华为三层交换机与防火墙对接配置上网示例

三层交换机与防火墙对接上网配置示例

组网图形

图1 三层交换机与防火墙对接上网组网图

  • 三层交换机简介
  • 配置注意事项
  • 组网需求
  • 配置思路
  • 操作步骤
  • 配置文件

三层交换机简介

三层交换机是具有路由功能的交换机,由于路由属于OSI模型中第三层网络层的功能,所以称为三层交换机。

三层交换机既可以工作在二层也可以工作在三层,可以部署在接入层,也可以部署在汇聚层,作为用户的网关。

配置注意事项
  • 本举例中的防火墙配置以USG6650 V500R001C60为例,其他防火墙的配置方法请参见对应的文档指南。

  • 本举例中的交换机作为DHCP服务器适用的产品和版本如下:
    • V200R009C00及后续版本的S2720-EI
    • V200R005C00SPC300及后续版本的S2750-EI、S5700-LI、S5700S-LI
    • S3700-SI、S3700-EI、S3700-HI
    • S5700-SI、S5700-EI、S5700-HI、S5710-X-LI、S5710-EI、S5710-HI、S5720-LI、S5720S-LI、S5720-SI、S5720S-SI、S5720I-SI、S5720-EI、S5720-HI、S5730-HI、S5730-SI、S5730S-EI、S5731-H、S5731-S、S5731S-S、S5731S-H、S5731-H-K、S5732-H、S5732-H-K、S2730S-S、S5735-L-I、S5735-L1、S300、S5735-L、S5735S-L1、S5735S-L、S5735S-L-M、S5735-S、S500、S5735S-S、S5735-S-I、S5735S-H、S5736-S
    • S6700-EI、S6720-LI、S6720S-LI、S6720-SI、S6720S-SI、S6735-S、S6720-EI、S6720S-EI、S6720-HI、S6730-H、S6730-S、S6730S-S、S6730S-H、S6730-H-K
    • S7703、S7706、S7712、S7710、S7703 PoE、S7706 PoE、S7905、S7908、S9703、S9706、S9712
  • 本举例中产品的默认适用版本请参见“案例适用的产品和版本说明”中的表1。

组网需求

如图1所示,某公司拥有多个部门且位于不同网段,各部门均有访问Internet的需求。现要求用户通过三层交换机和防火墙访问外部网络,且要求三层交换机作为用户的网关。

配置思路

采用如下思路进行配置:

  1. 配置交换机作为用户的网关,通过VLANIF接口,实现跨网段用户互访。

  2. 配置交换机作为DHCP服务器,为用户分配IP地址。

  3. 开启防火墙域间安全策略,使不同域的报文可以相互转发。

  4. 配置防火墙PAT转换功能,使用户可以访问外部网络。

操作步骤
  1. 配置交换机

    # 配置连接用户的接口和对应的VLANIF接口。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch
    [Switch] vlan batch 2 3
    [Switch] interface gigabitethernet 0/0/2
    [Switch-GigabitEthernet0/0/2] port link-type access   //配置接口接入类型为access
    [Switch-GigabitEthernet0/0/2] port default vlan 2   //配置接口加入VLAN 2
    [Switch-GigabitEthernet0/0/2] quit
    [Switch] interface gigabitethernet 0/0/3
    [Switch-GigabitEthernet0/0/3] port link-type access
    [Switch-GigabitEthernet0/0/3] port default vlan 3   
    [Switch-GigabitEthernet0/0/3] quit
    [Switch] interface vlanif 2
    [Switch-Vlanif2] ip address 192.168.1.1 24
    [Switch-Vlanif2] quit
    [Switch] interface vlanif 3
    [Switch-Vlanif3] ip address 192.168.2.1 24
    [Switch-Vlanif3] quit

    # 配置连接防火墙的接口和对应的VLANIF接口。

    [Switch] vlan batch 100
    [Switch] interface gigabitethernet 0/0/1
    [Switch-GigabitEthernet0/0/1] port link-type access
    [Switch-GigabitEthernet0/0/1] port default vlan 100   
    [Switch-GigabitEthernet0/0/1] quit
    [Switch] interface vlanif 100
    [Switch-Vlanif100] ip address 192.168.100.2 24
    [Switch-Vlanif100] quit

    # 配置缺省路由。

    [Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.1   //缺省路由的下一跳是防火墙接口的IP地址192.168.100.1

    # 配置DHCP服务器。

    [Switch] dhcp enable   
    [Switch] interface vlanif 2
    [Switch-Vlanif2] dhcp select interface   //DHCP使用接口地址池的方式为用户分配IP地址
    [Switch-Vlanif2] dhcp server dns-list 114.114.114.114 223.5.5.5   //配置的DNS-List 114.114.114.114是公用的DNS服务器地址,是不区分运营商的。在实际应用中,请根据运营商分配的DNS进行配置
    [Switch-Vlanif2] quit
    [Switch] interface vlanif 3
    [Switch-Vlanif3] dhcp select interface
    [Switch-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5
    [Switch-Vlanif3] quit
  2. 配置防火墙

    # 配置连接交换机的接口对应的IP地址。

    <USG6600> system-view
    [USG6600] interface gigabitethernet 1/0/1
    [USG6600-GigabitEthernet1/0/1] ip address 192.168.100.1 255.255.255.0   
    [USG6600-GigabitEthernet1/0/1] quit

    # 配置连接公网的接口对应的IP地址。

    [USG6600] interface gigabitethernet 1/0/2
    [USG6600-GigabitEthernet1/0/2] ip address 203.0.113.2 255.255.255.0   //配置连接公网接口的IP地址和公网的IP地址在同一网段
    [USG6600-GigabitEthernet1/0/2] quit

    # 配置缺省路由和回程路由。

    [USG6600] ip route-static 0.0.0.0 0.0.0.0 203.0.113.1   //配置静态缺省路由的下一跳指向公网提供的IP地址203.0.113.1
    [USG6600] ip route-static 192.168.0.0 255.255.0.0 192.168.100.2   //配置回程路由的下一跳就指向交换机上行接口的IP地址192.168.100.2

    # 配置安全策略。

    [USG6600] firewall zone trust   //配置trust域
    [USG6600-zone-trust] add interface gigabitethernet 1/0/1
    [USG6600-zone-trust] quit
    [USG6600] firewall zone untrust   //配置untrust域
    [USG6600-zone-untrust] add interface gigabitethernet 1/0/2
    [USG6600-zone-untrust] quit
    # 配置安全策略,允许域间互访。
    [USG6600] security-policy
    [USG6600-policy-security] rule name policy1
    [USG6600-policy-security-rule-policy1] source-zone trust
    [USG6600-policy-security-rule-policy1] destination-zone untrust
    [USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0
    [USG6600-policy-security-rule-policy1] action permit
    [USG6600-policy-security-rule-policy1] quit
    [USG6600-policy-security] quit
    # 配置PAT地址池,开启允许端口地址转换。
    [USG6600] nat address-group addressgroup1    
    [USG6600-address-group-addressgroup1] mode pat
    [USG6600-address-group-addressgroup1] route enable
    [USG6600-address-group-addressgroup1] section 0 203.0.113.2 203.0.113.2    //转换的公网IP地址
    [USG6600-address-group-addressgroup1] quit
    # 配置源PAT策略,实现私网指定网段访问公网时自动进行源地址转换。
    [USG6600] nat-policy    
    [USG6600-policy-nat] rule name policy_nat1
    [USG6600-policy-nat-rule-policy_nat1] source-zone trust
    [USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
    [USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0   //允许进行PAT转换的源IP地址
    [USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
    [USG6600-policy-nat-rule-policy_nat1] quit
    [USG6600-policy-nat] quit
    [USG6600] quit
  3. 检查配置结果

    配置PC1的IP地址为192.168.1.2/24,网关为192.168.1.1;PC2的IP地址为192.168.2.2/24,网关为192.168.2.1。

    配置外网PC的IP地址为203.0.113.1/24,网关为203.0.113.2。

    配置完成后,PC1和PC2都可以Ping通外网的IP 203.0.113.1/24,PC1和PC2都可以访问Internet。

配置文件
Switch的配置文件
#
sysname Switch
#
vlan batch 2 to 3 100
#
dhcp enable
#
interface Vlanif2ip address 192.168.1.1 255.255.255.0dhcp select interfacedhcp server dns-list 114.114.114.114 223.5.5.5
#
interface Vlanif3ip address 192.168.2.1 255.255.255.0dhcp select interfacedhcp server dns-list 114.114.114.114 223.5.5.5
#
interface Vlanif100ip address 192.168.100.2 255.255.255.0
#
interface GigabitEthernet0/0/1port link-type accessport default vlan 100
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 2
#
interface GigabitEthernet0/0/3port link-type accessport default vlan 3
#
ip route-static 0.0.0.0 0.0.0.0 192.168.100.1
#
return
USG的配置文件
#
interface GigabitEthernet1/0/1ip address 192.168.100.1 255.255.255.0
#
interface GigabitEthernet0/0/2ip address 203.0.113.2 255.255.255.0
#
firewall zone trustset priority 85add interface GigabitEthernet1/0/1
#
firewall zone untrustset priority 5add interface GigabitEthernet0/0/2
#ip route-static 0.0.0.0 0.0.0.0 203.0.113.1ip route-static 192.168.0.0 255.255.0.0 192.168.100.2
#
nat address-group addressgroup1 0 mode pat                                                                         route enable                                                                     section 0 203.0.113.2 203.0.113.2    
#
security-policy                                                                 rule name policy1                                                              source-zone trust                                                             destination-zone untrust                                                      source-address 192.168.0.0 mask 255.255.0.0                                   action permit   
#
nat-policy                                                                      rule name policy_nat1                                                          source-zone trust                                                             destination-zone untrust                                                      source-address 192.168.0.0 mask 255.255.0.0                                   action nat address-group addressgroup1                                 
#  
return

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/653287.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

mac安装mysql的8.0设置面板启动不了

1、前言 记得之前安装mysql5.7的时候&#xff0c;是可以直接从设置里面的mysql面板启动的&#xff0c;但是到了mysql8.0之后就启动不了了&#xff0c;这个问题不知道是版本问题还是我换了m系列芯片的mysql导致的&#xff0c;之前很多次都启动不了&#xff0c;这次搞了下&#x…

力扣20、有效的括号(简单)

1 题目描述 图1 题目描述 2 题目解读 给定的字符串只包含括号&#xff0c;判断这个字符串中的括号是否按照正确顺序出现&#xff0c;即这个字符串是否有效。 3 解法一&#xff1a;栈 C的STL中的stack&#xff0c;在解题时非常好用。 3.1 解题思路 使用栈stk&#xff0c;并枚举…

Windows 和 Anolis 通过 Docker 安装 Milvus 2.3.4

Windows 10 通过 Docker 安装 Milvus 2.3.4 一.Windows 安装 Docker二.Milvus 下载1.下载2.安装1.Windows 下安装&#xff08;指定好Docker文件目录&#xff09;2.Anolis下安装 三.数据库访问1.ATTU 客户端下载 一.Windows 安装 Docker Docker 下载 双击安装即可&#xff0c;安…

移动Web——平面转换-多重转换

1、平面转换-多重转换 多重转换技巧&#xff1a;先平移再旋转 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8" /><meta http-equiv"X-UA-Compatible" content"IEedge" /><meta name&qu…

Hive中left join 中的where 和 on的区别

目录 一、知识点 二、测试验证 三、引申 一、知识点 left join中关于where和on条件的知识点&#xff1a; 多表left join 是会生成一张临时表。on后面&#xff1a; 一般是对left join 的右表进行条件过滤&#xff0c;会返回左表中的所有行&#xff0c;而右表中没有匹配上的数…

C++11(中):智能指针

智能指针 1.内存泄漏1.1内存泄漏的概念以及危害1.2内存泄漏的场景1.3如何避免内存泄漏 2.智能指针的使用及原理2.1RAII2.2智能指针的原理2.3 std::auto_ptr2.4 定制删除器2.5 std::unique_ptr2.6 std::shared_ptr2.7 std::weak_ptr2.7.1 std::shared_ptr的循环引用2.7.2 循环引…

qemu 单步调试linux driver

一、背景 qemu单步调试arm64 linux kernel-CSDN博客介绍了如何单步调试kernel&#xff0c; 但是我们经常写一些测试driver, driver的部分如何调试&#xff1f; 二、环境准备 调试driver 就需要准备一个简单的driver&#xff0c; 这里用最简单的hello world来演示如何调试&am…

java日志框架总结(三 、Log4j日志框架)

一、简介 Log4j ( Logger For Java ) , Java 日志的记录包。 官方网站 。Log4j 是 Apache 的一个开源项目&#xff0c; 为Java提供了日志记录功能。能够让程序员非常方便的记录日志&#xff0c; 并且提供了多种适配方式&#xff0c;能满足各种需求。 使用Log4j 只需要导入一个…

【设计模式】腾讯面经:原型模式怎么理解?

什么是原型模式&#xff1f; 设计模式是编程世界的基石&#xff0c;其中原型模式无疑是一种常用而又高效的创建对象的手段。那么&#xff0c;什么是原型模式呢&#xff1f;又该如何去实现它&#xff1f; 在软件工程中&#xff0c;原型模式是一种创建型设计模式。我们可以这样…

2024獬豸杯完整Writeup

文章目录 手机手机基本信息- 1、IOS手机备份包是什么时候开始备份的。&#xff08;标准格式&#xff1a;2024-01-20.12:12:12)手机基本信息- 2、请分析&#xff0c;该手机共下载了几款即时通讯工具。&#xff08;标准格式&#xff1a;阿拉伯数字&#xff09;手机基本信息- 3、手…

Zerosync:构建基于STARK的Bitcoin证明系统

1. 引言 前序博客&#xff1a; BitcoinSTARK: ZeroSync & Khepri Robin Linus、Tino Steffens、Lukas George 等人成立了一个名为 ZeroSync 协会&#xff08;ZeroSync Association&#xff09;的瑞士非营利组织&#xff0c;该组织将牵头开发比特币证明系统。ZeroSync 于…

共享自助空间打破传统束缚,创新消费体验

共享自助空间是指将传统的办公空间、工作空间、社交空间等资源进行共享&#xff0c;为个体或小型团体提供灵活的使用服务和自主管理的空间。这种模式使得个人可以在一个共享的环境中独立办公、工作或社交&#xff0c;并能享受到共享资源和服务的便利&#xff0c;比如共享茶室、…

超温报警器电路设计方案汇总

超温报警器电路设计方案&#xff08;一&#xff09; 该超温报警电路由温度采集电路、继电器控制电路、延时电路、秒脉冲信号发生器、计数译码电路、数显电路、报警电路共同构成。下面来详细介绍一下各部分电路的功能。 温度采集电路 温度采集电路由负温度系数的热敏电阻RW、R…

PDF标准详解(一)——PDF文档结构

已经很久没有写博客记录自己学到的一些东西了。但是在过去一年的时间中自己确实又学到了一些东西。一直攒着没有系统化成一篇篇的文章&#xff0c;所以今年的博客打算也是以去年学到的一系列内容为主。通过之前Vim系列教程的启发&#xff0c;我发现还是写一些系列文章对自己的帮…

Day01-变量和数据类型课后练习-参考答案

文章目录 1、输出你最想说的一句话&#xff01;2、定义所有基本数据类型的变量和字符串变量3、用合适类型的变量存储个人信息并输出4、定义圆周率PI5、简答题 1、输出你最想说的一句话&#xff01; 编写步骤&#xff1a; 定义类 Homework1&#xff0c;例如&#xff1a;Homewo…

测试C#调用OpenCvSharp和IronOcr从摄像头中识别文字

学习了基于OpenCvSharp获取摄像头数据&#xff0c;同时学习了基于IronOcr的文字识别用法&#xff0c;将这两者结合即是从摄像头中识别文字。本文测试C#调用OpenCvSharp和IronOcr从摄像头中识别文字的基本用法、。   新版Winform项目&#xff0c;在Nuget包管理器中添加以下程序…

案例分析技巧-软件工程

一、考试情况 需求分析&#xff08;※※※※&#xff09;面向对象设计&#xff08;※※&#xff09; 二、结构化需求分析 数据流图 数据流图的平衡原则 数据流图的答题技巧 利用数据平衡原则&#xff0c;比如顶层图的输入输出应与0层图一致补充实体 人物角色&#xff1a;客户、…

告别繁琐!轻松创建旧版Spring Boot项目!

推荐文章 给软件行业带来了春天——揭秘Spring究竟是何方神圣&#xff08;一&#xff09; 给软件行业带来了春天——揭秘Spring究竟是何方神圣&#xff08;二&#xff09; 给软件行业带来了春天——揭秘Spring究竟是何方神圣&#xff08;三&#xff09; 给软件行业带来了春天—…

[Python图像处理] 使用OpenCV创建深度图

使用OpenCV创建深度图 双目视觉创建深度图相关链接双目视觉 在传统的立体视觉中,两个摄像机彼此水平移动,用于获得场景上的两个不同视图(作为立体图像),就像人类的双目视觉系统: 通过比较这两个图像,可以以视差的形式获得相对深度信息,该视差编码对应图像点的水平坐标的…

基于Python 网络爬虫和可视化的房源信息的设计与实现

摘 要 一般来说&#xff0c;在房地产行业&#xff0c;房源信息采集&#xff0c;对企业来说至关重要&#xff0c;通过人工采集数据的方式进行数据收集&#xff0c;既耗时又费力&#xff0c;影响工作效率&#xff0c;还导致信息时效性变差&#xff0c;可靠性偏低&#xff0c;不利…