概述

组网拓扑如下图所示,1和2分配的IP分别是192.168.1.1和192.168.2.1它们的网关IP配置在Router设备上。

基于组网拓扑图及说明，如何启用路由器设备的防火墙功能？如何利用路由器的防火墙功能实现1无法telnet访问2？

Tips：

1. 采用HCL模拟器，Router设备采用【VSR2000】

组网设备基础配置

Router设备

[H3C]sysname Router

#开启软件快速转发的会话统计功能

[Router] session statistics enable

This command is CPU intensive and might affect ongoing services. Are you sure you want to continue? [Y/N]:y

[Router]

[Router]interface GigabitEthernet1/0

[Router-GigabitEthernet1/0] ip address 192.168.1.254 255.255.255.0

[Router-GigabitEthernet1/0]quit

[Router]interface GigabitEthernet2/0

[Router-GigabitEthernet2/0] ip address 192.168.2.254 255.255.255.0

[Router-GigabitEthernet2/0]quit

[Router]

1和2设备配置

1和2设备配置类似，下面仅说明1设备的配置

[H3C]sysname 1

[1]interface Vlan-interface1

[1-Vlan-interface1] ip address 192.168.1.1 255.255.255.0

[1-Vlan-interface1]quit

[1]ip route-static 0.0.0.0 0 192.168.1.254

[1]

#启用1设备telnet服务并配置用户名和密码

[1]telnet server enable

[1]local-user admin

[1-luser-manage-admin] password simple admin

[1-luser-manage-admin] service-type telnet

[1-luser-manage-admin] authorization-attribute user-role level-15

[1-luser-manage-admin]quit

[1]line vty 0 63

[1-line-vty0-63] authentication-mode scheme

[1-line-vty0-63]quit

[1]#

小节

1、缺省情况下，路由器设备的软件快速转发的会话统计功能处于关闭状态。开启软件快速转发的会话统计功能之后，设备将对收到和发送的基于会话的业务报文数目和报文字节数进行统计。

2、完成上述的设备配置，1和2设备之间实现相互访问，例如，1 telnet访问2，在Router设备上通过命令“display session table ipv4 verbose” 查看IPv4单播会话表信息，如下图所示。

启用路由器设备的防火墙功能

#将接口G1/0和G2/0分别加入Trust安全域和Untrust安全域

[Router]security-zone name Trust

[Router-security-zone-Trust] import interface GigabitEthernet1/0

[Router-security-zone-Trust]quit

[Router]security-zone name Untrust

[Router-security-zone-Untrust] import interface GigabitEthernet2/0

[Router-security-zone-Untrust]quit

[Router]

#定义IP和服务对象，例如IP对象1和2，服务对象Tel

[Router]object-group ip address 1

[Router-obj-grp-ip-1] 0 network host address 192.168.1.1

[Router-obj-grp-ip-1]quit

[Router]object-group ip address 2

[Router-obj-grp-ip-2] 0 network host address 192.168.2.1

[Router-obj-grp-ip-2]quit

[Router]object-group service Tel

[Router-obj-grp-service-Tel] 0 service tcp destination eq 23

[Router-obj-grp-service-Tel]quit

[Router]

#配置对象策略1-2，创建一条1无法telnet访问2并记录匹配次数和日志的规则；创建一条默认放通的策略并记录匹配次数和日志的规则

[Router]object-policy ip 1-2

[Router-object-policy-ip-1-2] rule 0 drop source-ip 1 destination-ip 2 service Tel logging counting

[Router-object-policy-ip-1-2] rule 1 pass logging counting

[Router-object-policy-ip-1-2]quit

[Router]

#配置安全域间实例并应用对象策略【每个安全域间实例仅能应用一个对象策略】

[Router]

[Router]zone-pair security source Any destination Any

[Router-zone-pair-security-Any-Any] object-policy apply ip 1-2

[Router-zone-pair-security-Any-Any]quit

[Router]

小节

1、一旦将路由器的接口加入安全区域，网络将发生中断，因此，要及时配置对象策略和配置安全域间实例并应用对象策略。需要注意是每个安全域间实例仅能应用一个对象策略。

2、完成上述配置启用路由器设备的防火墙功能后，1无法telnet访问2，但2可telnet访问1。在Router设备上通过命令“display logbuffer reverse” 查看访问日志信息，如下图所示。

3、在Router设备上通过命令“move rule 1 before 0”可修改对象策略1-2的规则匹配顺序【从上到下顺序匹配】，如下图所示。

总结

以上分享，希望各位小伙伴有所收获，欢迎各位点赞、收藏和指正。