在网络要求中,如下图所示,PC1和PC2位于不同的网段,各个部门都有接入互联网的需求。此时,需要通过二层交换机和防火墙访问外部网络,并将防火墙配置为用户的网关。
配置思路如下: 1. 配置交换机根据接口划分VLAN,实现二层转发。 2. 将防火墙配置为用户的网关,通过子接口或VLANIF接口实现跨网段的三层转发。 3. 将防火墙配置为DHCP服务器,并将IP地址分配给用户PC。 4. 打开防火墙域间安全策略,以便来自不同域的消息可以相互转发。 5. 配置防火墙PAT功能,以便内部网用户可以访问外部网络。
接下来,我们具体来看操作步骤:
步骤1:配置交换机。进行VLAN划分和上下行接口配置,这里以华为设备为例,配置命令如下: ``` [华为]vlan批次2 3 【华为】接口千兆以太网0/0/2 [华为千兆以太网0/0/2]端口链路式接入 [华为千兆以太网0/0/2]端口默认vlan 2 [华为-千兆以太网0/0/2]退出 【华为】接口千兆以太网0/0/3 [华为千兆以太网0/0/3]端口链路式接入 [华为千兆以太网0/0/3]端口默认vlan 3 [华为-千兆以太网0/0/3]退出 【华为】接口千兆以太网0/0/1 [华为千兆以太网0/0/1]端口链路式中继 [华为千兆以太网0/0/1]端口中继允许通过vlan 2 3 [华为-千兆以太网0/0/1]退出 [华为]退出 ```
步骤2:配置防火墙。配置防火墙有两种方法,一种是配置子接口,另一种是配置VLANIF接口。这里我们以配置子接口为例,具体配置如下: ``` 系统 [usg 6000v 1]接口千兆以太网1/0/1.1 [usg 6000v 1-千兆以太网1/0/1.1]vlan类型dot1q 2 [usg 6000v 1-千兆以太网1/0/1.1]ip地址192.168.2.1 24 [usg 6000v 1-千兆以太网1/0/1.1]退出 [usg 6000v 1]接口千兆以太网1/0/1.2 [usg 6000v 1-千兆以太网1/0/1.2]vlan类型dot1q 3 [usg 6000v 1-千兆以太网1/0/1.2]ip地址192.168.3.1 24 [usg 6000v 1-千兆以太网1/0/1.2]退出 ... ``` 配置完成后,就可以实现跨网段的三层转发,为用户PC分配IP地址,并打开防火墙域间安全策略,配置防火墙PAT功能等。
第2层交换机简介:
第二层交换机是指只能执行第二层转发,而不能执行第三层转发的交换机。也就是说只支持第二层功能,不支持路由等第三层功能的交换机。
通常,第2层交换机部署在接入层,不能用作用户的网关。
网络要求:
如下图所示,PC1和PC2位于不同的网段,各个部门都有接入互联网的需求。现在要求用户通过二层交换机和防火墙访问外部网络,要求防火墙作为用户的网关。
配置思路:
1.配置交换机根据接口划分VLAN,实现二层转发。
2.将防火墙配置为用户的网关,通过子接口或VLANIF接口实现跨网段的三层转发。
3.将防火墙配置为DHCP服务器,并将IP地址分配给用户PC。
4.打开防火墙域间安全策略,以便来自不同域的消息可以相互转发。
5.配置防火墙PAT功能,以便内部网用户可以访问外部网络。
操作步骤:
步骤1:配置交换机。
VLAN划分和上下行接口配置
系统
[华为]vlan批次2 3
【华为】接口千兆以太网0/0/2
[华为千兆以太网0/0/2]端口链路式接入
[华为千兆以太网0/0/2]端口默认vlan 2
[华为-千兆以太网0/0/2]退出
【华为】接口千兆以太网0/0/3
[华为千兆以太网0/0/3]端口链路式接入
[华为千兆以太网0/0/3]端口默认vlan 3
[华为-千兆以太网0/0/3]退出
【华为】接口千兆以太网0/0/1
[华为千兆以太网0/0/1]端口链路式中继
[华为千兆以太网0/0/1]端口中继允许通过vlan 2 3
[华为-千兆以太网0/0/1]退出
[华为]退出
救援
步骤2:配置防火墙
配置防火墙有两种方法,一种是配置子接口,另一种是配置VLANIF接口。
配置防火墙通过子接口端接VLAN,实现跨网段的三层转发。
系统
[usg 6000v 1]接口千兆以太网1/0/1.1
[usg 6000v 1-千兆以太网1/0/1.1]vlan类型dot1q 2
[usg 6000v 1-千兆以太网1/0/1.1]ip地址192.168.2.1 24
[usg 6000v 1-千兆以太网1/0/1.1]退出
[usg 6000v 1]接口千兆以太网1/0/1.2
[usg 6000v 1-千兆以太网1/0/1.2]vlan类型dot1q 3
[usg 6000v 1-千兆以太网1/0/1.2]ip地址192.168.3.1 24
[usg 6000v 1-千兆以太网1/0/1.2]退出
[USG6000V1]dhcp启用
[usg 6000v 1]接口千兆以太网1/0/1.1
[usg 6000v 1-gigabit Ethernet 1/0/1.1]DHCP选择接口
[usg 6000v 1-千兆以太网1/0/1.1]dhcp服务器DNS-列表114.114.114.114 223.5.5.5
[usg 6000v 1-千兆以太网1/0/1.1]退出
[usg 6000v 1]接口千兆以太网1/0/1.2
[usg 6000v 1-gigabit Ethernet 1/0/1.2]DHCP选择接口
[usg 6000v 1-千兆以太网1/0/1.2]dhcp服务器DNS-列表114.114.114.114 223.5.5.5
[usg 6000v 1-千兆以太网1/0/1.2]退出
[usg 6000v 1]接口千兆以太网1/0/2
[usg 6000v 1-千兆以太网1/0/2]ip地址200.0.0.2 24
[usg 6000v 1-千兆以太网1/0/2]退出
[USG6000V1]IP路由-静态0 . 0 . 0 . 0 0 . 0 200.0.0.1
[usg 6000v 1]防火墙区域信任
[usg 6000v 1-zone-trust]添加接口GigabitEthernet 1/0/1
[usg 6000v 1-zone-trust]添加接口GigabitEthernet 1/0/1.1
[usg 6000v 1-zone-trust]添加接口GigabitEthernet 1/0/1.2
[usg 6000v 1-zone-trust]退出
[usg 6000v 1]防火墙区域不可信
[usg 6000v 1-zone-untrust]添加接口GigabitEthernet 1/0/2
[usg 6000v 1-zone-untrust]退出
[usg 6000v 1]安全策略
[usg 6000v 1-策略-安全]规则名称策略1
[usg 6000v 1-策略-安全-规则-策略1]目标区域不可信
[usg 6000v 1-策略-安全-规则-策略1]源地址192.168.0.0掩码255.255.0.0
[usg 6000v 1-政策-安全-规则-政策1]行动许可
[usg 6000v 1-策略-安全-规则-策略1]退出
[usg 6000v 1-策略-安全]退出
[USG6000V1]nat地址-组地址组1
[usg 6000v 1-地址组-地址组1]模式pat
[usg 6000v 1-address-group-address group 1]路由启用
第0节200.0.0.2 200.0.0.2
[usg 6000v 1-address-group-address group 1]退出
[USG6000V1] nat策略
[USG6000V1-policy-nat]规则名称policy_nat1
[usg 6000v 1-policy-NAT-rule-policy _ NAT 1]源区域信任
[usg 6000v 1-policy-NAT-rule-policy _ NAT 1]目标区域不可信
[usg 6000v 1-policy-NAT-rule-policy _ NAT 1]源地址192.168.0.0掩码255.255.0.0
[usg 6000v 1-policy-nat-rule-policy _ NAT 1]操作源-NAT地址-组地址组1
[usg 6000v 1-policy-NAT-rule-policy _ NAT 1]退出
[usg 6000v 1-策略-NAT]退出
[usg 6000v 1]退出
步骤3:配置路由器。
系统
sysname互联网
[Internet]接口千兆以太网0/0/1
[互联网]ip地址200.0.0.1 255 . 255 . 255 . 0
[互联网]退出
