配置公司内网的防火墙安全区域和策略并配置NAT访问1.1.1.1

拓扑图如下：

要求：

1.生产区在工作时间内可以访问服务器区，仅可以访问http服务器

2.办公区全天可以访问服务器区，其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10

3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理

4.办公区设备可以访问公网，其他区域不行。

1.先配二层的交换机LSW7，生产区在vlan 2 ，办公区在vlan 3 ，g0/0/1 是access类型  ，g0/0/2是  access类型  ， g0/0/3是trunk类型
LSW7配置：
[Huawei]vlan batch 2 3 
[Huawei]interface GigabitEthernet 0/0/1  
[Huawei-GigabitEthernet0/0/1]port link-type access   
[Huawei-GigabitEthernet0/0/1]port default vlan 2

[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access    
[Huawei-GigabitEthernet0/0/2]port default vlan 3
 

[Huawei]interface GigabitEthernet 0/0/3  
[Huawei-GigabitEthernet0/0/3]port link-type trunk  
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3

三层fw1配置：利用web界面创建子接口，配置各接口的IP地址

1.创建sc和BG的安全区域

2.创建子接口

为了方便测试，把ping选上

如上操作，在创建一个vlan Tag为3的，安全区域为BG的，IP为10.0.2.1/24的g1/0/3.2的子接口

配置g1/0/0接口IP地址为10.0.3.1/24

配置g1/0/1接口IP地址为12.0.0.1/24,一定要写网关地址

AR1配置环回接口和g0/0/0接口IP

[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 12.0.0.2 24
 

[Huawei]interface LoopBack 0
[Huawei-LoopBack0]ip address 1.1.1.1 24

现在做安全策略：
1.SC（生产区）到DMZ（服务器）的策略

2.BG（办公区）到DMZ（服务器）的策略

 

配置NAT（easy IP）

测试：PC5访问1.1.1.1

完成！！！！！！！