联想网御强五防火墙三网口多VLAN环境

2024年3月17日发(作者：)

5.5.1 需求描述

上图是一个具有三个区段的小型网络。其中内部网络划分了四个VLAN，分别是VLAN10，

VLAN20，VLAN30，VLAN40；DMZ 网络在一个单独的VLAN 中，名称是VLAN50。VLAN10

的网络地址是192.168.10.0，掩码是255.255.255.0；VLAN20 的网络地址是192.168.20.0，掩

码是255.255.255.0；VLAN30 的网络地址是192.168.30.0，掩码是255.255.255.0；VLAN40

的网络地址是192.168.40.0，掩码是255.255.255.0。DMZ(VLAN50)的网络地址是172.16.1.0，

掩码是255.255.255.0。

防火墙的缺省策略是禁止。网络区段间的访问策略是：允许VLAN10，VLAN20，VLAN30，

VLAN40 访问DMZ 和INTERNET 的http，smtp，pop3，ftp 服务；允许INTERNET 访问

DMZ 的http，smtp，pop3，ftp 服务；允许VLAN10 访问VLAN20，VLAN30 访问VLAN40。

其他的访问都禁止。

设备配置配置有多种方案可以满足要求：

1. 方案1 fe1 接到交换机的TRUNK 口上，将fe1 的IP 地址配置为192.168.10.1，掩码

是255.255.255.0，并开启TRUNK 创建别名设备fe1_0，它的绑定设备是fe1，别名ID 是0，IP 地址192.168.20.1，

掩码是255.255.255.0。

创建别名设备fe1_1，它的绑定设备是fe1，别名ID 是1，IP 地址192.168.30.1，

掩码是255.255.255.0。 创建别名设备fe1_2，它的绑定设备是fe1，别名ID 是2，IP 地址192.168.40.1，

掩码是255.255.255.0。

fe3 接到VLAN50 中，将它的IP 地址配置为172.16.1.1，掩码是255.255.255.0。 VLAN10 的网关指向192.168.10.1，VLAN20 的网关指向192.168.20.1，VLAN30

的网关指向192.168.30.1，VLAN40 的网关指向192.168.40.1，VLAN50 的网关

指向172.16.1.1。防火墙的缺省网关指向202.100.100.1。

2. 方案2 fe1 接到交换机的TRUNK 口上，将fe1 的IP 地址配置为192.168.100.1（不能

与其他设备在同一网段），掩码是255.255.255.0。 创建VLAN 设备fe1.10，它的绑定设备是fe1，VLAN ID 是10，工作在“路

由”模式，IP 地址是192.168.10.1，掩码是255.255.255.0。 创建VLAN 设备fe1.20，它的绑定设备是fe1，VLAN ID 是20，工作在“路

由”模式，IP 地址是192.168.20.1，掩码是255.255.255.0。 创建VLAN 设备fe1.30，它的绑定设备是fe1，VLAN ID 是30，工作在“路

由”模式，IP 地址是192.168.30.1，掩码是255.255.255.0。 创建VLAN 设备fe1.40，它的绑定设备是fe1，VLAN ID 是40，工作在“路

由”模式，IP 地址是192.168.40.1，掩码是255.255.255.0。 fe3 接到VLAN50 中，将它的IP 地址配置为172.16.1.1，掩码是255.255.255.0。 VLAN10 的网关指向192.168.10.1，VLAN20 的网关指向192.168.20.1，VLAN30

的网关指向192.168.30.1，VLAN40 的网关指向192.168.40.1，VLAN50 的网关

指向172.16.1.1。防火墙的缺省网关指向202.100.100.1。

5.5.2 配置步骤

注意：设备配置请按照需求描述中的步骤配置。在配置安全策略前，请先添加以下的资源：

VLAN10_NET：192.168.10.0，掩码255.255.255.0，网络地址。

VLAN20_NET：192.168.20.0，掩码255.255.255.0，网络地址。

VLAN30_NET：192.168.30.0，掩码255.255.255.0，网络地址。

VLAN40_NET：192.168.40.0，掩码255.255.255.0，网络地址。

VLAN50_NET：172.16.1.0，掩码255.255.255.0，网络地址。

WWW_SERVER：172.16.1.2，掩码255.255.255.255，主机地址。

MAIL_SERVER：172.16.1.3，掩码255.255.255.255，主机地址。

FTP_SERVER：172.16.1.4，掩码255.255.255.255，主机地址。

1. 策略配置>安全规则>：添加源地址是VLAN10_NET，目的地址是any，服务是http，

动作是允许的包过滤规则。

2. 策略配置>安全规则>：添加源地址是VLAN10_NET，目的地址是any，服务是smtp，

动作是允许的包过滤规则。

3. 策略配置>安全规则>：添加源地址是VLAN10_NET，目的地址是any，服务是pop3，

动作是允许的包过滤规则。

4. 策略配置>安全规则>：添加源地址是VLAN10_NET，目的地址是any，服务是ftp，动

作是允许的包过滤规则。

5. 策略配置>安全规则>：添加源地址是VLAN20_NET，目的地址是any，服务是http，

动作是允许的包过滤规则。

6. 策略配置>安全规则>：添加源地址是VLAN20_NET，目的地址是any，服务是smtp，

动作是允许的包过滤规则。

7. 策略配置>安全规则>：添加源地址是VLAN20_NET，目的地址是any，服务是pop3，

动作是允许的包过滤规则。

8. 策略配置>安全规则>：添加源地址是VLAN20_NET，目的地址是any，服务是ftp，动

作是允许的包过滤规则。

9. 策略配置>安全规则>：添加源地址是VLAN30_NET，目的地址是any，服务是http，

动作是允许的包过滤规则。

10. 策略配置>安全规则>：添加源地址是VLAN30_NET，目的地址是any，服务是smtp，

动作是允许的包过滤规则。

11. 策略配置>安全规则>：添加源地址是VLAN30_NET，目的地址是any，服务是pop3，

动作是允许的包过滤规则。

12. 策略配置>安全规则>：添加源地址是VLAN30_NET，目的地址是any，服务是ftp，动

作是允许的包过滤规则。

13. 策略配置>安全规则>：添加源地址是VLAN40_NET，目的地址是any，服务是http，

动作是允许的包过滤规则。

14. 策略配置>安全规则>：添加源地址是VLAN40_NET，目的地址是any，服务是smtp，

动作是允许的包过滤规则。

15. 策略配置>安全规则>：添加源地址是VLAN40_NET，目的地址是any，服务是pop3，

动作是允许的包过滤规则。

16. 策略配置>安全规则>：添加源地址是VLAN40_NET，目的地址是any，服务是ftp，动

作是允许的包过滤规则。

17. 策略配置>安全规则>：添加源地址是VLAN10_NET，目的地址是VLAN20_NET，服务

是any，动作是允许的包过滤规则。

18. 策略配置>安全规则>：添加源地址是VLAN20_NET，目的地址是VLAN10_NET，服务

是any，动作是允许的包过滤规则。

19. 策略配置>安全规则>：添加源地址是VLAN30_NET，目的地址是VLAN40_NET，服务

是any，动作是允许的包过滤规则。

20. 策略配置>安全规则>：添加源地址是VLAN40_NET，目的地址是VLAN30_NET，服务

是any，动作是允许的包过滤规则。

21. 策略配置>安全规则>：添加源地址是any，目的地址是VLAN50_NET，服务是http，

动作是允许的包过滤规则。

22. 策略配置>安全规则>：添加源地址是any，目的地址是VLAN50_NET，服务是smtp，

动作是允许的包过滤规则。

23. 策略配置>安全规则>：添加源地址是any，目的地址是VLAN50_NET，服务是pop3，

动作是允许的包过滤规则。

24. 策略配置>安全规则>：添加源地址是any，目的地址是VLAN50_NET，服务是ftp，动

作是允许的包过滤规则。

25. 策略配置>安全规则>：添加源地址是VLAN10_NET，目的地址是any，服务是any 的

NAT 规则。

26. 策略配置>安全规则>：添加源地址是VLAN20_NET，目的地址是any，服务是any 的

NAT 规则。

27. 策略配置>安全规则>：添加源地址是VLAN30_NET，目的地址是any，服务是any 的

NAT 规则。

28. 策略配置>安全规则>：添加源地址是VLAN40_NET，目的地址是any，服务是any 的

NAT 规则。

29. 策略配置>安全策略>：添加公开地址是202.100.100.3，对外服务是http，内部地址是

WWW_SERVER，内部服务是http 的端口映射规则。

30. 策略配置>安全策略>：添加公开地址是202.100.100.3，对外服务是smtp，内部地址是

MAIL_SERVER，内部服务是smtp 的端口映射规则。

31. 策略配置>安全策略>：添加公开地址是202.100.100.3，对外服务是pop3，内部地址是

MAIL_SERVER，内部服务是pop3 的端口映射规则。

32. 策略配置>安全策略>：添加公开地址是202.100.100.3，对外服务是ftp，内部地址是

FTP_SERVER，内部服务是ftp 的端口映射规则。