第一步：配置链路上的域

配置管理地址，把g1/0/1放进管理段

security-zone name Management

import inte c GigabitEthernet 1/0/1

security-zone name trust

import inte c GigabitEthernet 1/0/2

security-zone name untrust

import inte c GigabitEthernet 1/0/3

第二步：配置各个接口的互联ip（公司路由、外网路由、防火墙）

防火墙

Int g 1/0/2

Ip address 192.168.20.1

Int g1/0/3

Ip address 200.20.20.1

公司路由配置

Int g0/0

Ip address 192.168.20.2 24

外网拨号

Int g0/0

Ip address 200.20.20.2 24

以上为配置好链路连接

常用查看命令

dis ip routing-table protocol static（查看路由策略）

packet-filter （访问控制）

第三步：配置路由策略

在外网路由设置一条到192.168.20.0段回程路由

ip route-static 192.168.20.0 24 200.20.20.1

在公司路由设置一条到200.20.20.0 段的回程路由

ip route-static 200.20.20.0 24 192.168.20.1

第四步：配置安全策略

在防火墙放通trust 到 untrust 的流量

创建acl advance 3000

acl advanced 3000

rule 10 permit ip source any

zone-pair security source trust destination untrust

packet-filter 3000

注意：当在实际项目中acl 尽量不要配置ip source any

应该细化配置如：acl advance 3020

rule 10 permit ip source 192.168.20.0 0.0.0.255 destination 200.20.20.0 0.0.0.255

尽量细化源到目的的ip

从公司路由ping wwly 的200.20.20.2通了

配置公司路由到local 和local到公司路由

zone-pair security source trust destination local

packet-filter 3000

zone-pair security source local destination trust

packet-filter 3000

目前local防火墙本身可以ping通trust区域的192.168.20.2

放开防火墙local到untrust的流量再ping 200.20.20.2

zone-pair security source local destination untrust

packet-filter 3000

注意：一般不会放开untrust到local的流量，要不就危险的，要确保untrust无法直接访问公司路由和防火墙本身。

第五步：配置电脑终端接入的路由策略及防火墙的nat

在公司路由创建vlan 20 192.168.30.254 作为核心

电脑配置192.168.30.20，同时把路由g 0/1口配置成access vlan20

inte ce GigabitEthernet0/1

port link-mode bridge

port access vlan 20

防火墙再添加一条回程路由

Ip route-static 192.168.30.0 24 192.168.20.2

在防火墙到外网出口int 1/0/3 配置nat 转换，应用acl 3000， 接着电脑可以通外网

Int g1/0/3

nat outbound 3000

完成以上配置可以使内网可以到外网，但外网不能进入内网