要让F1000-AK防火墙后的两个网段相互通信,核心就是三步:把接口划到正确的安全域、配好路由、再用安全策略“放行”两个网段之间的流量。
整个配置逻辑很简单:防火墙默认是“白名单”机制,就像公司门禁,只有被明确允许的访问才能通过。因此,你只需创建一个策略,明确允许“A网段”访问“B网段”即可。
你可以选择通过Web界面或命令行进行配置。
配置接口并加入安全域
登录Web界面后,进入“网络 > 接口”,为连接两个网段的物理接口(例如GE1/0/1和GE1/0/2)配置IP地址。然后在“网络 > 安全域”中,将它们都加入到“Trust”(信任)域。如果希望更精细地管理,也可以各自加入不同的域。
配置路由(确保网络可达)
进入“网络 > 路由 > 静态路由”,添加两条路由。
去往网段A:目的地址为 192.168.1.0,掩码 255.255.255.0,下一跳指向网段A的网关。
去往网段B:目的地址为 192.168.2.0,掩码 255.255.255.0,下一跳指向网段B的网关。
创建安全策略(关键一步)
进入“策略 > 安全策略”,新建一条IPv4安全策略。
名称:Trust_to_Trust (或其他有意义的名称)
源安全域:选择网段A接口所属的安全域,如Trust。
目的安全域:选择网段B接口所属的安全域。
源IP地址:填写网段A的地址范围。
目的IP地址:填写网段B的地址范围。
动作:设置为“允许”。
最后,单击“确定”保存。
以网段A (192.168.1.0/24)、网段B (192.168.2.0/24),且接口GigabitEthernet1/0/1和1/0/2都属于Trust域为例:
完成配置后,别忘了验证一下:
验证连通性:从网段A的一台主机,通过ping命令测试能否访问网段B的主机。
查看会话:在Web界面进入“监控 > 会话列表”,或使用命令display session table ipv4 source-ip 192.168.1.x,查看是否生成了相应的会话。
检查安全策略命中数:在安全策略列表中查看新策略的“命中次数”,确认其是否生效。
暂无评论
# 进入系统视图
system-view
# 配置接口1
interface GigabitEthernet 1/0/1
ip address 192.168.1.1 255.255.255.0
quit
# 配置接口2
interface GigabitEthernet 1/0/2
ip address 192.168.2.1 255.255.255.0
quit
# 将两个接口加入 Trust 安全域
security-zone name Trust
import interface GigabitEthernet 1/0/1
import interface GigabitEthernet 1/0/2
quit
security-policy ip
rule 10 name PERMIT_TRUST_INTRA
source-zone Trust
destination-zone Trust
action permit
quit
security-policy ip
rule 10 name PERMIT_1_TO_2
source-zone Trust
destination-zone Trust
source-ip-subnet 192.168.1.0 24
destination-ip-subnet 192.168.2.0 24
action permit
rule 20 name PERMIT_2_TO_1
source-zone Trust
destination-zone Trust
source-ip-subnet 192.168.2.0 24
destination-ip-subnet 192.168.1.0 24
action permit
quit
save
display security-policy session ip
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论