第一步先打开所有设备连接上设备后，给防火墙上做配置更改密码和G0/0/0接口ip地址的更改和自己换回IP一个网段，以便在浏览器上打开防火墙

先配置untrust区

先给R1配置

 再server2上配置

在接口列表里面给GE1/0/0接口配置IP，启动访问管理选ping

 在防火墙GE1/0/0接口上写一条静态路由

 配置trust区

先给交换机LSW1接口配置划分VLAN2和VLAN3

vlan2 g0/0/1接口

 vlan3 g0/0/2接口

 PC1上

 防火墙上

写一条到达10.1.3.0/24网段的路由

 最后用PC1ping防火墙的接口

接口聚合

交换机上

 做接口汇聚

 做两条vlan接口

 测试

区域内部已经互通

配置防火墙策略

trust 到 untrust

 给路由器r1上写一条缺省，作为回包路由

给交换机上写一条缺省

 PC1ping外网 

命中该条策略 

trust 到 dmz

给dmz区建立地址组

新建trust到dmz的策略

pc1去pingDMZ区的设备

命中这条策略

untrust 到指定dmz

 给其中以个dmz区建立地址

 新建untrust 到dmz的策略

 用untrust区设备测试能ping通dmz区10.1.10.2server3设备

 策略命中

 测试与10.1.11.2 发现失败。

原因是只做了与10.1.10.2的策略没有做和10.1.11.2的策略

 包括untrust也不能访问trust 只有放行才能通过

 最重要的是在做完实验后再每个设备尖括号（用户视图）状态输入save保存y确定。