拓撲圖如下:
小實驗一:
trust區域設備可以訪問dmz區域設備,而dmz區域設備不能訪問trust區域設備
首先,第一步,將端口加入對應的區域
接下來,將對應的IP加入對應的端口
R1:
FW:
測試下是否正常:
科普下,第一個包老報錯是因爲ARP,第一個包去請求MAC地址了
、
這裏再說一點華爲和思科的不同之處,思科你防火牆IP什麼的配置完之後,PC能ping到FW,FW也能ping到PC;然而,華爲思科當中,低安全級別默認都不能訪問高安全級別,但華爲FW的端口都屬於local區域,local區域安全級別默認100,trust默認85;所以,從終端pingFWping不通,但是同區域的不同設備是可以互通的
我們再輸入這條命令來查看FW的區間過程,有圖中可以得知從優先級高到低是默認允許的
接下來,對區間過程進行修改
注意,dmz和trust順序無所謂,主要是outbound或inbound,前者代表從高(安全級別)到低;後者代表從低到高
驗證:
這個表這有在icmp使用的時候,纔會產生,是一個臨時的FW會話表,且不同的協議存在的時間也不一樣,例如ICMP協議大約只有一兩秒
