首页 人人文库网 > 专业文献 > 医学资料 > 01-21 交换机与防火墙对接上网配置.pdf

01-21 交换机与防火墙对接上网配置.pdf

收藏

预览图
编号:63113694    类型:共享资源    大小:559.05KB    格式:PDF    上传时间:2020-03-26 上传人:努**** IP属地:江西
12
积分
举报
举报 版权申诉
版权申诉 word格式文档无特别注明外均可编辑修改;预览文档经过压缩,下载后原文更清晰!
关 键 词:
01-21 交换机与防火墙对接上网配置 01 21 交换机 防火墙 对接 上网 配置
资源描述:
21 交换机与防火墙对接上网配置交换机与防火墙对接上网配置 关于本章关于本章 21 1 二层交换机与防火墙对接上网配置示例 21 2 三层交换机与防火墙对接上网配置示例 21 1 二层交换机与防火墙对接上网配置示例二层交换机与防火墙对接上网配置示例 二层交换机简介二层交换机简介 二层交换机指的是仅能够进行二层转发 不能进行三层转发的交换机 也就是说仅支 持二层特性 不支持路由等三层特性的交换机 二层交换机一般部署在接入层 不能作为用户的网关 配置注意事项配置注意事项 本举例中的交换机配置适用于S系列交换机所有产品的所有版本 本举例中的防火墙配置以USG6650 V500R001C60为例 其他防火墙的配置方法请参见 对应的文档指南 组网需求组网需求 如图图21 1所示 某公司拥有多个部门且位于不同网段 各部门均有访问Internet的需 求 现要求用户通过二层交换机和防火墙访问外部网络 且要求防火墙作为用户的网 关 S1720 S2700 S3700 S5700 S6700 S7700 S7900 S 9700 系列交换机 典型配置案例21 交换机与防火墙对接上网配置 文档版本 20 2017 11 20 华为专有和保密信息 版权所有 华为技术有限公司 1909 图图 21 1 二层交换机与防火墙对接上网组网图 IP 192 168 1 2 24 PC1PC2 IP 192 168 2 2 24 GE0 0 1 公网IP 200 0 0 1 24 Internet IP 200 0 0 2 24 GE1 0 2 防火墙 作为用户PC的网关 Switch GE0 0 3GE0 0 2 GE1 0 1 VLAN 2VLAN 3 S1720 S2700 S3700 S5700 S6700 S7700 S7900 S 9700 系列交换机 典型配置案例21 交换机与防火墙对接上网配置 文档版本 20 2017 11 20 华为专有和保密信息 版权所有 华为技术有限公司 1910 配置思路配置思路 采用如下思路进行配置 1 配置交换机基于接口划分VLAN 实现二层转发 2 配置防火墙作为用户的网关 通过子接口或VLANIF接口实现跨网段的三层转发 3 配置防火墙作为DHCP服务器 为用户PC分配IP地址 4 开启防火墙域间安全策略 使不同域的报文可以相互转发 5 配置防火墙PAT功能 使内网用户可以访问外部网络 操作步骤操作步骤 步骤步骤1 配置交换机 配置下行连接用户的接口 system viewsystem view HUAWEI sysname Switchsysname Switch Switch vlan batch 2 3vlan batch 2 3 Switch interface gigabitethernet 0 0 2interface gigabitethernet 0 0 2 Switch GigabitEthernet0 0 2 port link type accessport link type access 配置接口接入类型为access Switch GigabitEthernet0 0 2 port default vlan 2port default vlan 2 配置接口加入VLAN 2 Switch GigabitEthernet0 0 2 quitquit Switch interface gigabitethernet 0 0 3interface gigabitethernet 0 0 3 Switch GigabitEthernet0 0 3 port link type accessport link type access Switch GigabitEthernet0 0 3 port default vlan 3port default vlan 3 Switch GigabitEthernet0 0 3 quitquit 配置上行连接防火墙的接口 Switch interface gigabitethernet 0 0 1interface gigabitethernet 0 0 1 Switch GigabitEthernet0 0 1 port link type trunkport link type trunk Switch GigabitEthernet0 0 1 port trunk allow pass vlan 2 3port trunk allow pass vlan 2 3 配置接口以trunk方式透传VLAN 2和 VLAN 3 Switch GigabitEthernet0 0 1 quitquit 步骤步骤2 配置防火墙 防火墙的配置有两种方式 配置子接口或者配置VLANIF接口 两种方式选择其一即 可 l配置防火墙通过子接口终结VLAN 实现跨网段的三层转发 配置终结子接口 system viewsystem view USG6600 interface gigabitethernet 1 0 1 1interface gigabitethernet 1 0 1 1 USG6600 GigabitEthernet1 0 1 1 vlan type dot1q 2vlan type dot1q 2 USG6600 GigabitEthernet1 0 1 1 ip address 192 168 1 1 24ip address 192 168 1 1 24 USG6600 GigabitEthernet1 0 1 1 quitquit USG6600 interface gigabitethernet 1 0 1 2interface gigabitethernet 1 0 1 2 USG6600 GigabitEthernet1 0 1 2 vlan type dot1q 3vlan type dot1q 3 USG6600 GigabitEthernet1 0 1 2 ip address 192 168 2 1 24ip address 192 168 2 1 24 USG6600 GigabitEthernet1 0 1 2 quitquit 配置DHCP功能 为内网用户分配IP地址并指定DNS服务器地址 USG6600 dhcp enabledhcp enable USG6600 interface gigabitethernet 1 0 1 1interface gigabitethernet 1 0 1 1 USG6600 GigabitEthernet1 0 1 1 dhcp select interfacedhcp select interface 开启接口采用接口地址池的DHCP Server功能 USG6600 GigabitEthernet1 0 1 1 dhcp server dns list 114 114 114 114 223 5 5 5dhcp server dns list 114 114 114 114 223 5 5 5 配置的 DNS List 114 114 114 114是公用的DNS服务器地址 是不区分运营商的 在实际应用中 请根据运 营商分配的DNS进行配置 USG6600 GigabitEthernet1 0 1 1 quitquit USG6600 interface gigabitethernet 1 0 1 2interface gigabitethernet 1 0 1 2 S1720 S2700 S3700 S5700 S6700 S7700 S7900 S 9700 系列交换机 典型配置案例21 交换机与防火墙对接上网配置 文档版本 20 2017 11 20 华为专有和保密信息 版权所有 华为技术有限公司 1911 USG6600 GigabitEthernet1 0 1 2 dhcp select interfacedhcp select interface USG6600 GigabitEthernet1 0 1 2 dhcp server dns list 114 114 114 114 223 5 5 5dhcp server dns list 114 114 114 114 223 5 5 5 USG6600 GigabitEthernet1 0 1 2 quitquit 配置公网接口的IP地址和静态路由 USG6600 interface gigabitethernet 1 0 2interface gigabitethernet 1 0 2 USG6600 GigabitEthernet1 0 2 ip address 200 0 0 2 255 255 255 0ip address 200 0 0 2 255 255 255 0 配置连接公网的接口 GE0 0 2的IP地址200 0 0 2 USG6600 GigabitEthernet1 0 2 quitquit USG6600 ip route static 0 0 0 0 0 0 0 0 200 0 0 1ip route static 0 0 0 0 0 0 0 0 200 0 0 1 配置静态缺省路由的下一跳指向公网提供 的IP地址200 0 0 1 配置安全区域 USG6600 firewall zone trustfirewall zone trust 配置trust域 USG6600 zone trust add interface gigabitethernet 1 0 1add interface gigabitethernet 1 0 1 USG6600 zone trust add interface gigabitethernet 1 0 1 1add interface gigabitethernet 1 0 1 1 USG6600 zone trust add interface gigabitethernet 1 0 1 2add interface gigabitethernet 1 0 1 2 USG6600 zone trust quitquit USG6600 firewall zone untrustfirewall zone untrust 配置untrust域 USG6600 zone untrust add interface gigabitethernet 1 0 2add interface gigabitethernet 1 0 2 USG6600 zone untrust quitquit 配置安全策略 允许域间互访 USG6600 security policysecurity policy USG6600 policy security rule name policy1rule name policy1 USG6600 policy security rule policy1 source zone trustsource zone trust USG6600 policy security rule policy1 destination zone untrustdestination zone untrust USG6600 policy security rule policy1 source address 192 168 0 0 mask 255 255 0 0source address 192 168 0 0 mask 255 255 0 0 USG6600 policy security rule policy1 action permitaction permit USG6600 policy security rule policy1 quitquit USG6600 policy security quitquit 配置PAT地址池 开启允许端口地址转换 USG6600 nat address group addressgroup1nat address group addressgroup1 USG6600 address group addressgroup1 mode patmode pat USG6600 address group addressgroup1 route enableroute enable USG6600 address group addressgroup1 section 0 200 0 0 2 200 0 0 2 section 0 200 0 0 2 200 0 0 2 转换的公网IP地址 USG6600 address group addressgroup1 quitquit 配置源PAT策略 实现私网指定网段访问公网时自动进行源地址转换 USG6600 nat policynat policy USG6600 policy nat rule name policy nat1rule name policy nat1 USG6600 policy nat rule policy nat1 source zone trustsource zone trust USG6600 policy nat rule policy nat1 destination zone untrustdestination zone untrust USG6600 policy nat rule policy nat1 source address 192 168 0 0 mask 255 255 0 0source address 192 168 0 0 mask 255 255 0 0 允许进 行PAT转换的源IP地址 USG6600 policy nat rule policy nat1 action nat address group addressgroup1action nat address group addressgroup1 USG6600 policy nat rule policy nat1 quitquit USG6600 policy nat quitquit USG6600 quitquit l配置防火墙通过配置VLANIF接口 实现跨网段的三层转发 配置VLANIF接口 system viewsystem view USG6600 vlan batch 2 3vlan batch 2 3 USG6600 interface gigabitethernet 1 0 1interface gigabitethernet 1 0 1 USG6600 GigabitEthernet1 0 1 portswitchportswitch 将以太网接口从三层模式切换到二层模式 如果接口 已经是二层模式 跳过该步骤 USG6600 GigabitEthernet1 0 1 port link type hybridport link type hybrid USG6600 GigabitEthernet1 0 1 port hybrid tagged vlan 2 to 3port hybrid tagged vlan 2 to 3 USG6600 GigabitEthernet1 0 1 quitquit USG6600 interface vlanif 2interface vlanif 2 USG6600 Vlanif2 ip address 192 168 1 1 24ip address 192 168 1 1 24 配置VLANIF2的IP地址作为PC1的网关 USG6600 Vlanif2 quitquit USG6600 interface vlanif 3interface vlanif 3 USG6600 Vlanif3 ip address 192 168 2 1 24ip address 192 168 2 1 24 配置VLANIF3的IP地址作为PC2的网关 USG6600 Vlanif3 quitquit 配置DHCP功能 S1720 S2700 S3700 S5700 S6700 S7700 S7900 S 9700 系列交换机 典型配置案例21 交换机与防火墙对接上网配置 文档版本 20 2017 11 20 华为专有和保密信息 版权所有 华为技术有限公司 1912 USG6600 dhcp enabledhcp enable USG6600 interface vlanif 2interface vlanif 2 USG6600 Vlanif2 dhcp select interfacedhcp select interface USG6600 Vlanif2 dhcp server dns list 114 114 114 114 223 5 5 5dhcp server dns list 114 114 114 114 223 5 5 5 配置的DNS List 114 114 114 114是公用的DNS服务器地址 是不区分运营商的 在实际应用中 请根据运营商分配的 DNS进行配置 USG6600 Vlanif2 quitquit USG6600 interface vlanif 3interface vlanif 3 USG6600 Vlanif3 dhcp select interfacedhcp select interface USG6600 Vlanif3 dhcp server dns list 114 114 114 114 223 5 5 5dhcp server dns list 114 114 114 114 223 5 5 5 USG6600 Vlanif3 quitquit 配置公网接口的IP地址和静态路由 USG6600 interface gigabitethernet 1 0 2interface gigabitethernet 1 0 2 USG6600 GigabitEthernet1 0 2 ip address 200 0 0 2 255 255 255 0ip address 200 0 0 2 255 255 255 0 USG6600 GigabitEthernet1 0 2 quitquit USG6600 ip route static 0 0 0 0 0 0 0 0 200 0 0 1ip route static 0 0 0 0 0 0 0 0 200 0 0 1 配置静态缺省路由的下一跳指向公网提供 的IP地址200 0 0 1 配置安全区域 USG6600 firewall zone trustfirewall zone trust USG6600 zone trust add interface gigabitethernet 1 0 1add interface gigabitethernet 1 0 1 USG6600 zone trust add interface vlanif 2add interface vlanif 2 USG6600 zone trust add interface vlanif 3add interface vlanif 3 USG6600 zone trust quitquit USG6600 firewall zone untrustfirewall zone untrust USG6600 zone untrust add interface gigabitethernet 1 0 2add interface gigabitethernet 1 0 2 USG6600 zone untrust quitquit 配置安全策略 允许域间互访 USG6600 security policysecurity policy USG6600 policy security rule name policy1rule name policy1 USG6600 policy security rule policy1 source zone trustsource zone trust USG6600 policy security rule policy1 destination zone untrustdestination zone untrust USG6600 policy security rule policy1 source address 192 168 0 0 mask 255 255 0 0source address 192 168 0 0 mask 255 255 0 0 USG6600 policy security rule policy1 action permitaction permit USG6600 policy security rule policy1 quitquit USG6600 policy security quitquit 配置PAT地址池 开启允许端口地址转换 USG6600 nat address group addressgroup1nat address group addressgroup1 USG6600 address group addressgroup1 mode patmode pat USG6600 address group addressgroup1 route enableroute enable USG6600 address group addressgroup1 section 0 200 0 0 2 200 0 0 2 section 0 200 0 0 2 200 0 0 2 转换的公网IP地址 USG6600 address group addressgroup1 quitquit 配置源PAT策略 实现私网指定网段访问公网时自动进行源地址转换 USG6600 nat policynat policy USG6600 policy nat rule name policy nat1rule name policy nat1 USG6600 policy nat rule policy nat1 source zone trustsource zone trust USG6600 policy nat rule policy nat1 destination zone untrustdestination zone untrust USG6600 policy nat rule policy nat1 source address 192 168 0 0 mask 255 255 0 0source address 192 168 0 0 mask 255 255 0 0 允许进 行PAT转换的源IP地址 USG6600 policy nat rule policy nat1 action nat address group addressgroup1action nat address group addressgroup1 USG6600 policy nat rule policy nat1 quitquit USG6600 policy nat quitquit USG6600 quitquit 步骤步骤3 检查配置结果 配置PC1的IP地址为192 168 1 2 24 网关为192 168 1 1 PC2的IP地址为 192 168 2 2 24 网关为192 168 2 1 配置外网PC的IP地址为200 0 0 1 24 网关为200 0 0 2 配置完成后 PC1和PC2都可以Ping通外网的IP 200 0 0 1 24 PC1和PC2都可以访问 Internet 结束结束 S1720 S2700 S3700 S5700 S6700 S7700 S7900 S 9700 系列交换机 典型配置案例 21 交换机与防火墙对接上网配置 文档版本 20 2017 11 20 华为专有和保密信息 版权所有 华为技术有限公司 1913 配置文件配置文件 lSwitch的配置文件 sysname Switch vlan batch 2 to 3 interface GigabitEthernet0 0 1 port link type trunk port trunk allow pass vlan 2 to 3 interface GigabitEthernet0 0 2 port link type access port default vlan 2 interface GigabitEthernet0 0 3 port link type access port default vlan 3 return lUSG的配置文件 防火墙通过子接口进行三层转发的配置文件 interface GigabitEthernet1 0 1 interface GigabitEthernet1 0 1 1 vlan type dot1q 2 ip address 192 168 1 1 255 255 255 0 dhcp select interface dhcp server dns list 114 114 114 114 223 5 5 5 interface GigabitEthernet1 0 1 2 vlan type dot1q 3 ip address 192 168 2 1 255 255 255 0 dhcp select interface dhcp server dns list 114 114 114 114 223 5 5 5 interface GigabitEthernet1 0 2 ip address 200 0 0 2 255 255 255 0 firewall zone trust set priority 85 add interface GigabitEthernet1 0 1 add interface GigabitEthernet1 0 1 1 add interface GigabitEthernet1 0 1 2 firewall zone untrust set priority 5 add interface GigabitEthernet1 0 2 ip route static 0 0 0 0 0 0 0 0 200 0 0 1 nat address group addressgroup1 0 mode pat route enable section 0 200 0 0 2 200 0 0 2 security policy rule name policy1 source zone trust destination zone untrust source address 192 168 0 0 mask 255 255 0 0 action permit nat policy rule name policy nat1 source zone trust destination zone untrust source address 192 168 0 0 mask 255 255 0 0 S1720 S2700 S3700 S5700 S6700 S7700 S7900 S 9700 系列交换机 典型配置案例 21 交换机与防火墙对接上网配置 文档版本 20 2017 11 20 华为专有和保密信息 版权所有 华为技术有限公司 1914 action nat address group addressgroup1 return lUSG的配置文件 防火墙通过VLANIF接口进行三层转发的配置文件 vlan batch 2 to 3 interface Vlanif2 ip address 192 168 1 1 255 255 255 0 dhcp server dns list 114 114 114 114 223 5 5 5 interface Vlanif3 ip address 192 168 2 1 255 255 255 0 dhcp select interface dhcp server dns list 114 114 114 114 223 5 5 5 interface GigabitEthernet1 0 1 portswitch port hybrid tagged vlan 2 to 3 interface GigabitEthernet1 0 2 ip address 200 0 0 2 255 255 255 0 firewall zone trust set priority 85 add interface GigabitEthernet1 0 1 add interface Vlanif2 add interface Vlanif3 firewall zone untrust set priority 5 add interface GigabitEthernet1 0 2 ip route static 0 0 0 0 0 0 0 0 200 0 0 1 nat address group addressgroup1 0 mode pat route enable section 0 200 0 0 2 200 0 0 2 security policy rule name policy1 source zone trust destination zone untrust source address 192 168 0 0 mask 255 255 0 0 action permit nat policy rule name policy nat1 source zone trust destination zone untrust source address 192 168 0 0 mask 255 255 0 0 action nat address group addressgroup1 return 相关信息相关信息 视频视频 S系列交换机二层交换机与防火墙对接上网系列交换机二层交换机与防火墙对接上网 S1720 S2700 S3700 S5700 S6700 S7700 S7900 S 9700 系列交换机 典型配置案例 21 交换机与防火墙对接上网配置 文档版本 20 2017 11 20 华为专有和保密信息 版权所有 华为技术有限公司 1915 21 2 三层交换机与防火墙对接上网配置示例三层交换机与防火墙对接上网配置示例 三层交换机简介三层交换机简介 三层交换机是具有路由功能的交换机 由于路由属于OSI模型中第三层网络层的功能 所以称为三层交换机 三层交换机既可以工作在二层也可以工作在三层 可以部署在接入层 也可以部署在 汇聚层 作为用户的网关 配置注意事项配置注意事项 l本举例中的防火墙配置以USG6650 V500R001C60为例 其他防火墙的配置方法请 参见对应的文档指南 l本举例中的交换机作为DHCP服务器适用的产品和版本如下表所示 表表 21 1 举例适用的产品和版本 系列系列产品产品支持版本支持版本 S1700S1720GFRV200R006C10 V200R009C00 V200R010C00 V200R011C00 V200R011C10 S1720GW E S1720GWR E V200R010C00 V200R011C00 V200R011C10 S1720X EV200R011C00 V200R011C10 S2700S2720EIV200R009C00 V200R010C00 V200R011C10 S2750EIV200R005C00SPC300 V200R006C00 V200R007C00 V200R008C00 V200R009C00 V200R010C00 V200R011C00 V200R011C10 S3700S3700SI S3700EI V100R006C05 S3700HIV200R001C00 S5700S5700LIV200R005C00SPC300 V200R006C00 V200R007C00 V200R008C00 V200R009C00 V200R010C00 V200R011C00 V200R011C10 S5700S LIV200R005C00SPC300 V200R006C00 V200R007C00 V200R008C00 V200R009C00 V200R010C00 V200R011C00 V200R011C10 S5700SIV200R001C00 V200R002C00 V200R003C00 V200R005C00 S5700EIV200R001 C00 C01 V200R002C00 V200R003C00 V200R005 C00 C01 C02 C03 S1720 S2700 S3700 S5700 S6700 S7700 S7900 S 9700 系列交换机 典型配置案例 21 交换机与防火墙对接上网配置 文档版本 20 2017 11 20 华为专有和保密信息 版权所有 华为技术有限公司 1916 系列系列产品产品支持版本支持版本 S5700HIV200R001 C00 C01 V200R002C00 V200R003C00 V200R005 C00SPC500 C01 C02 S5710 X LIV200R008C00 V200R009C00 V200R010C00 V200R011C00 V200R011C10 S5710EIV200R001C00 V200R002C00 V200R003C00 V200R005 C00 C02 S5710HIV200R003C00 V200R005 C00 C02 C03 S5720LI S5720S LI V200R010C00 V200R011C00 V200R011C10 S5720SI S5720S SI V200R008C00 V200R009C00 V200R010C00 V200R011C00 V200R011C10 S5720EIV200R007C00 V200R008C00 V200R009C00 V200R010C00 V200R011C00 V200R011C10 S5720HIV200R006C00 V200R007 C00 C10 V200R008C00 V200R009C00 V200R010C00 V200R011C00 V200R011C10 S5730SIV200R011C10 S5730S EIV200R011C10 S6700S6700EIV200R001 C00 C01 V200R002C00 V200R003C00 V200R005 C00 C01 C02 S6720LI S6720S LI V200R011C00 V200R011C10 S6720SI S6720S SI V200R011C00 V200R011C10 S6720EIV200R008C00 V200R009C00 V200R010C00 V200R011C00 V200R011C10 S6720S EIV200R009C00 V200R010C00 V200R011C00 V200R011C10 S7700S7703 S7706 S7712 V200R001 C00 C01 V200R002C00 V200R003C00 V200R005C00 V200R006C00 V200R007C00 V200R008C00 V200R009C00 V200R010C00 V200R011C10 S7710V200R010C00 V200R011C10 S7900S7905 S7908 V200R011C10 S1720 S2700 S3700 S5700 S6700 S7700 S7900 S 9700 系列交换机 典型配置案例 21 交换机与防火墙对接上网配置 文档版本 20 2017 11 20 华为专有和保密信息 版权所有 华为技术有限公司 1917 系列系列产品产品支持版本支持版本 S9700S9703 S9706 S9712 V200R001 C00 C01 V200R002C00 V200R003C00 V200R005C00 V200R006C00 V200R007 C00 C10 V200R008C00 V200R009C00 V200R010C00 V200R011C10 组网需求组网需求 如图图21 2所示 某公司拥有多个部门且位于不同网段 各部门均有访问Internet的需 求 现要求用户通过三层交换机和防火墙访问外部网络 且要求三层交换机作为用户 的网关 S1720 S2700 S3700 S5700 S6700 S7700 S7900 S 9700 系列交换机 典型配置案例 21 交换机与防火墙对接上网配置 文档版本 20 2017 11 20 华为专有和保密信息 版权所有 华为技术有限公司 1918 图图 21 2 三层交换机与防火墙对接上网组网图 GE0 0 1 GE1 0 1 IP 192 168 100 1 24 IP 192 168 1 2 24 PC1PC2 IP 192 168 2 2 24 公网IP 200 0 0 1 24 Internet IP 200 0 0 2 24 GE1 0 2 防火墙 Switch 作为用户PCPC的网关 GE0 0 3GE0 0 2 VLAN 2 IP 192 168 1 1 24 VLAN 3 IP 192 168 2 1 24 VLANIF 100 IP 192 168 100 2 24 S1720 S2700 S3700 S5700 S6700 S7700 S7900 S 9700 系列交换机 典型配置案例 21 交换机与防火墙对接上网配置 文档版本 20 2017 11 20 华为专有和保密信息 版权所有 华为技术有限公司 1919 配置思路配置思路 采用如下思路进行配置 1 配置交换机作为用户的网关 通过VLANIF接口 实现跨网段用户互访 2 配置交换机作为DHCP服务器 为用户分配IP地址 3 开启防火墙域间安全策略 使不同域的报文可以相互转发 4 配置防火墙PAT转换功能 使用户可以访问外部网络 操作步骤操作步骤 步骤步骤1 配置交换机 配置连接用户的接口和对应的VLANIF接口 system viewsystem view HUAWEI sysname Switchsysname Switch Switch vlan batch 2 3vlan batch 2 3 Switch interface gigabitethernet 0 0 2interface gigabitethernet 0 0 2 Switch GigabitEthernet0 0 2 port link type accessport link type access 配置接口接入类型为access Switch GigabitEthernet0 0 2 port default vlan 2port default vlan 2 配置接口加入VLAN 2 Switch GigabitEthernet0 0 2 quitquit Switch interface gigabitethernet 0 0 3interface gigabitethernet 0 0 3 Switch GigabitEthernet0 0 3 port link type accessport link type access Switch GigabitEthernet0 0 3 port default vlan 3port default vlan 3 Switch GigabitEthernet0 0 3 quitquit Switch interface vlanif 2interface vlanif 2 Switch Vlanif2 ip address 192 168 1 1 24ip address 192 168 1 1 24 Switch Vlanif2 quitquit Switch interface vlanif 3interface vlanif 3 Switch Vlanif3 ip address 192 168 2 1 24ip address 192 168 2 1 24 Switch Vlanif3 quitquit 配置连接防火墙的接口和对应的VLANIF接口 Switch vlan batch 100vlan batch 100 Switch interface gigabitethernet 0 0 1interface gigabitethernet 0 0 1 Switch GigabitEthernet0 0 1 port link type accessport link type access Switch GigabitEthernet0 0 1 port default vlan 100port default vlan 100 Switch GigabitEthernet0 0 1 quitquit Switch interface vlanif 100interface vlanif 100 Switch Vlanif100 ip address 192 168 100 2 24ip address 192 168 100 2 24 Switch Vlanif100 quitquit 配置缺省路由 Switch ip route static 0 0 0 0 0 0 0 0 192 168 100 1ip route static 0 0 0 0 0 0 0 0 192 168 100 1 缺省路由的下一跳是防火墙接口的IP地址 192 168 100 1 配置DHCP服务器 Switch dhcp enabledhcp enable Switch interface vlanif 2interface vlanif 2 Switch Vlanif2 dhcp select interfacedhcp select interface DHCP使用接口地址池的方式为用户分配IP地址 Switch Vlanif2 dhcp server dns list 114 114 114 114 223 5 5 5dhcp server dns list 114 114 114 114 223 5 5 5 配置的DNS List 114 114 114 114是公用的DNS服务器地址 是不区分运营商的 在实际应用中 请根据运营商分配的DNS进行 配置 Switch Vlanif2 quitquit Switch interface vlanif 3interface vlanif 3 Switch Vlanif3 dhcp select interfacedhcp select interface Switch Vlanif3 dhcp server dns list 114 114 114 114 223 5 5 5dhcp server dns list 114 114 114 114 223 5 5 5 Switch Vlanif3 quitquit 步骤步骤2 配置防火墙 配置连接交换机的接口对应的IP地址 S1720 S2700 S3700 S5700 S6700 S7700 S7900 S 9700 系列交换机 典型配置案例 21 交换机与防火墙对接上网配置 文档版本 20 2017 11 20 华为专有和保密信息 版权所有 华为技术有限公司 1920 system viewsystem view USG6600 interface gigabitethernet 1 0 1interface gigabitethernet 1 0 1 USG6600 GigabitEthernet1 0 1 ip address 192 168 100 1 255 255 255 0ip address 192 168 100 1 255 255 255 0 USG6600 GigabitEthernet1 0 1 quitquit 配置连接公网的接口对应的IP地址 USG6600 interface gigabitethernet 1 0 2interface gigabitethernet 1 0 2 USG6600 GigabitEthernet1 0 2 ip address 200 0 0 2 255 255 255 0ip address 200 0 0 2 255 255 255 0 配置连接公网接口的IP地址和公 网的IP地址在同一网段 USG6600 GigabitEthernet1 0 2 quitquit 配置缺省路由和回程路由 USG6600 ip route static 0 0 0 0 0 0 0 0 200 0 0 1ip route static 0 0 0 0 0 0 0 0 200 0 0 1 配置静态缺省路由的下一跳指向公网提供的IP地 址200 0 0 1 USG6600 ip route static 192 168 0 0 255 255 0 0 192 168 100 2ip route static 192 168 0 0 255 255 0 0 192 168 100 2 配置回程路由的下一跳就指向交换 机上行接口的IP地址192 168 100 2 配置安全策略 USG6600 firewall zone trustfirewall zone trust 配置trust域 USG6600 zone trust add interface gigabitethernet 1 0 1add interface gigabitethernet 1 0 1 USG6600 zone trust quitquit USG6600 firewall zone untrustfirewall zone untrust 配置untrust域 USG6600 zone untrust add interface gigabitethernet 1 0 2add interface gigabitethernet 1 0 2 USG6600 zone untrust quitquit 配置安全策略 允许域间互访 USG6600 security policysecurity policy USG6600 policy security rule name policy1rule name policy1 USG6600 policy security rule policy1 source zone trustsource zone trust USG6600 policy security rule policy1 destination zone untrustdestination zone untrust USG6600 policy security rule policy1 source address 192 168 0 0 mask 255 255 0 0source address 192 168 0 0 mask 255 255 0 0 USG6600 policy securit
内容简介:
-
温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
提示  人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文
本文标题:01-21 交换机与防火墙对接上网配置.pdf
链接地址:https://www.renrendoc.com/p-63113694.html

官方联系方式

网站客服网站客服      侵权投诉侵权投诉
1:下载资料失败解决办法   
2:不支持迅雷下载,请使用浏览器下载   
3:不支持QQ浏览器下载,请用其他浏览器   
4:下载后的文档和图纸-无水印   
5:文档经过压缩,下载后原文更清晰   
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

网站客服QQ:2881952447     

copyright@ 2020-2024  renrendoc.com 人人文库版权所有   联系电话:400-852-1180

备案号:蜀ICP备2022000484号-2       经营许可证: 川B2-20220663       公网安备川公网安备: 51019002004831号

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知人人文库网,我们立即给予删除!