一、实验拓扑:
二、实验要求:
三,命令部署:
1,路由器接口地址,默认路由等基本配置:
(R1)接口GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0] ip添加202.100.1.1 24
[R1-GigabitEthernet0/0/0]退出
(R1) ip route-static 0.0.0.0 0.0.0.0 202.100.1.10//配置默认路,由指向分析的接口地址
(R1)退出
& lt; R1>保存//选择y才可以
& lt; R2>系统视图
进入系统视图,返回用户视图与Ctrl + Z。//Ctrl + Z可以在任何模式回到最初的& lt;在模式
(R2)接口GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0] ip添加10.1.1.2 24
(R2) ip route-static 0.0.0.0 0.0.0.0 10.1.1.10
& lt; R2>保存//选择y才可以
& lt; R3>系统视图
(R3) int g0/0/0
[R3-GigabitEthernet0/0/0] ip添加192.168.1.3 24
[R3-GigabitEthernet0/0/0]退出
(R3) ip route-static 0.0.0.0 0.0.0.0 192.168.1.10
& lt; R3>保存
2,交换机VLAN等配置:
配置VLAN:
[SW1] VLAN 202
[SW1-vlan202] VLAN 10
[SW1-vlan10] VLAN 192
定义访问口并划分VLAN:
[SW1]港集团组员g0/0/1 g0/0/4//定义端口组,组里边的数量——g0/0/1和g0/0/4
(SW1-port-group)端口链接类型访问//交换机2个接口一起配置访问接口类型
(SW1-GigabitEthernet0/0/1)端口链接类型访问//自动弹出来2个
(SW1-GigabitEthernet0/0/4)端口链接类型访问
[SW1-port-group]默认端口VLAN 202//端口划分VLAN 202
[SW1-GigabitEthernet0/0/1]默认端口VLAN 202
[SW1-GigabitEthernet0/0/4]默认端口VLAN 202
[SW1-port-group] stp edged-port启用//stp的边缘端口开启
[SW1-GigabitEthernet0/0/1] stp edged-port使
[SW1-GigabitEthernet0/0/4] stp edged-port使
& lt; SW1>撤销终端监控//关闭乱七八糟提示的鬼东西
[SW1] int g0/0/2
(SW1-GigabitEthernet0/0/2)端口链接类型访问
(SW1-GigabitEthernet0/0/2)端口默认vlan 10
[SW1-GigabitEthernet0/0/2] stp edged-port使
[SW1] int g0/0/3
(SW1-GigabitEthernet0/0/3)端口链接类型访问
[SW1-GigabitEthernet0/0/3]默认端口vlan 192
[SW1-GigabitEthernet0/0/3] stp edged-port使
定义树干:
[SW1] int g0/0/5
(SW1-GigabitEthernet0/0/5)端口链接类型树干
[SW1-GigabitEthernet0/0/5]港口树干allow-pass vlan 192//放行vlan 10和192华为默认是干掉所有vlan的
查看配置:
[SW1]显示当前配置//这里省略
3,分析配置:
(1)分析基本配置:
[分析]int g0/0/0
(SRG-GigabitEthernet0/0/0)撤销关闭
信息:接口GigabitEthernet0/0/0不关闭。
[SRG-GigabitEthernet0/0/0] ip添加202.100.1.10 24
[分析]int g0/0/1
(SRG-GigabitEthernet0/0/1)撤销关闭//先打开接口
[分析]int g0/0/1.10
[SRG-GigabitEthernet0/0/1.10] vlan dot1q 10//封装dot1q vlan10
[SRG-GigabitEthernet0/0/1.10] ip添加10.1.1.10 24//给子接口配置ip地址
[分析]int g0/0/1.192
[SRG-GigabitEthernet0/0/1.192] vlan-type dot1q 192
[SRG-GigabitEthernet0/0/1.192] ip添加192.168.1.10 24
查看验证:
[分析]显示ip int bri
(2)分析重点配置:
区域:
华为有区域的概念的,分为:信任,Untrust, DMZ。
默认存在4个区域:[分析]显示当前配置
防火墙区当地设置优先级100
防火墙区域信托设置优先级85添加界面GigabitEthernet0/0/0默认把该接口划分为信任
防火墙区Untrust设置优先级5
防火墙DMZ区域设置优先级50
思科:没有区域的概念,里面,外面,DMZ这只是接口的名字,只有安全级别,用安全级别来区分不同接口类型;
安全级别:
华为1 - 100,思科:0 - 100
[分析]防火墙区信任
[SRG-zone-trust]取消添加int g0/0/0//将默认的g0/0/0挪出信任区域
[分析]防火墙区untrust
[SRG-zone-untrust]添加int g0/0/0
[分析]防火墙区信任
[SRG-zone-trust]添加int g0/0/1.192
[分析]防火墙区dmz
[SRG-zone-dmz]添加int g0/0/1.10
查看验证:
测试:
[分析]萍202.100.1.1
请求超时
从202.100.1.1回复:字节=56序列=2 ttl=255=100
女士从202.100.1.1回复:字节=56序列=3 ttl=255时间=60 ms
从202.100.1.1回复:字节=56序列=4 ttl=255=80毫秒从202.100.1.1
回复:字节=56序列=5 ttl=255=80 ms
同理:[分析]萍10.1.1.2//可通ping 192.168.1.3
[分析]//可通
注意:思科的防火墙默认所有区域流量抵达亚撒后才干掉,就是说可以进入ASA;
华为除信任区域可以抵达分析外,其它区域流量进不了分析;比如Unttust, DMZ去pingSRG的接口地址不不通的;原因:默认有当地的区域,安全级别为100年,而且没有任何接口,其实默认情况显示就是当地的区域,所以比如DMZ去萍显示,它会认为是DMZ跨区域访问我当地的区域,这默认情况是不允许的,流量直接被干掉,同理Untrust也一样。
