，先搁置。