安全hcie胶片hc防火墙互联技术

1、修订记录课程编码适用产品产品版本课程版本ISSUEHC13031021USG6000V1R11.00开发/优化者时间审核人开发类型（新开发/优化）周常青2014-08-11姚传哲新开发本页不打印HC13031021防火墙互联基础技术 前言下一代防火墙在部署时，不同的应用场景会采用不同的互联技术。华为USG防火墙支持丰富的二层、三层互联技术。二层互联技术如以太网Trunk接口、Access接口、Eth-Trunk接口、子接口等，三层互联支持丰富的路由协议如RIP、OSPF、ISIS、BGP等，除此之外防火墙还支持策略路由、ISP选路等增强功能。本课程主要讲解华为USG防火墙支持的二层、三层互联技

2、术的基础原理、配置命令及故障排除等知识。 目标学完本课程后，您将能够:描述防火墙支持的各种互联接口掌握互联接口的基础配置列举防火墙支持的路由协议及功能掌握OSPF路由协议的配置掌握BGP路由协议的配置掌握PBR及ISP选路的配置目录防火墙接口互联技术1.1 原理：防火墙接口互联接口介绍1.2 命令：防火墙互联接口配置1.3 案例：二层组网典型配置1.4 排障：防火墙接口故障排除防火墙接口互联技术防火墙支持的接口及板卡下一代防火墙的接口及扩展卡支持以太网电口和光口两种以太网电口以太网光口8GE WSIC接口卡2XG8GE WSIC接口卡8GEF WSIC接口卡4GE-BYPASS卡物理连接线缆-

3、双绞线屏蔽双绞线非屏蔽双绞线线序标准直通网线的连接关系示意图交叉网线的连接关系示意图物理连接线缆-光纤光纤主要用于千兆及以上速率的光信号传输。光纤通过相应的光模块连接到USG上的SFP+或SFP接口上光纤分为单模光纤和多模光纤单模光纤一般用于长距离传输（黄色，如左下图）多模光纤一般用于近距离传输（橙红色，如右下图）LC/PC-LC/PC单模光纤LC/PC-LC/PC多模光纤物理连接接口-连接器光纤两端的连接器有多种型号，常用的有LC/PC、SC/PC和FC/PC三种类型。使用光模块和光纤的过程中请注意以下事项：区别使用单模和多模光纤本地设备Tx（发）对应对端设备Rx（收）两端光模块波长一致不要

4、过度弯折光纤，其曲率半径应不小于40mmLC/PC光连接器SC/PC光连接器FC/PC光连接器防火墙支持的接口种类物理接口三层以太网接口二层以太网接口逻辑接口VT（Virtual Template）接口、Dialer接口Tunnel接口、Null接口VLAN接口三层以太网子接口Eth-Trunk接口、Loopback接口目录防火墙接口互联技术1.1 原理：防火墙接口互联接口介绍1.2 命令：防火墙互联接口配置1.3 案例：二层组网典型配置1.4 排障：防火墙接口故障排除防火墙接口互联技术配置三层接口IP地址步骤配置项目配置命令1配置静态IPinterface GigabitEthernet1/

5、0/1 ip address 2（可选）配置DHCP获取IP地址interface GigabitEthernet1/0/1 dhcp client enable3（可选）配置双工、速度、MTUinterface GigabitEthernet1/0/1 undo negotiation autoduplex fullspeed 1000mtu 15004（可选）配置描述和别名description this interface is use for managementalias management_interface5（可选）配置网管功能service-manage enableserv

6、ice-manage http https ping ssh permit 配置PPPOE拨号接口步骤配置项目配置命令1配置dialer接口interface Dialer0 link-protocol ppp ppp chap user user1 ppp chap password cipher yourpassword ppp pap local-user user password cipher yourpassowrd ppp ipcp dns admit-any ip address ppp-negotiate dialer user user1 dialer bundle 12绑

7、定dialer到物理接口上interface GigabitEthernet1/0/2pppoe-client dial-bundle-number 1 ipv4配置VLAN IF接口、子接口、回环接口步骤配置项目配置命令1配置 vlan if 接口vlan batch 10 20interface Vlanif10 ip address interface Vlanif20 ip address 2配置三层子接口interface GigabitEthernet1/0/3.10 vlan-type dot1q 10 ip address interface GigabitEthernet1/

8、0/3.20 vlan-type dot1q 20 ip address 3配置回环接口Interface loopback 0 ip address 55配置二层互联接口步骤配置项目配置命令1配置 vlanvlan batch 10 202配置Access 接口interface GigabitEthernet1/0/1 portswitch port link-type access port access vlan 103配置Hybrid接口interface GigabitEthernet1/0/2 portswitch port link-type hybrid port hybri

9、d pvid 20 port hybrid vlan 20 untagged4配置Trunk接口interface GigabitEthernet1/0/3 portswitch port link-type trunk port trunk pvid 1 port trunk permit vlan 10 20配置Eth-trunk接口步骤配置项目配置命令1配置手工eth-trunkinterface eth-trunk 1portswitch2（可选）配置LACP eth-trunkinterface eth-trunk 1portswitchmode lacp-staticmax act

10、ive-linknumber 23添加接口到eth-trunk中interface GigabitEthernet 1/0/1portswitcheth-trunk 1interface GigabitEthernet 1/0/2portswitcheth-trunk 1目录防火墙接口互联技术1.1 原理：防火墙接口互联接口介绍1.2 命令：防火墙互联接口配置1.3 案例：二层组网典型配置1.4 排障：防火墙接口故障排除防火墙接口互联技术通过Trunk实现设备间通信某公司的财务部门和市场部门分布在不同的楼宇中，通过两台USG相连。为了提升业务安全性，要求同一部门内员工可以相互访问，而不同部门间

11、员工不能互相访问。配置命令：trunk 互联USG_A的配置脚本如下： vlan batch 1 5 9#interface GigabitEthernet1/0/1 portswitch port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 5 9 # interface GigabitEthernet1/0/2 portswitch port link-type access port access vlan 5 # interface GigabitEthernet1/0/3 portswitc

12、h port link-type access port access vlan 9 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/1 add interface GigabitEthernet1/0/2 add interface GigabitEthernet1/0/3# USG_B的配置脚本如下： vlan batch 1 5 9 # interface GigabitEthernet1/0/1 portswitch port link-type trunk undo port trunk p

13、ermit vlan 1 port trunk permit vlan 5 9 # interface GigabitEthernet1/0/2 portswitch port link-type access port access vlan 5 # interface GigabitEthernet1/0/3 portswitch port link-type access port access vlan 9 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/1 add interface Gig

14、abitEthernet1/0/2 add interface GigabitEthernet1/0/3# 通过VLAN IF接口实现设备间通信某企业内部，研发部门的两个项目组相互隔离，分别属于不同的VLAN。为了完成同一个项目，两个项目组需要协同工作，因此，要求两个项目组内的PC能够相互访问。配置命令：vlan if接口# 基本接口配置 vlan batch 1 to 3 # sysname USG# interface Vlanif2 alias Vlanif2 ip address # interface Vlanif3 alias Vlanif3 ip address # interf

15、ace GigabitEthernet1/0/2 portswitch port link-type access port access vlan 2 # interface GigabitEthernet1/0/3 portswitch port link-type access port access vlan 3 # # 安全区域及安全策略配置firewall zone trust set priority 85 add interface GigabitEthernet1/0/2 add interface Vlanif2# firewall zone untrust set pri

16、ority 5 add interface GigabitEthernet1/0/3 add interface Vlanif3# security-policy rule name policy_sec_1 source-zone trust source-zone untrust destination-zone trust destination-zone untrust action permit #通过子接口实现设备间的通信某企业内部，研发部门的三个项目组R&D1、R&D2和R&D3相互隔离，属于不同的VLAN，分别为VLAN10、VLAN20和VLAN30。为了完成同一个项目，三个

17、项目组需要协同工作，因此，要求三个项目组内的PC能够相互访问。配置命令：子接口# interface GigabitEthernet1/0/3.1 vlan-type dot1q 10 alias GigabitEthernet1/0/3.1 ip address # interface GigabitEthernet1/0/3.2 vlan-type dot1q 20 alias GigabitEthernet1/0/3.2 ip address # interface GigabitEthernet1/0/3.3 vlan-type dot1q 30 alias GigabitEthern

18、et1/0/3.3 ip address #firewall zone trust set priority 85 add interface GigabitEthernet1/0/3.1 add interface GigabitEthernet1/0/3.2 add interface GigabitEthernet1/0/3.3 #目录防火墙接口互联技术1.1 原理：防火墙接口互联接口介绍1.2 命令：防火墙互联接口配置1.3 案例：二层组网典型配置1.4 排障：防火墙接口故障排除防火墙接口互联技术以太网接口不能UP故障现象观察USG发现相连接口的指示灯不亮或接口状态为DOWN可能的故障

19、原因及解决方法故障原因解决方法原因一网线存在问题更换网线原因二在接口上执行了shutdown命令接口视图执行undo shutdown命令原因三两端设备的底层芯片实现的自协商协议不一致在两端接口视图下配置相同的速率和双工模式原因四两端接口配置的速率或工作模式不同在两端接口视图下配置相同的速率和双工模式原因五USG接口卡存在问题更换接口或接口卡光口物理层状态不能UP故障现象光接口互连后，LINK指示灯不亮或接口状态为“DOWN”可能的故障原因及解决方法故障原因解决方法原因一光模块或光纤不匹配确保光纤、光模块、接口卡全部匹配确保光线收发顺序没有接反原因二光模块或光纤异常使用光功率计测量收光功率并相

20、应处理接收的光功率低于指标：发送端光接口除尘接收的光功率高于指标：加入光衰减器接收的光功率非常低：更换发送端光模块原因三两端设备接口配置信息不一致关闭协商功能，手工配置两端接口的双工模式、速度模式原因四接口、接口卡故障替换接口、光模块、或检测接口卡是否接好光口物理层状态不能UP故障现象光接口互连后，LINK指示灯不亮或接口状态为“DOWN”可能的故障原因及解决方法故障原因解决方法原因一光模块或光纤不匹配确保光纤、光模块、接口卡全部匹配确保光线收发顺序没有接反原因二光模块或光纤异常使用光功率计测量收光功率并相应处理接收的光功率低于指标：发送端光接口除尘接收的光功率高于指标：加入光衰减器接收的光功

21、率非常低：更换发送端光模块原因三两端设备接口配置信息不一致关闭协商功能，手工配置两端接口的双工模式、速度模式原因四接口、接口卡故障替换接口、光模块、或检测接口卡是否接好检查光接口状态USG_A display interface GigabitEthernet 1/0/1GigabitEthernet1/0/1 current state : DOWN Line protocol current state : Administratively DOWN Description : GigabitEthernet1/0/1 Interface, Route Port The Maximum T

22、ransmit Unit is 1500 bytes, Hold timer is 10(sec) Internet Address is /24 IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-0008 Media type is SFP,Loopback not set,promiscuous mode not set 1000Mb/s-speed mode, full-duplex mode, link type is auto negotiation The Vendor PN is F

23、TRJ1419P1BCL Transceiver max BW: 1G Transceiver Mode: SingleMode WaveLengh: 1310nm Transmission Distance: 52km Current SFP module temperature(-128c/128c): 41.93 c Current SFP module supply(0/6.55V): 3.29 VCurrent SFP module Tx bias(0/131mA): 23.26 mA Current SFP module Tx power(8.129dBm): 2.79 dBm C

24、urrent SFP module Rx power( e ?AS路径(AS_PATH)属性/8AS200AS400RTANLRI /8AS_PATH (400 300 200)NLRI /8AS_PATH (500 200)AS 100AS300AS500NLRI /8AS_PATH (500 200)预先规划AS_PATH/8AS 462AS 3872 Mbps64 kbps2 MbpsAS 123NLRI /8AS_PATH (123)NLRI /8AS_PATH (123 123 123)NLRI /8AS_PATH (462 123)2 Mbps/8RTARTBRTCRTD下一跳 (

25、Next Hop) 属性/8/8RTARTCRTBRTD/8AS100AS200IBGPIBGPEBGP RTB可经下一跳到达/8可经下一跳到达/8 RTA可经下一跳到达/8可经下一跳到达/8可经下一跳到达/8 RTC 可经下一跳到达/8可经下一跳到达/8本地优先级属性 (Local-Preference)RT1RT2ISP1RT4RT3/24/24RT5 Prefix/mask Local-Pref 100 200 Prefix/mask Local-Pref 200 100InternetISP2ISP0MED (Multi-Exit-DISC) 属性RT1RT2RT3AS200AS100

26、MED是可选非过渡属性区别到达同一邻居AS的多条入口链路(MED值越小，链路越优先)通过EBGP发送MED值给对等体 Prefix/mask MED 50 100 Prefix/mask MED 100 50不同AS比较MED属性在RTC上为何没有选择通往RTA的链路（MED值较小）作为主链路去往目标网段/16？/24/24/24/24RTCRTBRTAAS500AS600AS700/16E0E0MED10MED20团体 (Community) 属性（1/2）什么是团体属性团体是一组有相同性质的目的地址路由。目的就是将路由信息编组，通过组的标识决定路由传递的策略。团体属性属性类型：8可选，过渡

27、属性团体 (Community) 属性（2/2）团体属性是由一系列4字节(0 x000000000 xFFFFFFFF)数值所组成保留的团体属性：0 x000000000 x0000FFFF0 xFFFF00000 xFFFFFFFF公认团体属性：NO_EXPORT (0 xFFFFFF01) NO_ADVERTISE (0 xFFFFFF02) NO_EXPORT_SUBCONFED (0 xFFFFFF03) 私有团体属性：AS(2B):Number(2B)BGP路径选择过程如果此路由的下一跳不可达，忽略此路由评估Preferred-Value值，数值高的优先Local-Preferenc

28、e值最高的路由优先聚合路由优先于非聚合路由评估AS路径的长度，最短的路径优先比较Origin属性，IGP优于EGP，EGP优于 plete选择MED较小的路由BGP路径选择过程 （续）EBGP路由优于IBGP路由BGP优先选择到BGP下一跳的IGP度量最低的路径当以上全部相同，则为等价路由，可以负载分担注：AS_PATH必须一致当负载分担时，以下3条原则无效比较Cluster-List长度，短者优先比较Originator_ID (如果没有Originator_ID，则用Router ID比较)，选择数值较小的路径比较对等体的IP地址，选择IP地址数值最小的路径策略路由原理策略路由是在路由表已

29、经产生的情况下，不按照现有的路由表进行转发，而是根据用户制定的策略进行路由选择的机制。策略路由并没有替代路由表机制，而是优先于路由表生效，为某些特殊业务指定转发方向。策略路由可以用于多出口场景进行基于用户的选路基于协议、应用的选路策略路由支持的匹配过程匹配条件：源安全区域、入接口、IP地址服务类型、应用类型、用户匹配后动作：策略路由发送报文到指定下一跳发送报文到指定出口不做策略路由策略路由规则的匹配过程ISP选路基本原理ISP选路功能的实现原理是：生成ISP对应的IP地址文件，并上传到防火墙上通过指定IP地址文件的下一跳，批量生成静态路由用户的访问流量按照该静态路由，被分别转发到对应运营商网络

30、。设备出厂时默认支持如下ISP的IP文件：china-mobile：中国移动 ：中国电信china-educationnet：中国教育网 ：中国联通目录防火墙接口互联技术防火墙接口互联技术2.1 原理：防火墙路由基本原理2.2 命令：路由协议配置2.3 案例：三层组网典型配置2.4 排障：防火墙路由故障排除命令配置多出口：主备模式步骤配置项配置命令1、配置负载分担模式load-balance multi-interface standby2、配置主接口interface GigabitEthernet1/0/1 ip address standby interface GigabitEther

31、net1/0/7 255 3、配置从接口interface GigabitEthernet1/0/7 ip address 4、配置路由ip route-static 0 ip route-static 0 5、验证配置display standby stateWEB配置多出口：主备模式选择“网络 多出口”，按如下参数配置（命令见备注）配置多出口：均衡式负载分担配置拓扑步骤配置项配置命令1、配置接口interface GigabitEthernet1/0/1 ip address route weight 50 interface GigabitEthernet1/0/7 ip address

32、 route weight 503、配置负载分担方式load-balance multi-interface packet4、配置路由ip route-static 0 ip route-static 0 WEB配置多出口：均衡式负载分担选择“网络 多出口”，按如下参数配置命令配置多出口：溢出式负载分担步骤配置项配置命令1、配置主用接口interface GigabitEthernet1/0/1 ip address standby interface GigabitEthernet1/0/2 standby threshold 80 302、配置分担接口interface GigabitEt

33、hernet1/0/2 ip address 3、配置负载分担方式load-balance multi-interface packet4、配置路由ip route-static 0 ip route-static 0 5、验证配置display standby state配置OSPF基本功能步骤配置项配置命令1、配置router id系统视图下router id 或ospf 1 router-id 2、配置区域及宣告网络ospf 1 area network 55 stub area stub no-summary3、配置接口类型及开销inter g1/0/1ospf network-typ

34、e p2pospf cost 204、通告默认路由强制通告默认路由default-route-advertise default-route-advertise always5、配置安全策略安全策略要放行OSPF协议配置OSPF高级功能步骤配置项本端配置对端配置1、配置vlink-peerospf 1 router-id area 2vlink-peer ospf 1 router-id area 2vlink-peer 2、配置ABR汇总ospf 100area 1network 55network 55abr-summary 3、配置ASBR汇总ospf 100asbr-summary a

35、sbr-summary not-advertiseasbr-summary tag 2 cost 1004、配置认证interface GigabitEthernet 1/0/1ospf authentication-mode md5 15 cipher huawei123interface GigabitEthernet 1/0/1ospf authentication-mode md5 15 cipher huawei123配置BGP基本功能步骤配置项本端配置对端配置1、配置IBGP对等体bgp 10 router-id peer as-number 10 peer connect-int

36、erface loopback 0bgp 10 router-id peer as-number 10 peer connect-interface loopback 02、配置EBGP对待体，配置认证bgp 10 router-id peer as-number 30 peer password simple huawei123bgp 30 router-id peer as-number 10 peer password simple huawei1233、宣告路由引入路由bgp 10 network import route ospf import route directbgp 30

37、network import route isis import route direct配置BGP高级功能步骤配置项本地配置对端配置1、配置BGP反射器bgp 10 router-id peer as-number 10 peer connect-interface bgp 10 router-id peer as-number 10 peer connect-interface loopback 0 peer as-number 10 peer connect-interface loopback 0 peer reflect-client peer reflect-client bgp

38、10 router-id peer as-number 10 peer connect-interface 2、配置BGP路由过滤acl number 2000 rule 5 deny source 55 rule 10 permitbgp 10peer filter-policy 2000 import3、配置BGP属性bgp 10peer next-hop-localpeer route-policy change_as_path import配置策略路由步骤配置项配置命令基于用户基于应用基于源地址1、配置IPlinkip-link check enable ip-link 1 desti

39、nation mode icmp ip-link 2 destination mode icmp2、配置策略路由policy-based-route rule name pbr_1 description pbr_1 source-zone trust user /marketing user /president track ip-link 1 action pbr next-hop rule name pbr_2 source-zone trust user /research track ip-link 2 action pbr next-hop policy-based-route r

40、ule name pbr_1 source-zone trust application category Business_Systems track ip-link 1 action pbr egress-interface GigabitEthernet1/0/2 next-hop 202.168.10。1 rule name pbr_2 source-zone trust application category Entertainment track ip-link 2 action pbr egress-interface GigabitEthernet1/0/4 next-hop

41、 policy-based-route rule name pbr_1 source-zone trust source-address 24 track ip-link 1 action pbr next-hop rule name pbr_2 source-zone trust source-address 24 track ip-link 2 action pbr next-hop 配置ISP选路步骤配置项配置命令1、上传IP地址文件ftp get isp1.csvget isp2.csv2、配置IP地址文件的出接口isp set filename isp1.csv next-hop i

42、sp set filename isp2.csv next-hop 3、启用导入的IP地址文件isp enable filename isp1.csvisp enable filename isp2.csv4、检查配置display ip route目录防火墙接口互联技术防火墙接口互联技术2.1 原理：防火墙路由基本原理2.2 命令：路由协议配置2.3 案例：三层组网典型配置2.4 排障：防火墙路由故障排除OSPF互联配置示例组网拓扑如右图所示某企业在内部网络部署了USG来连接研发部门、市场部门和财务部门。同时在网络边界处部署了USG作为安全网关，并从运营商处购买了宽带上网服务，实现内部网络接

43、入Internet的需求。配置思路配置接口IP、并添加接口到相应的安全区域配置OSPF路由协议USG互联的网段为区域0财务部门和USGB相连网段为区域1研发部门和USGC相连网段为区域2（完全STUB区域）市场部门和USGD相连网段为区域3USGA下发默认路由，为DR路由器，USGD为BDR路由器各USG上配置安全策略，允许OSPF协议及其它相应流量在USGA上配置NAT策略实现源地址转换功能配置USGA# sysname USG_A # interface GigabitEthernet1/0/1 ip address # interface GigabitEthernet1/0/3 ip

44、address ospf dr-priority 100# firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # ospf 1 router-id import-route static cost 1 type 2 area network 55 # ip route-static GigabitEthernet1/0/1 54 # # nat addres

45、s-group address_1 section 0 0 0 # security-policy rule name policy_sec_1 source-zone local source-zone untrust destination-zone local destination-zone untrust action permit rule name policy_sec_2 source-zone trust destination-zone untrust source-address 24 source-address 24 source-address 24 action

46、permit # nat-policy rule name policy_nat_1 source-zone trust destination-zone untrust source-address 24 source-address 24 source-address 24 action nat address-group address_1 配置USGB# sysname USG_B # interface GigabitEthernet1/0/1 ip address # interface GigabitEthernet1/0/3 ip address # firewall zone

47、 trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # ospf 1 router-id area network 55 area network 55# # security-policy rule name policy_sec_1 source-zone local source-zone trust destination-zone local destination-zone

48、 trust action permit rule name policy_sec_2 source-zone local source-zone untrust destination-zone local destination-zone untrust action permit rule name policy_sec_3 source-zone trust destination-zone untrust source-address 24 action permit 配置USGC# sysname USG_C # interface GigabitEthernet1/0/1 ip

49、address # interface GigabitEthernet1/0/3 ip address # firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # ospf 1 router-id area network 55 area network 55 stub no-summary# security-policy rule name policy_

50、sec_1 source-zone local source-zone trust destination-zone local destination-zone trust action permit rule name policy_sec_2 source-zone local source-zone untrust destination-zone local destination-zone untrust action permit rule name policy_sec_3 source-zone trust destination-zone untrust source-ad

51、dress 24 action permit 配置USGD# sysname USG_D # interface GigabitEthernet1/0/1 ip address # interface GigabitEthernet1/0/3 ip address ospf dr-priority 2# firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 #

52、ospf 1 router-id area network 55 area network 55# # security-policy rule name policy_sec_1 source-zone local source-zone trust destination-zone local destination-zone trust action permit rule name policy_sec_2 source-zone local source-zone untrust destination-zone local destination-zone untrust acti

53、on permit rule name policy_sec_3 source-zone trust destination-zone untrust source-address 24 action permit # BGP互联配置示例实验需求：USG_A为企业的防火墙兼出口网关。USG_A通过运营商网络连接到Internet。USG_A、USG_B和USG_C之间运行IBGP协议。企业内部网络地址通过USG_B和USG_C进行发布。配置USGA#interface GigabitEthernet1/0/1 ip address #interface GigabitEthernet1/0/2

54、 ip address #interface GigabitEthernet1/0/3 ip address #firewall zone trust set priority 85 add interface GigabitEthernet1/0/2 add interface GigabitEthernet1/0/3#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1#bgp 10 router-id peer as-number 20 peer as-number 10 peer as-numbe

55、r 10 # ipv4-family unicast undo synchronization peer enable peer enable peer enable #security-policy rule name policy_sec_1 source-zone trust destination-zone untrust action permit rule name policy_sec_2 source-zone local source-zone untrust destination-zone local destination-zone untrust action per

56、mit配置USGB#interface GigabitEthernet1/0/1 ip address #interface GigabitEthernet1/0/2 ip address #interface GigabitEthernet1/0/3 ip address #firewall zone trust set priority 85 add interface GigabitEthernet1/0/2 add interface GigabitEthernet1/0/3#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1#bgp 10 router-id peer as-number 10 peer as-number 10 #