路由器R1的配置(RIPv2协议):
R1#conf t
R1(config)#inter s0/3/0
R1(config-if)#ip add 10.34.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#inter s0/3/1
R1(config-if)#ip add 10.34.2.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#network 10.34.1.0
R1(config-router)#network 10.34.2.0
R1(config-router)#no auto-summary
路由器R2的配置(RIPv2协议):
R2r#conf t
R2(config)#inter s0/3/0
R2(config-if)#ip add 10.34.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#inter f0/1
R2(config-if)#ip add 192.34.1.254 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#line vty 0 4
R2(config-line)#password thrfur
R2(config-line)#login
R2(config-line)#exit
R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#network 10.34.1.0
R2(config-router)#network 192.34.1.0
R2(config-router)#no auto-summary
路由器R3的配置(RIPv2协议):
R3>en
R3#conf t
R3(config)#inter s0/3/1
R3(config-if)#ip add 10.34.2.2 255.255.255.0
R3(config-if)#no shut
R3(config-if)#exit
R3(config)#inter f0/1
R3(config-if)#ip add 192.34.2.254 255.255.255.0
R3(config-if)#no shut
R3(config-if)#exit
R3(config)#router rip
R3(config-router)#version 2
R3(config-router)#network 10.34.2.0
R3(config-router)#network 192.34.2.0
R3(config-router)#no auto-summary
PC-1 ping server-1的结果省略(能通信)。
在路由器R3上创建区域。
R3(config)#zone security IN-ZONE
R3(config-sec-zone)#exit
R3(config)#zone security OUT-ZONE
R3(config-sec-zone)#exit
在路由器R3上配置类映射和访问控制列表
R3(config)#access-list 101 permit ip 192.34.2.0 0.0.0.255 any //允许该网段所有流量
R3(config)#class-map type inspect match-all IN-NET-CLASS-MAP //创建匹配条件名为IN-NET-CLASS-MAP
R3(config-cmap)#match access-group 101 //使IN-NET-CLASS-MAP匹配应用访问控制列表101
R3(config-cmap)#exit
在路由器R3上配置防火墙策略
R3(config)#policy-map type inspect IN-2-OUT-PMAP //创建策略IN-2-OUT-PMAP
R3(config-pmap)#class type inspect IN-NET-CLASS-MAP //在策略中使用匹配条件IN-NET-CLASS-MAP
R3(config-pmap-c)#inspect //开启条件过滤
R3(config-pmap-c)#exit
R3(config-pmap)#exit
配置区域对并应用适当的策略映射。
Note: 要检查从入口区域到出口区域的连接,只需配置入口-出口区域对:
R3(config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE//创建入口-出口区域对
R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP//入口-出口区域对应用IN-2-OUT-PMAP策略映射
R3(config-sec-zone-pair)#exit
在路由器R3上应用防火墙策略
R3(config)#inter f0/1
R3(config-if)#zone-member security IN-ZONE //把该端口划入入口区域
R3(config-if)#exit
R3(config)#inter s0/3/1
R3(config-if)#zone-member security OUT-ZONE //把该端口划入出口区域
R3(config-if)#exit
配置完成,使用show policy-map type inspect zone-pair session命令查看指定区域运行时检查类型策略映射的统计数据。sessions 选项用于显示指定区域对的策略映射应用程序创建的检查会话。
R3#show policy-map type inspect zone-pair session
Zone-pair: IN-2-OUT-ZPAIR
Service-policy inspect : IN-2-OUT-PMAP
Class-map: IN-NET-CLASS-MAP (match-all)
Match: access-group 101
Inspect
Class-map: class-default (match-any)
Match: any
Drop (default action)
0 packets, 0 bytes
R3#
PC-1 依然能够 ping 通 server-1,也能 telnet 登录到 R2 以及可以与外部任何通信设备通信,但是server-1、R1、R2 无法 ping 通 PC-1,因为被防火墙拒绝了。也就是R3只能 PC-1 与外部通信,但是不允许外部设备与 PC-1 通信。
通过配置基于区域的防火墙,可以使内部网络不受外部入侵。基于区域的防火墙配置的防火墙策略只有在数据从这个区域发送到那个区域时才会生效,在同一个区域内的数据不会应用任何的策略,所以就需要将要使用策略的端口划入不同的区域,这样才可以应用策略。
区域之间的所有数据默认是全部被丢弃的,所以必须配置相应的策略来允许某些数据的通过。但是同区域的端口不需要配置策略,因为默认是可以自由访问的。而区域与区域之间的策略必须定义从哪个区域到哪个区域,即必须配置方向,比如从OUT-ZONE到IN-ZONE的数据全部被放行,其中,OUT-ZONE是源区域,IN-ZONE是目的区域。配置一个包含源区域和目的区域的一组策略被称为Zone-Pairs.
一个Zone-Pairs就表示从一个区域到另一个区域的策略。当配置了一个区域到另一个区域的策略后,如果策略动作是inspect,则不需要再为返回的数据配置策略,因为返回的数据是默认被允许的,如果策略动作是pass或drop则不会有任何流量被直接丢弃。
如果有两个zone,并且希望在两个方向上都应用策略,比如从IN-ZONE到OUT-ZONE或从OUT-ZONE到IN-ZONE,就必须配置两个Zone-Pairs,即一个方向一个Zone-Pairs.
