您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 01-21-交换机与防火墙对接上网配置
21交换机与防火墙对接上网配置关于本章21.1二层交换机与防火墙对接上网配置示例21.2三层交换机与防火墙对接上网配置示例21.1二层交换机与防火墙对接上网配置示例二层交换机简介二层交换机指的是仅能够进行二层转发,不能进行三层转发的交换机。也就是说仅支持二层特性,不支持路由等三层特性的交换机。二层交换机一般部署在接入层,不能作为用户的网关。配置注意事项本举例中的交换机配置适用于S系列交换机所有产品的所有版本。本举例中的防火墙配置以USG6650V500R001C60为例,其他防火墙的配置方法请参见对应的文档指南。组网需求如图21-1所示,某公司拥有多个部门且位于不同网段,各部门均有访问Internet的需求。现要求用户通过二层交换机和防火墙访问外部网络,且要求防火墙作为用户的网关。S1720&S2700&S3700&S5700&S6700&S7700&S7900&S9700系列交换机典型配置案例21交换机与防火墙对接上网配置文档版本20(2017-11-20)华为专有和保密信息版权所有©华为技术有限公司1909图21-1二层交换机与防火墙对接上网组网图IP:192.168.1.2/24PC1PC2IP:192.168.2.2/24GE0/0/1公网IP:200.0.0.1/24InternetIP:200.0.0.2/24GE1/0/2防火墙作为用户PC的网关SwitchGE0/0/3GE0/0/2GE1/0/1VLAN2VLAN3S1720&S2700&S3700&S5700&S6700&S7700&S7900&S9700系列交换机典型配置案例21交换机与防火墙对接上网配置文档版本20(2017-11-20)华为专有和保密信息版权所有©华为技术有限公司1910配置思路采用如下思路进行配置:1.配置交换机基于接口划分VLAN,实现二层转发。2.配置防火墙作为用户的网关,通过子接口或VLANIF接口实现跨网段的三层转发。3.配置防火墙作为DHCP服务器,为用户PC分配IP地址。4.开启防火墙域间安全策略,使不同域的报文可以相互转发。5.配置防火墙PAT功能,使内网用户可以访问外部网络。操作步骤步骤1配置交换机#配置下行连接用户的接口。HUAWEIsystem-view[HUAWEI]sysnameSwitch[Switch]vlanbatch23[Switch]interfacegigabitethernet0/0/2[Switch-GigabitEthernet0/0/2]portlink-typeaccess//配置接口接入类型为access[Switch-GigabitEthernet0/0/2]portdefaultvlan2//配置接口加入VLAN2[Switch-GigabitEthernet0/0/2]quit[Switch]interfacegigabitethernet0/0/3[Switch-GigabitEthernet0/0/3]portlink-typeaccess[Switch-GigabitEthernet0/0/3]portdefaultvlan3[Switch-GigabitEthernet0/0/3]quit#配置上行连接防火墙的接口。[Switch]interfacegigabitethernet0/0/1[Switch-GigabitEthernet0/0/1]portlink-typetrunk[Switch-GigabitEthernet0/0/1]porttrunkallow-passvlan23//配置接口以trunk方式透传VLAN2和VLAN3[Switch-GigabitEthernet0/0/1]quit步骤2配置防火墙防火墙的配置有两种方式,配置子接口或者配置VLANIF接口,两种方式选择其一即可。l配置防火墙通过子接口终结VLAN,实现跨网段的三层转发。#配置终结子接口。USG6600system-view[USG6600]interfacegigabitethernet1/0/1.1[USG6600-GigabitEthernet1/0/1.1]vlan-typedot1q2[USG6600-GigabitEthernet1/0/1.1]ipaddress192.168.1.124[USG6600-GigabitEthernet1/0/1.1]quit[USG6600]interfacegigabitethernet1/0/1.2[USG6600-GigabitEthernet1/0/1.2]vlan-typedot1q3[USG6600-GigabitEthernet1/0/1.2]ipaddress192.168.2.124[USG6600-GigabitEthernet1/0/1.2]quit#配置DHCP功能,为内网用户分配IP地址并指定DNS服务器地址。[USG6600]dhcpenable[USG6600]interfacegigabitethernet1/0/1.1[USG6600-GigabitEthernet1/0/1.1]dhcpselectinterface//开启接口采用接口地址池的DHCPServer功能[USG6600-GigabitEthernet1/0/1.1]dhcpserverdns-list114.114.114.114223.5.5.5//配置的DNS-List114.114.114.114是公用的DNS服务器地址,是不区分运营商的。在实际应用中,请根据运营商分配的DNS进行配置[USG6600-GigabitEthernet1/0/1.1]quit[USG6600]interfacegigabitethernet1/0/1.2S1720&S2700&S3700&S5700&S6700&S7700&S7900&S9700系列交换机典型配置案例21交换机与防火墙对接上网配置文档版本20(2017-11-20)华为专有和保密信息版权所有©华为技术有限公司1911[USG6600-GigabitEthernet1/0/1.2]dhcpselectinterface[USG6600-GigabitEthernet1/0/1.2]dhcpserverdns-list114.114.114.114223.5.5.5[USG6600-GigabitEthernet1/0/1.2]quit#配置公网接口的IP地址和静态路由。[USG6600]interfacegigabitethernet1/0/2[USG6600-GigabitEthernet1/0/2]ipaddress200.0.0.2255.255.255.0//配置连接公网的接口GE0/0/2的IP地址200.0.0.2[USG6600-GigabitEthernet1/0/2]quit[USG6600]iproute-static0.0.0.00.0.0.0200.0.0.1//配置静态缺省路由的下一跳指向公网提供的IP地址200.0.0.1#配置安全区域。[USG6600]firewallzonetrust//配置trust域[USG6600-zone-trust]addinterfacegigabitethernet1/0/1[USG6600-zone-trust]addinterfacegigabitethernet1/0/1.1[USG6600-zone-trust]addinterfacegigabitethernet1/0/1.2[USG6600-zone-trust]quit[USG6600]firewallzoneuntrust//配置untrust域[USG6600-zone-untrust]addinterfacegigabitethernet1/0/2[USG6600-zone-untrust]quit#配置安全策略,允许域间互访。[USG6600]security-policy[USG6600-policy-security]rulenamepolicy1[USG6600-policy-security-rule-policy1]source-zonetrust[USG6600-policy-security-rule-policy1]destination-zoneuntrust[USG6600-policy-security-rule-policy1]source-address192.168.0.0mask255.255.0.0[USG6600-policy-security-rule-policy1]actionpermit[USG6600-policy-security-rule-policy1]quit[USG6600-policy-security]quit#配置PAT地址池,开启允许端口地址转换。[USG6600]nataddress-groupaddressgroup1[USG6600-address-group-addressgroup1]modepat[USG6600-address-group-addressgroup1]routeenable[USG6600-address-group-addressgroup1]section0200.0.0.2200.0.0.2//转换的公网IP地址[USG6600-address-group-addressgroup1]quit#配置源PAT策略,实现私网指定网段访问公网时自动进行源地址转换。[USG6600]nat-policy[USG6600-policy-nat]rulenamepolicy_nat1[USG6600-policy-nat-rule-policy_nat1]source-zonetrust[USG6600-policy-nat-rule-policy_nat1]destination-zoneuntrust[USG6600-policy-nat-rule-policy_nat1]source-address192.168.0.0mask255.255.0.0//允许进行PAT转换的源IP地址[USG6600-policy-nat-rule-policy_nat1]actionnataddress-groupaddressgroup1[USG6600-policy-nat-rule-policy_nat1]quit[USG6600-policy-nat]quit[USG6600]quitl配置防火墙通过配置VLANIF接口,实现跨网段的三层转发。#配置VLANIF接口。USG6600system-view[USG6600]vlanbatch23[USG6600]interfacegigabitethernet1/0/1[USG6600-GigabitEthernet1/0/1]portswitch//将以太网接口从三层模式切换到二层模式。如果接口已经是二层模式,跳过该步骤[USG6600-GigabitEthernet1/0/1]portlink-typehybrid[USG6600-GigabitEthernet1/0/1]porthybridtaggedvlan2to3[USG6600-GigabitEthernet1/0/1]quit[USG6600]interfacevlanif2[USG6600-Vlanif2]ipaddress192.168.1.124//配置VLANIF2的IP地址作为PC1的网关[USG6600-Vlanif2]quit[USG6600]interfacevlanif3[USG6600-Vlanif3]ipaddress192.168.2.124//配置VLANIF3的IP地址作为PC2的网关[USG6600-Vlanif3]quit#配置DHCP功能。S1720&S2700&S3700&S5700&S6700
本文标题:01-21-交换机与防火墙对接上网配置
链接地址:https://www.777doc.com/doc-5502419 .html