HCIE-Security 防火墙高级技术上机指导书
HRP_A[NGFW_A-policy-security-rule- trust_to_untrust ] action permit
Step 6 在NGFW_A上配置NAT策略。双机热备状态成功建立后,NGFW_A的NAT
策略配置会自动备份到NGFW_B上。
配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池中的地址(1.1.1.2-1.1.1.5)。 HRP_A[NGFW_A] nat address-group group1
HRP_A[NGFW_A -nat-address-group- group1] section 0 1.1.1.2 1.1.1.5 HRP_A[NGFW_A -nat-address-group- group1] quit HRP_A[NGFW_A] nat-policy
HRP_A[NGFW_A-policy-nat] rule name policy_nat1
HRP_A[NGFW_A-policy-nat-rule- policy_nat1 ] source-zone trust HRP_A[NGFW_A-policy-nat-rule- policy_nat1 ] destination-zone untrust HRP_A[NGFW_A-policy-nat-rule- policy_nat1 ] source-address 10.3.0.0 16 HRP_A[NGFW_A-policy-nat-rule- policy_nat1 ] action nat address-group group1
Step 7 配置Switch和PC。
分别将两台Switch的三个接口加入同一个VLAN,具体配置命令请参考交换机的相关文档。
在内网的PC上将VRRP备份组2的地址10.3.0.3设置为默认网关。
实验步骤(Web)
Step 1 在NGFW_A上配置接口。
1) 选择“网络 > 接口 ”。
2) 单击GE1/0/1,按如下参数配置。
3) 单击“确定”。
4) 参考上述步骤按如下参数配置GE1/0/3接口。
HCIE-Security 防火墙高级技术上机指导书
5) 参考上述步骤按如下参数配置GE1/0/7接口。
Step 2 在NGFW_A上配置缺省路由。
1) 选择“网络 > 路由 > 静态路由 ”。 2) 单击“新建”,按如下参数配置。
HCIE-Security 防火墙高级技术上机指导书
3)单击“确定”。
Step 3 在NGFW_A上配置双机热备功能。
1) 选择“系统 > 高可靠性 > 双机热备”。 2) 单击“配置”。
3) 选中“启用”前的复选框后,按如下参数配置。
4) 单击“确定”。
Step 4 在NGFW_B上配置接口。
NGFW_B与NGFW_A的接口配置方法相同,只是IP地址不同。您可以按照“实验拓扑图”配置NGFW_B的各接口,具体过程略。 Step 5 在NGFW_B上配置缺省路由。
NGFW_B与NGFW_A的缺省路由配置相同。
Step 6 在NGFW_B上配置双机热备功能。
1) 选择“系统 > 高可靠性 > 双机热备”。 2) 单击“配置”。
HCIE-Security 防火墙高级技术上机指导书
3) 选中“启用”前的复选框后,按如下参数配置。
4) 单击“确定”。
Step 7 在NGFW_A上配置安全策略。双机热备状态成功建立后,NGFW_A的安全策
略配置会自动备份到NGFW_B上。
1) 选择“策略 > 安全策略”。 2) 单击“新建”,按如下参数配置。
3) 单击“确定”。
Step 8 在NGFW_A上配置NAT策略。双机热备状态成功建立后,NGFW_A的NAT
策略配置会自动备份到NGFW_B上。
1) 选择“策略 > NAT策略 > NAT地址池”。
HCIE-Security 防火墙高级技术上机指导书
2) 单击“新建”,按如下参数配置。
3) 单击“确定”。
4) 选择“策略 > NAT策略 >源NAT”。 5) 单击“新建”,按如下参数配置。
6) 单击“确定”。
Step 9 配置Switch和PC。
分别将两台Switch的三个接口加入同一个VLAN,具体配置命令请参考交换机
的相关文档。
在内网的PC上将VRRP备份组2的地址10.3.0.3设置为默认网关。