第五章 防火墙设备互联

一、拓扑图

二、配置防火墙二层接口与VLANIF

1、USG配置过程

<USG6000V2>system-view 
# 进入系统视图模式，开始进行全局配置Enter system view, return user view with Ctrl+Z.
[USG6000V2]interface GigabitEthernet 0/0/0
# 进入物理接口 GigabitEthernet 0/0/0 的配置视图[USG6000V2-GigabitEthernet0/0/0]ip address 10.1.1.254 24
# 为该接口配置 IP 地址 10.1.1.254，子网掩码为 255.255.255.0（即 /24）
# 此接口作为三层路由接口使用，可能是连接外部网络或管理网段[USG6000V2-GigabitEthernet0/0/0]quit
# 退出当前接口配置模式[USG6000V2]vlan 5
# 创建 VLAN 5（如果不存在），进入 VLAN 5 的配置视图[USG6000V2-vlan5]quit 
# 退出 VLAN 配置视图[USG6000V2]interface GigabitEthernet 1/0/4
# 进入另一个物理接口 GigabitEthernet 1/0/4 的配置视图[USG6000V2-GigabitEthernet1/0/4]portswitch 
# 将此三层接口切换为二层交换接口模式（默认可能工作在路由模式）
# 只有执行 portswitch 后才能配置 access/trunk 模式[USG6000V2-GigabitEthernet1/0/4]description To-Indise
# 添加描述信息 "To-Indise"，用于标识该端口用途（例如连接某台内部交换机）[USG6000V2-GigabitEthernet1/0/4]port link-type access 
# 设置该端口为 access 模式，表示只属于一个 VLAN[USG6000V2-GigabitEthernet1/0/4]port default vlan 5
# 将该 access 端口划分到 VLAN 5 中
# 所有从此端口进入的数据帧都将被打上 VLAN 5 标签[USG6000V2-GigabitEthernet1/0/4]quit
# 退出接口配置[USG6000V2]interface Vlanif 5
# 创建或进入 VLAN 接口 Vlanif5（对应 VLAN 5 的三层虚拟接口）[USG6000V2-Vlanif5]ip address 5.5.5.254 24
# 为 Vlanif5 配置 IP 地址 5.5.5.254/24
# 这是 VLAN 5 内主机的默认网关地址[USG6000V2-Vlanif5]service-manage enable 
# 启用该接口上的安全管理服务（允许通过该接口对设备进行远程管理）[USG6000V2-Vlanif5]service-manage ping permit 
# 允许从该接口收到 ICMP Ping 请求并响应
# 默认情况下，安全策略可能会禁止 ping，此命令显式放行[USG6000V2-Vlanif5]quit
# 退出 Vlanif5 接口配置[USG6000V2]firewall zone trust 
# 进入防火墙内置的安全区域 "trust" 的配置视图[USG6000V2-zone-trust]add interface Vlanif5
# 将 Vlanif5 接口添加到 trust 区域中
# trust 区域通常代表受信任的内部网络
# 添加后，该接口的流量将遵循 trust 区域的安全策略[USG6000V2-zone-trust]quit
# 退出安全区域配置[USG6000V2]display zone trust 
# 显示 trust 安全区域的当前配置信息
# 包括：区域优先级、绑定的接口列表等
# 输出示例可能包含：
#   zone: trust
#   priority is 85
#   # interfaces in the zone: Vlanif5

二、配置防火墙Eth-Trunk与子接口

1、USG配置过程

[USG6000V2]vlan batch 10 20
# 批量创建 VLAN 10 和 VLAN 20
# 这两个 VLAN 将用于划分不同的 DMZ 区域（例如不同业务服务器子网）[USG6000V2]interface Eth-Trunk 10
# 创建一个链路聚合接口 Eth-Trunk 10（也称 LAG - Link Aggregation Group）
# 用于将多个物理接口捆绑成一个逻辑接口，提高带宽和冗余性[USG6000V2-Eth-Trunk10]description To-Cisco-SW1-Channel10
# 给 Eth-Trunk 10 添加描述信息：“连接到 Cisco 交换机 SW1 的聚合通道”
# 便于运维识别用途[USG6000V2-Eth-Trunk10]mode lacp-static 
# 设置 Eth-Trunk 工作在静态 LACP 模式（IEEE 802.3ad）
# LACP 协议可实现动态协商链路聚合，相比手工模式更安全可靠
# "static" 表示不启用抢占，需手动配置对端交换机匹配[USG6000V2-Eth-Trunk10]quit
# 退出 Eth-Trunk 10 的配置视图[USG6000V2]interface GigabitEthernet 1/0/2
# 进入物理接口 GigabitEthernet 1/0/2 的配置视图[USG6000V2-GigabitEthernet1/0/2]eth-trunk 10
# 将此接口加入 Eth-Trunk 10 聚合组中
# 此时该接口成为聚合链路的一个成员端口[USG6000V2-GigabitEthernet1/0/2]quit
# 退出该接口配置[USG6000V2]interface GigabitEthernet 1/0/3
# 进入另一个物理接口 G1/0/3[USG6000V2-GigabitEthernet1/0/3]eth-trunk 10                   
# 同样将其加入 Eth-Trunk 10，形成双链路聚合
# 至此，Eth-Trunk 10 包含两个成员口：G1/0/2 和 G1/0/3[USG6000V2-GigabitEthernet1/0/3]quit          
# 退出接口配置[USG6000V2]interface Eth-Trunk 10.10
# 创建 Eth-Trunk 10 的子接口：Eth-Trunk 10.10
# 子接口用于支持 VLAN 间路由（即“单臂路由”结构），常用于连接交换机的 trunk 口[USG6000V2-Eth-Trunk10.10]vlan-type dot1q 10
# 配置该子接口封装 IEEE 802.1Q 标签，且只处理 VLAN 10 的数据帧
# 即：来自交换机打了 VLAN 10 标签的数据包由这个子接口处理[USG6000V2-Eth-Trunk10.10]description To-DMZ-Server-NET1       
# 描述此子接口用途：连接 DMZ 区域中属于 VLAN 10 的服务器网络[USG6000V2-Eth-Trunk10.10]ip address 10.10.10.254 255.255.255.0 
# 为该子接口配置 IP 地址 10.10.10.254/24
# 作为 VLAN 10 内主机的默认网关[USG6000V2-Eth-Trunk10.10]service-manage enable 
# 启用安全管理服务（允许通过此接口进行设备管理，如 SSH、Web 等）[USG6000V2-Eth-Trunk10.10]service-manage ping permit 
# 允许响应来自该接口所在区域的 ICMP Ping 请求
# 方便网络连通性测试[USG6000V2-Eth-Trunk10.10]quit
# 退出子接口配置[USG6000V2]interface Eth-Trunk 10.20            
# 创建第二个子接口 Eth-Trunk 10.20[USG6000V2-Eth-Trunk10.20]vlan-type dot1q 20                   
# 该子接口仅处理带有 VLAN 20 标签的数据帧[USG6000V2-Eth-Trunk10.20]description To-DMZ-Server-NET2       
# 描述用途：连接另一部分 DMZ 服务器（VLAN 20）[USG6000V2-Eth-Trunk10.20]ip address 20.20.20.254 255.255.255.0 
# 配置网关地址 20.20.20.254/24，作为 VLAN 20 主机的网关[USG6000V2-Eth-Trunk10.20]service-manage enable                
# 启用对该接口的远程管理权限[USG6000V2-Eth-Trunk10.20]service-manage ping permit           
# 允许从该接口收到 ping 并响应[USG6000V2-Eth-Trunk10.20]quit
# 退出子接口配置[USG6000V2]firewall zone dmz 
# 进入防火墙预定义的安全区域 “dmz” 配置视图
# DMZ 区域优先级通常为 50，介于 trust 和 untrust 之间，适合部署对外服务的服务器[USG6000V2-zone-dmz]add interface Eth-Trunk 10.10
# 将 Eth-Trunk 10.10 接口添加到 dmz 安全区域
# 表示该接口上的流量属于 DMZ 区域[USG6000V2-zone-dmz]add interface Eth-Trunk 10.20
# 同样将 Eth-Trunk 10.20 加入 dmz 区域[USG6000V2-zone-dmz]quit
# 退出安全区域配置

2、SW1配置过程

Switch>enable 
# 进入特权执行模式（Privileged EXEC Mode），需要密码验证
# 可以执行查看、保存、重启等高级操作Switch#configure terminal 
# 进入全局配置模式（Global Configuration Mode）
# 在此模式下可以修改设备的运行配置Switch(config)#vlan 10
# 创建 VLAN 10
# 如果 VLAN 10 不存在，则创建；如果已存在，则进入其配置模式Switch(config-vlan)#exit
# 退出 VLAN 配置子模式，返回全局配置模式Switch(config)#vlan 20
# 创建 VLAN 20Switch(config-vlan)#exit
# 再次退出 VLAN 配置模式Switch(config)#interface port-channel 10
# 创建一个逻辑聚合接口 Port-Channel 10
# 对应华为侧的 Eth-Trunk 10，是多个物理接口捆绑后的虚拟接口Switch(config-if)#description To-USG-Eth10
# 添加描述信息：“连接到 USG 防火墙的 Eth-Trunk 10”
# 方便后期维护识别用途Switch(config-if)#switchport trunk encapsulation dot1q 
# 设置该 Trunk 接口使用 IEEE 802.1Q 封装方式（dot1Q）
# 注意：仅在支持 ISL 的老设备上才需要此命令；现代 Cisco 设备通常默认为 dot1Q
# 此命令确保使用标准 VLAN 标签格式，与华为设备兼容Switch(config-if)#switchport mode trunk 
# 将该聚合接口设置为 Trunk 模式
# 允许通过多个 VLAN 的流量（如 VLAN 10、20）
# 用于连接三层设备（如防火墙、路由器）实现跨 VLAN 路由Switch(config-if)#exit
# 退出 Port-Channel 接口配置Switch(config)#interface ethernet 0/0
# 进入物理接口 Ethernet 0/0 的配置模式
# 假设该接口连接属于 VLAN 10 的 DMZ 服务器Switch(config-if)#description To-DMZ-Server-NET1
# 添加描述：“连接到 DMZ 服务器网段 1（VLAN 10）”Switch(config-if)#switchport access vlan 10
# 将该接口划入 VLAN 10
# 所有从此接口接入的设备都属于 VLAN 10Switch(config-if)#switchport mode access 
# 设置接口为 Access 模式
# 表示该端口只属于一个 VLAN，不打标签地传输数据（对终端透明）Switch(config-if)#exit
# 退出该接口配置Switch(config)#interface ethernet 0/1        
# 进入接口 Ethernet 0/1Switch(config-if)#description To-DMZ-Server-NET2 
# 描述用途：连接另一组 DMZ 服务器（VLAN 20）Switch(config-if)#switchport access vlan 20     
# 将此接口分配给 VLAN 20Switch(config-if)#switchport mode access 
# 设置为 Access 模式，仅供单个 VLAN 使用Switch(config-if)#exit
# 退出配置Switch(config)#interface ethernet 0/2
# 进入物理接口 Ethernet 0/2 配置模式
# 此接口将加入聚合链路，连接防火墙Switch(config-if)#switchport trunk encapsulation dot1q 
# 启用 802.1Q VLAN 封装（必须与对端一致）Switch(config-if)#switchport mode trunk 
# 设置为 Trunk 模式，允许 VLAN 10、20 等多 VLAN 流量通过Switch(config-if)#channel-protocol lacp 
# 明确指定使用 LACP 协议进行链路聚合协商
# （虽然多数情况下可省略，但显式声明更清晰）Switch(config-if)#channel-group 10 mode passive 
# 将该接口加入 Channel Group 10（即 Port-Channel 10）
# mode passive：表示本端被动响应 LACP 协商
# 即只有收到对端（防火墙）发送的 LACP 报文时才会建立聚合
# 安全性较高，防止误接导致环路Switch(config)#interface ethernet 0/3               
# 配置另一个物理接口 Ethernet 0/3Switch(config-if)#switchport trunk encapsulation dot1q 
Switch(config-if)#switchport mode trunk                
Switch(config-if)#channel-protocol lacp                
Switch(config-if)#channel-group 10 mode passive        
# 与上面 e0/2 相同配置：加入同一个 LACP 聚合组（Port-Channel 10），模式为 passiveSwitch(config-if)#exit
# 退出接口配置

三、配置防火墙三层接口

1、ISP1配置过程

<Huawei>system-view 
# 从用户视图进入系统视图（全局配置模式）
# 只有在此模式下才能进行接口、路由、协议等配置Enter system view, return user view with Ctrl+Z.
[Huawei]sysname ISP1
# 将设备主机名修改为 "ISP1"
# 便于在网络中识别该设备，尤其在多设备环境中非常重要[ISP1]interface GigabitEthernet 0/0/1
# 进入物理接口 GigabitEthernet 0/0/1 的配置视图
# 此接口通常连接到另一个路由器（如上游 ISP 或边界路由器）[ISP1-GigabitEthernet0/0/1]ip address 50.50.50.1 24
# 为此接口配置 IP 地址：50.50.50.1，子网掩码为 255.255.255.0（即 /24）
# 表示此链路属于网络 50.50.50.0/24[ISP1-GigabitEthernet0/0/1]quit
# 退出当前接口配置模式，返回全局配置模式[ISP1]interface GigabitEthernet 0/0/0
# 进入另一个接口 G0/0/0 的配置视图
# 通常用于连接内部网络或其他路由器[ISP1-GigabitEthernet0/0/0]ip address 30.30.30.1 24     
# 配置该接口 IP 地址为 30.30.30.1/24
# 属于网络 30.30.30.0/24[ISP1-GigabitEthernet0/0/0]quit
# 退出接口配置# 方法一：配置静态默认路由
[ISP1]ip route-static 0.0.0.0 0.0.0.0 50.50.50.2
# 配置一条静态默认路由（Default Route）
# 目标地址：0.0.0.0/0（匹配所有未知目的地）
# 下一跳地址：50.50.50.2（位于 50.50.50.0/24 网段）
# 意思是：“所有无法直接到达的数据包都转发给 50.50.50.2”
# 常用于将流量导向上层 ISP 或出口网关# 方法二、配置动态路由OSPF
[ISP1]ospf 100 router-id 30.30.30.1
# 启动 OSPF 路由进程，进程号为 100（本地有效）
# 设置路由器的 Router ID 为 30.30.30.1
# Router ID 是 OSPF 中唯一标识一台路由器的逻辑地址，建议手动指定[ISP1-ospf-100]area 0 
# 进入 OSPF 区域 0（骨干区域）
# 所有其他非骨干区域必须连接到 area 0[ISP1-ospf-100-area-0.0.0.0]network 30.30.30.0 0.0.0.255
# 宣告网络 30.30.30.0/24 加入 OSPF 区域 0
# wildcard mask（通配符掩码）0.0.0.255 对应子网掩码 255.255.255.0
# 设备会自动通过该网段的接口参与 OSPF 邻居发现和路由交换[ISP1-ospf-100-area-0.0.0.0]network 50.50.50.0 0.0.0.255
# 宣告 50.50.50.0/24 网段也加入 OSPF 区域 0[ISP1-ospf-100-area-0.0.0.0]quit
# 退出区域配置模式

2、ISP2配置过程

<Huawei>system-view 
# 从用户视图进入系统配置视图（全局模式）
# 只有在此模式下才能进行接口、路由等配置[ISP2]interface GigabitEthernet 0/0/1
# 进入物理接口 GigabitEthernet 0/0/1 的配置模式
# 此接口通常用于连接外部网络（如上级 ISP 或客户边缘）[ISP2-GigabitEthernet0/0/1]ip address 60.60.60.1 24
# 配置 IP 地址：60.60.60.1，子网掩码 /24（即 255.255.255.0）
# 表示该链路属于网络 60.60.60.0/24
# 下一跳可能是另一个运营商或边界设备（如防火墙、客户路由器）[ISP2-GigabitEthernet0/0/1]quit
# 退出当前接口配置[ISP2]interface GigabitEthernet 0/0/0
# 进入另一个接口 G0/0/0 的配置视图
# 一般用于连接内部骨干网或其他核心设备[ISP2-GigabitEthernet0/0/0]ip address 40.40.40.1 24       
# 配置此接口的 IP 地址为 40.40.40.1/24
# 属于 40.40.40.0/24 网段，作为本地互联或内部路由使用[ISP2-GigabitEthernet0/0/0]quit
# 退出接口配置# 方法一：配置静态默认路由
[ISP2]ip route-static 0.0.0.0 0.0.0.0 60.60.60.2
# 配置一条静态默认路由
# 目标地址：0.0.0.0/0（匹配所有目标）
# 下一跳地址：60.60.60.2（位于 60.60.60.0/24 网段）
# 含义：“所有未知目的地的数据包都转发给 60.60.60.2”
# 常用于将流量导向上游网关（如主干路由器或 Internet 出口）# 方法二、配置动态路由OSPF
[ISP2]ospf 200 router-id 40.40.40.1
# 启动 OSPF 路由协议，进程号为 200（仅本地有效）
# 设置本路由器的 Router ID 为 40.40.40.1
# Router ID 是 OSPF 协议中唯一标识一台路由器的关键参数，建议手动设置避免冲突[ISP2-ospf-200-area-0.0.0.0]network 40.40.40.0 0.0.0.255
# 宣告 40.40.40.0/24 网段加入 OSPF 区域 0
# 通配符掩码 0.0.0.255 对应子网掩码 255.255.255.0
# 设备会通过运行在该网段的接口主动发送 OSPF Hello 报文，建立邻居关系

3、ISP3配置过程

<Huawei>system-view 
# 从用户视图进入系统配置模式（全局配置模式）
# 只有在此模式下才能进行接口、路由等高级配置[ISP3]interface GigabitEthernet 0/0/1
# 进入物理接口 GigabitEthernet 0/0/1 的配置视图
# 此接口将连接另一台设备（如 ISP1）[ISP3-GigabitEthernet0/0/1]ip address 50.50.50.2 24
# 配置 IP 地址：50.50.50.2，子网掩码 /24（即 255.255.255.0）
# 该地址与 ISP1 的 G0/0/1 接口（50.50.50.1）在同一网段 → 直连通信[ISP3-GigabitEthernet0/0/1]quit
# 退出当前接口配置模式[ISP3]interface GigabitEthernet 0/0/0
# 进入另一个接口 G0/0/0 的配置视图
# 用于连接第二条链路[ISP3-GigabitEthernet0/0/0]ip address 60.60.60.2 24
# 配置 IP：60.60.60.2/24
# 与 ISP2 的 G0/0/1 接口（60.60.60.1）处于同一网段 → 实现直连互通[ISP3-GigabitEthernet0/0/0]quit
# 退出接口配置[ISP3]interface GigabitEthernet 0/0/2
# 进入第三个接口 G0/0/2 的配置视图
# 通常用于连接本地网络、测试主机或服务器[ISP3-GigabitEthernet0/0/2]ip address 70.70.70.254 24
# 配置 IP 地址为 70.70.70.254/24
# 提供一个本地服务网段 70.70.70.0/24，可用作管理网络或模拟客户端/服务器[ISP3-GigabitEthernet0/0/2]quit
# 退出接口配置# 方法一：配置静态路由
[ISP3]ip route-static 30.30.30.0 255.255.255.0 50.50.50.1
# 添加一条静态路由：
# 目标网络：30.30.30.0/24（对应 ISP1 的内部网段）
# 下一跳地址：50.50.50.1（即 ISP1 的接口地址）
# 含义：“若要访问 30.30.30.0/24，请把数据包交给 50.50.50.1 处理”
[ISP3]ip route-static 40.40.40.0 255.255.255.0 60.60.60.1
# 添加第二条静态路由：
# 目标网络：40.40.40.0/24（对应 ISP2 的内部网段）
# 下一跳地址：60.60.60.1（即 ISP2 的接口地址）
# 含义：“访问 40.40.40.0/24 的流量应通过 ISP2 方向转发”

4、USG配置过程

[USG6000V2]interface GigabitEthernet 1/0/0
# 进入接口 G1/0/0 配置模式
# 通常用于连接第一个外部网络（如 ISP1）[USG6000V2-GigabitEthernet1/0/0]ip address 30.30.30.254 24
# 配置 IP 地址：30.30.30.254，子网掩码 /24
# 所属网段：30.30.30.0/24，对端设备通常是 ISP1 的出口路由器（如 30.30.30.1）[USG6000V2-GigabitEthernet1/0/0]service-manage enable 
# 启用该接口的“服务管理”功能
# 允许通过此接口对防火墙进行远程管理（如 Web、SSH、Telnet 等）[USG6000V2-GigabitEthernet1/0/0]service-manage ping permit 
# 允许从外部网络通过 ICMP Ping 访问本接口
# 调试阶段有用，但生产环境应限制或关闭以增强安全性[USG6000V2-GigabitEthernet1/0/0]quit
# 退出当前接口配置[USG6000V2]interface GigabitEthernet 1/0/1
# 进入第二个物理接口 G1/0/1 的配置视图
# 一般用于连接第二家运营商 ISP2[USG6000V2-GigabitEthernet1/0/1]ip address 40.40.40.254 24
# 配置 IP：40.40.40.254/24
# 属于 40.40.40.0/24 网段，对端可能是 ISP2 的 40.40.40.1[USG6000V2-GigabitEthernet1/0/1]service-manage enable 
# 启用管理服务，允许通过此接口登录防火墙[USG6000V2-GigabitEthernet1/0/1]service-manage ping permit 
# 允许从此接口发起 ping 请求访问防火墙自身[USG6000V2-GigabitEthernet1/0/1]quit
# 退出接口配置[USG6000V2]firewall zone untrust 
# 进入名为 "untrust"（非信任区）的安全区域配置模式
# 华为防火墙采用安全区域机制来控制流量流向
# untrust 区域代表高风险外部网络（如互联网）[USG6000V2-zone-untrust]add interface GigabitEthernet 1/0/0
# 将 G1/0/0 接口加入 untrust 安全区域
# 表示该接口连接的是不可信网络，需严格策略管控[USG6000V2-zone-untrust]add interface GigabitEthernet 1/0/1
# 将 G1/0/1 接口也加入 untrust 区域
# 表明两条链路均为外联出口，统一归类管理[USG6000V2-zone-untrust]quit
# 退出安全区域配置# 方法一：配置静态路由
[USG6000V2]ip route-static 0.0.0.0 0.0.0.0 30.30.30.1
# 添加一条默认路由，下一跳为 30.30.30.1（ISP1）
# 所有未知目的地的数据包将优先从此路径转发[USG6000V2]ip route-static 0.0.0.0 0.0.0.0 40.40.40.1 
# 再添加一条相同的默认路由，下一跳为 40.40.40.1（ISP2）# 方法二、配置动态路由
[USG6000V2]ospf 100 router-id 30.30.30.254
# 启动 OSPF 进程 100，设置 Router ID 为 30.30.30.254
# 用于与 ISP1 建立 OSPF 邻居关系（假设 ISP1 使用 OSPF 100）[USG6000V2-ospf-100-area-0.0.0.0]network 30.30.30.0 0.0.0.255
# 宣告 30.30.30.0/24 网段进入 OSPF 区域 0
# 若对端也在 area 0 并运行 OSPF，则可建立邻居并学习路由[USG6000V2-ospf-100-area-0.0.0.0]quit
[USG6000V2-ospf-100]quit[USG6000V2]ospf 200 router-id 40.40.40.254
# 启动另一个独立的 OSPF 进程 200，Router ID 为 40.40.40.254
# 用于与 ISP2 建立 OSPF 邻居（进程号不同表示不同自治系统或管理域）[USG6000V2-ospf-200]area 0
# 进入骨干区域 0[USG6000V2-ospf-200-area-0.0.0.0]network 40.40.40.0 0.0.0.255
# 宣告 40.40.40.0/24 加入 OSPF 200 的 area 0[USG6000V2-ospf-200-area-0.0.0.0]quit
[USG6000V2-ospf-200]quit