客户的路由器与交换机配置了链路聚合，通过三条网线互联，网关和DHCP服务都在路由器。

最近新增了一台锐捷Z3200-S防火墙，串接在路由器与内网核心交换机之间，部署为透明模式。

创建聚合端口agg1，接口成员GE1-3，区域Untrust，连接路由器；

创建聚合端口agg2，接口成员GE4-6，区域Trust，连接核心交换机。

桥接口包含agg1和agg2，IP地址192.168.168.2，掩码24位，网关192.168.168.1（路由器agg接口地址）。这个IP地址用于防火墙访问外网升级特征库，同时内网也可通过这个IP对防火墙进行管理。

安全策略allow-all（any-any）的动作改成拒绝，仅放通Trust-Untrust。

网络工程师