当前位置：首页 > news >正文

网络防御高级02-综合实验

news 文章来源：https://blog.csdn.net/hhj123k/article/details/145537669 2025/5/22 12:21:32

web页面：

[FW]interface GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]service-manage all permit

需求一，接口配置：

SW2:

[Huawei]sysname SW2

1.创建vlan
[sw2]vlan 10
[sw2]vlan 20

2.接口配置
[sw2]interface GigabitEthernet 0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20

[sw2]interface GigabitEthernet 0/0/2
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 10
[sw2-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[sw2-GigabitEthernet0/0/3]port link-type access
[sw2-GigabitEthernet0/0/3]port default vlan 20

fw:

[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip add
[FW-GigabitEthernet1/0/0]ip address 10.0.0.254 24

[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 100.1.1.10 24

[FW]interface GigabitEthernet 1/0/1.1
[FW-GigabitEthernet1/0/1.1]ip address 172.16.1.254 24
[FW-GigabitEthernet1/0/1.1]vlan-type dot1q 10

g1/0/1.2:web页面：

OA Server:

Web Server:

DNS Server:

百度服务器 :

Clinet1:dhcp

Clinet2:

Clinet3:dhcp

pc1:

pc2:dhcp

需求二，DHCP：

在FW上启动DHCP功能，并配置不同的全局地址池，为接入网络的终端设备分配IP地址。
Client1、Client3和PC2通过DHCP获取地址信息。Client2和PC1手工静态配置。
Client1必须通过DHCP获取172.16.1.90/24地址。

如果配置dhcp无法获取地址，可以给g1/0/1配置IP在删除就好*******
因为只有主接口处于工作状态是副接口才会正常股工作**8**

[FW]dhcp enable ----开启dhcp

在web界面配置dhcp是只支持接口方式，分配的地址范围必须是接口IP地址所
在的网段。并且--->需要手工在命令行界面开启dhcp功能才行。
[FW]interface GigabitEthernet 1/0/1.1---对应接口激活dhcp
[FW-GigabitEthernet1/0/1.1]dhcp select interface

[FW-GigabitEthernet1/0/1.1]interface GigabitEthernet 1/0/1.2
[FW-GigabitEthernet1/0/1.2]dhcp select interface

Client1必须通过DHCP获取172.16.1.90/24地址。（将1.90和client1的mac地址绑定）

web页面：（如果client1已经dhcp分配ip可以先改为静态等修改高级将ip和mac绑定后在改为dhcp）

clent1：IP：

[FW]display ip pool interface GigabitEthernet1/0/1.1---查看地址池g1/0/1.1
：

GigabitEthernet1/0/1.2（dhcp补全信息（网关和dns还有保留pc1的ip 2.100））：

命令行（全局）：例子

[FW]ip pool 1
[FW-ip-pool-1]network 1.1.1.0 mask 24
[FW-ip-pool-1]gateway-list 1.1.1.254
[FW-ip-pool-1]dns-list 1.1.1.1
[FW-ip-pool-1]static-bind ip-address 1.1.1.100 mac-address mac地址

需求三，防火墙安全区域划分：

web页面：

Trust_A：

Trust_B：
[FW]firewall zone name Trust_B---创建区域
[FW-zone-Trust_B]set priority 80---设置优先级
[FW-zone-Trust_B]add interface GigabitEthernet 1/0/1.2--划分接口

DMZ：
[FW]firewall zone dmz
[FW-zone-dmz]add interface GigabitEthernet 1/0/0

Untrust：
[FW]firewall zone untrust
[FW-zone-untrust]add interface GigabitEthernet 1/0/2