（一）實(shí)驗(yàn)簡介

如圖所示盘榨，某大型企業(yè)園區(qū)的區(qū)域中喻粹，部署了一臺FW作為接入網(wǎng)關(guān)。根據(jù)權(quán)限不同草巡，區(qū)域內(nèi)網(wǎng)絡(luò)劃分為研發(fā)部門A和非研發(fā)部門B守呜，且這兩個部門的網(wǎng)絡(luò)訪問權(quán)限不同，具體需求如下：

1. 研發(fā)部門山憨，非研發(fā)部門都可以訪問Internet查乒；
2. 研發(fā)部門和非研發(fā)部門之間相互隔離，但是兩個部門的員工可以互訪郁竟；
3. 研發(fā)部門和非研發(fā)部門的業(yè)務(wù)量差不多玛迄，所以為它們分配相同的虛擬系統(tǒng)資源。

網(wǎng)絡(luò)拓樸結(jié)構(gòu)

（二）實(shí)驗(yàn)?zāi)康?/h3>

1. 掌握虛擬網(wǎng)關(guān)的組網(wǎng)棚亩；
2. 掌握配置兩個虛擬網(wǎng)絡(luò)的互通互訪蓖议；

（三）實(shí)驗(yàn)條件

1. 一臺CPU支持VT技術(shù)藻肄，內(nèi)存4GB以上的計算機(jī)；
2. 安裝eNSP模擬器B510版拒担，導(dǎo)入USG6000V鏡像；
3. 終端工具：SecuretyCRT攻询，Putty从撼，Psftp，XShell等钧栖。

（四）網(wǎng)絡(luò)拓樸圖

打開ENSP軟件低零，按如下拓樸圖創(chuàng)建實(shí)驗(yàn)環(huán)境，設(shè)置地址:

1. LAN-A地址：192.168.11.0/24拯杠；
2. LAN-B地址：192.168.12.0/24掏婶；
3. WAN 地址：10.10.10.0/24；
4. DMZ 地址：10.0.0.0/24
5. Ctrl地址：192.168.0.0/24

實(shí)驗(yàn)9拓樸

（五）配置思路

1. 配置LAN/WAN網(wǎng)絡(luò)潭陪；
2. 配置防火墻接口雄妥，安全域，安全策略依溯；
3. 配置虛擬系統(tǒng)老厌，配置虛擬系統(tǒng)的訪問策略；

（六）配置步驟

(1)配置LAN黎炉、WAN網(wǎng)絡(luò)

（略）
參考前面的實(shí)驗(yàn)操作步驟枝秤。

(2)配置FW的網(wǎng)絡(luò)及策略

（略）
以下為關(guān)鍵配置指令，供參考

    #啟用虛擬系統(tǒng)
    vsys enable
    
    #配置資源R1
    resource-class R1
    resource-item-limit bandwidth 2 inbound 
    resource-item-limit bandwidth 2 outbound 
    resource-item-limit session reserved-number  2 maximum  20
    resource-item-limit policy reserved-number 50
    resource-item-limit user reserved-number 3

    
    #創(chuàng)建虛擬系統(tǒng)并分配資源慷嗜。
    vsys name vFW1
    assign resource-class R1
    assign interface GigabitEthernet 1/0/1
    assign interface GigabitEthernet 1/0/3

    
    vsys name vFW2
    assign resource-class R1
    assign interface GigabitEthernet 1/0/2
    assign interface GigabitEthernet 1/0/4

    # 配置Virtual-if0接口淀弹，并將接口加入安全區(qū)域。Virtual-if0接口上的IP地址設(shè)置為DMZ網(wǎng)段庆械。
    interface Virtual-if 0
    ip address 10.0.0.1 24

    firewall zone trust
    add interface Virtual-if 0

    
    #為虛擬系統(tǒng)互訪的員工配置路由薇溃。
    ip route-static 192.168.11.0 24 vpn-instance vFW1
    ip route-static 192.168.12.0 24 vpn-instance vFW2
    
    #為虛擬系統(tǒng)vFW1配置IP地址、路由干奢、安全策略和NAT策略
    #
    switch vsys vFW1
    system-view
    
    interface GigabitEthernet 1/0/1
    ip address 192.168.11.254 24
    service-manage ping permit
    
    
    interface GigabitEthernet 1/0/3
    ip address 10.10.10.1 24
    service-manage ping permit
    
    
    interface Virtual-if 1
    ip address 10.0.0.2 24

    
    firewall zone trust
    add interface GigabitEthernet 1/0/1
    
    
    firewall zone untrust
    add interface GigabitEthernet 1/0/3
    
    
    firewall zone dmz
    add interface Virtual-if1

    
    #為虛擬系統(tǒng)vFW1配置訪問Internet的靜態(tài)路由
    ip route-static 0.0.0.0 0.0.0.0 10.10.10.254
    
    #為虛擬系統(tǒng)vFW1配置訪問vFW2的靜態(tài)路由
    ip route-static 192.168.12.0 24 public
    
    #為虛擬系統(tǒng)vFW1配置訪問Internet的安全策略
    security-policy
    rule name policy_wan
    source-zone trust
    destination-zone untrust
    action permit
    
    
    rule name policy_vfw2
    source-zone trust dmz
    destination-zone dmz trust
    action permit

    #為虛擬系統(tǒng)vFW1配置NAT策略痊焊。
    nat-policy
    rule name policy_nat1
    source-zone trust
    egress-interface GigabitEthernet 1/0/3
    action nat easy-ip

    
    #為虛擬系統(tǒng)vFW2配置IP地址、路由忿峻、安全策略和NAT策略
    #
    switch vsys vFW2
    system-view
    
    interface GigabitEthernet 1/0/2
    ip address 192.168.12.254 24
    service-manage ping permit

    
    interface GigabitEthernet 1/0/4
    ip address 10.10.10.2 24
    service-manage ping permit

    
    interface Virtual-if 2
    ip address 10.0.0.3 24
    service-manage ping permit
    
    firewall zone trust
    add interface GigabitEthernet 1/0/2

    firewall zone untrust
    add interface GigabitEthernet 1/0/4

    firewall zone dmz
    add interface Virtual-if2

    
    #為虛擬系統(tǒng)vFW1配置訪問Internet的靜態(tài)路由
    ip route-static 0.0.0.0 0.0.0.0 10.10.10.254
    
    #為虛擬系統(tǒng)vFW2配置訪問vFW1的靜態(tài)路由
    ip route-static 192.168.11.0 24 public
    
    #為虛擬系統(tǒng)vFW2配置訪問Internet的安全策略
    security-policy
    rule name policy_wan
    source-zone trust
    destination-zone untrust
    action permit

    
    rule name policy_vfw1
    source-zone trust dmz
    destination-zone dmz trust
    action permit
    
    
    #為虛擬系統(tǒng)vFW2配置NAT策略薄啥。
    nat-policy
    rule name policy_nat2
    source-zone trust
    egress-interface GigabitEthernet 1/0/4
    action nat easy-ip

(3)測試

（1）用PC1與PC2，相互ping通逛尚；

（2）分別用PC1與PC2垄惧，ping通PC3；

（七）參考資料

華為模擬器eNSP軟件绰寞，
華為模擬器eNSP社區(qū)到逊，
HCNA-Security 華為認(rèn)證網(wǎng)絡(luò)安全工程師铣口，
HCNP-Security 華為認(rèn)證網(wǎng)絡(luò)安全資深工程師，
HUAWEI USG6000V V500R001C10SPC100 典型配置案例觉壶，
HUAWEI USG6000V V500R001C10SPC100 管理員指南脑题，
HUAWEI USG6000V V500R001C10SPC100 命令參考 ，
華為ICT相關(guān)的英文簡稱 铜靶。