一、实验背景

客户购买 1 台 NGAF，连接内网和 DMZ 区域，DMZ 区域的服务器配置公网 IP，要求以混合模式部署，服务器通过网桥模式正常转发业务数据，内网通过防火墙路由模式上公网。

二、实验拓扑

三、实验配置

1.基础配置

1. VPC 配置命令

2. 接入层交换机（IOL_SW）配置命令

3. 核心 / 汇聚层交换机（vIOS_SW）配置命令

2. 下一代防火墙配置命令

1.基础配置

2. 创建安全区域

3.配置 e0/2 接口

4.配置 e0/1 接口

5.配置 e0/0 接口

注意！！此时 e0/0 变为二层接口，之前的管理 IP 会被清除，（二层是没有ip地址的！！）需回到命令行配置 vswitchif1 接口，定义了一个新的接口作为网桥的管理接口及新管理 IP，与公网区域及服务器区属于同一子网（vswitchif1 同时也作为路由模式的 untrust 区域接口，与 E0/1 接口成为路由模式的进 \ 出接口。）

进入全局配置模式，配置 e0/0 接口允许 HTTP 管理（通过浏览器访问图形化界面）

SG-6000# conf  
SG-6000(config)# interface e0/0  
SG-6000(config-if-eth0/0)# manage http  

查看接口状态，获取 e0/0 的 DHCP 自动分配 IP（作为初始管理 IP）。
SG-6000(config-if-eth0/0)# show interface 

6.路由模式，配置回程路由和缺省路由

7.配置NAT

8.配置策略

3. 公网访问服务器

1. 网桥模式

四、验证

1.内网是否能访问公网

2.测试公网是否能访问服务器

这是实验验证环节，通过两种方式测试防火墙混合模式部署后，公网（物理主机）到 DMZ 区域 Web 服务器的访问是否正常：

1. telnet 测试

   • 命令：telnet 192.168.142.135 80
   • 作用：用 Telnet 协议测试目标服务器（192.168.142.135）的 80 端口（HTTP 服务端口）是否可连通。若未提示 “连接失败”，说明防火墙允许公网到 DMZ 的 80 端口访问（网桥模式 + 安全策略生效）。

2. 浏览器访问测试

   • 操作：在浏览器输入 http://192.168.142.135
   • 作用：模拟真实用户访问 Web 服务。若弹出 “需要授权”（用户名 / 密码验证），说明服务器 HTTP 服务正常运行，且防火墙未阻断访问（安全策略、网桥模式配置成功 ）。策略默认是拒绝访问。