华为二层交换机与防火墙配置上网示例

二层交换机与防火墙对接上网配置示例

组网图形

图1 二层交换机与防火墙对接上网组网图

  • 二层交换机简介
  • 配置注意事项
  • 组网需求
  • 配置思路
  • 操作步骤
  • 配置文件
  • 相关信息

二层交换机简介

二层交换机指的是仅能够进行二层转发,不能进行三层转发的交换机。也就是说仅支持二层特性,不支持路由等三层特性的交换机。

二层交换机一般部署在接入层,不能作为用户的网关。

配置注意事项

本举例中的交换机配置适用于S系列交换机所有产品的所有版本。

本举例中的防火墙配置以USG6650 V500R001C60为例,其他防火墙的配置方法请参见对应的文档指南。

组网需求

如图1所示,某公司拥有多个部门且位于不同网段,各部门均有访问Internet的需求。现要求用户通过二层交换机和防火墙访问外部网络,且要求防火墙作为用户的网关。

配置思路

采用如下思路进行配置:

  1. 配置交换机基于接口划分VLAN,实现二层转发。

  2. 配置防火墙作为用户的网关,通过子接口或VLANIF接口实现跨网段的三层转发。

  3. 配置防火墙作为DHCP服务器,为用户PC分配IP地址。

  4. 开启防火墙域间安全策略,使不同域的报文可以相互转发。

  5. 配置防火墙PAT功能,使内网用户可以访问外部网络。

操作步骤
  1. 配置交换机

    # 配置下行连接用户的接口。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch
    [Switch] vlan batch 2 3
    [Switch] interface gigabitethernet 0/0/2
    [Switch-GigabitEthernet0/0/2] port link-type access   //配置接口接入类型为access
    [Switch-GigabitEthernet0/0/2] port default vlan 2   //配置接口加入VLAN 2
    [Switch-GigabitEthernet0/0/2] quit
    [Switch] interface gigabitethernet 0/0/3
    [Switch-GigabitEthernet0/0/3] port link-type access
    [Switch-GigabitEthernet0/0/3] port default vlan 3   
    [Switch-GigabitEthernet0/0/3] quit

    # 配置上行连接防火墙的接口。

    [Switch] interface gigabitethernet 0/0/1
    [Switch-GigabitEthernet0/0/1] port link-type trunk
    [Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 3   //配置接口以trunk方式透传VLAN 2和VLAN 3
    [Switch-GigabitEthernet0/0/1] quit
  2. 配置防火墙

    防火墙的配置有两种方式,配置子接口或者配置VLANIF接口,两种方式选择其一即可。

    • 配置防火墙通过子接口终结VLAN,实现跨网段的三层转发。

      # 配置终结子接口。

      <USG6600> system-view
      [USG6600] interface gigabitethernet 1/0/1.1
      [USG6600-GigabitEthernet1/0/1.1] vlan-type dot1q 2   
      [USG6600-GigabitEthernet1/0/1.1] ip address 192.168.1.1 24   
      [USG6600-GigabitEthernet1/0/1.1] quit
      [USG6600] interface gigabitethernet 1/0/1.2
      [USG6600-GigabitEthernet1/0/1.2] vlan-type dot1q 3   
      [USG6600-GigabitEthernet1/0/1.2] ip address 192.168.2.1 24   
      [USG6600-GigabitEthernet1/0/1.2] quit

      # 配置DHCP功能,为内网用户分配IP地址并指定DNS服务器地址。

      [USG6600] dhcp enable
      [USG6600] interface gigabitethernet 1/0/1.1
      [USG6600-GigabitEthernet1/0/1.1] dhcp select interface   //开启接口采用接口地址池的DHCP Server功能
      [USG6600-GigabitEthernet1/0/1.1] dhcp server dns-list 114.114.114.114 223.5.5.5   //配置的DNS-List 114.114.114.114是公用的DNS服务器地址,是不区分运营商的。在实际应用中,请根据运营商分配的DNS进行配置
      [USG6600-GigabitEthernet1/0/1.1] quit
      [USG6600] interface gigabitethernet 1/0/1.2
      [USG6600-GigabitEthernet1/0/1.2] dhcp select interface   
      [USG6600-GigabitEthernet1/0/1.2] dhcp server dns-list 114.114.114.114 223.5.5.5   
      [USG6600-GigabitEthernet1/0/1.2] quit

      # 配置公网接口的IP地址和静态路由。

      [USG6600] interface gigabitethernet 1/0/2
      [USG6600-GigabitEthernet1/0/2] ip address 203.0.113.2 255.255.255.0   //配置连接公网的接口GE0/0/2的IP地址203.0.113.2
      [USG6600-GigabitEthernet1/0/2] quit
      [USG6600] ip route-static 0.0.0.0 0.0.0.0 203.0.113.1   //配置静态缺省路由的下一跳指向公网提供的IP地址203.0.113.1

      # 配置安全区域。

      [USG6600] firewall zone trust   //配置trust域
      [USG6600-zone-trust] add interface gigabitethernet 1/0/1
      [USG6600-zone-trust] add interface gigabitethernet 1/0/1.1
      [USG6600-zone-trust] add interface gigabitethernet 1/0/1.2
      [USG6600-zone-trust] quit
      [USG6600] firewall zone untrust   //配置untrust域
      [USG6600-zone-untrust] add interface gigabitethernet 1/0/2
      [USG6600-zone-untrust] quit
      # 配置安全策略,允许域间互访。
      [USG6600] security-policy
      [USG6600-policy-security] rule name policy1
      [USG6600-policy-security-rule-policy1] source-zone trust
      [USG6600-policy-security-rule-policy1] destination-zone untrust
      [USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0
      [USG6600-policy-security-rule-policy1] action permit
      [USG6600-policy-security-rule-policy1] quit
      [USG6600-policy-security] quit
      # 配置PAT地址池,开启允许端口地址转换。
      [USG6600] nat address-group addressgroup1    
      [USG6600-address-group-addressgroup1] mode pat
      [USG6600-address-group-addressgroup1] route enable
      [USG6600-address-group-addressgroup1] section 0 203.0.113.2 203.0.113.2    //转换的公网IP地址
      [USG6600-address-group-addressgroup1] quit
      # 配置源PAT策略,实现私网指定网段访问公网时自动进行源地址转换。
      [USG6600] nat-policy    
      [USG6600-policy-nat] rule name policy_nat1
      [USG6600-policy-nat-rule-policy_nat1] source-zone trust
      [USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
      [USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0   //允许进行PAT转换的源IP地址
      [USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
      [USG6600-policy-nat-rule-policy_nat1] quit
      [USG6600-policy-nat] quit
      [USG6600] quit
    • 配置防火墙通过配置VLANIF接口,实现跨网段的三层转发。

      # 配置VLANIF接口。

      <USG6600> system-view
      [USG6600] vlan batch 2 3
      [USG6600] interface gigabitethernet 1/0/1
      [USG6600-GigabitEthernet1/0/1] portswitch   //将以太网接口从三层模式切换到二层模式。如果接口已经是二层模式,跳过该步骤
      [USG6600-GigabitEthernet1/0/1] port link-type hybrid
      [USG6600-GigabitEthernet1/0/1] port hybrid tagged vlan 2 to 3
      [USG6600-GigabitEthernet1/0/1] quit
      [USG6600] interface vlanif 2
      [USG6600-Vlanif2] ip address 192.168.1.1 24   //配置VLANIF2的IP地址作为PC1的网关
      [USG6600-Vlanif2] quit
      [USG6600] interface vlanif 3
      [USG6600-Vlanif3] ip address 192.168.2.1 24   //配置VLANIF3的IP地址作为PC2的网关
      [USG6600-Vlanif3] quit

      # 配置DHCP功能。

      [USG6600] dhcp enable
      [USG6600] interface vlanif 2
      [USG6600-Vlanif2] dhcp select interface
      [USG6600-Vlanif2] dhcp server dns-list 114.114.114.114 223.5.5.5   //配置的DNS-List 114.114.114.114是公用的DNS服务器地址,是不区分运营商的。在实际应用中,请根据运营商分配的DNS进行配置
      [USG6600-Vlanif2] quit
      [USG6600] interface vlanif 3
      [USG6600-Vlanif3] dhcp select interface
      [USG6600-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5
      [USG6600-Vlanif3] quit

      # 配置公网接口的IP地址和静态路由。

      [USG6600] interface gigabitethernet 1/0/2
      [USG6600-GigabitEthernet1/0/2] ip address 203.0.113.2 255.255.255.0
      [USG6600-GigabitEthernet1/0/2] quit
      [USG6600] ip route-static 0.0.0.0 0.0.0.0 203.0.113.1   //配置静态缺省路由的下一跳指向公网提供的IP地址203.0.113.1

      # 配置安全区域。

      [USG6600] firewall zone trust
      [USG6600-zone-trust] add interface gigabitethernet 1/0/1
      [USG6600-zone-trust] add interface vlanif 2
      [USG6600-zone-trust] add interface vlanif 3
      [USG6600-zone-trust] quit
      [USG6600] firewall zone untrust
      [USG6600-zone-untrust] add interface gigabitethernet 1/0/2
      [USG6600-zone-untrust] quit
      # 配置安全策略,允许域间互访。
      [USG6600] security-policy
      [USG6600-policy-security] rule name policy1
      [USG6600-policy-security-rule-policy1] source-zone trust
      [USG6600-policy-security-rule-policy1] destination-zone untrust
      [USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0
      [USG6600-policy-security-rule-policy1] action permit
      [USG6600-policy-security-rule-policy1] quit
      [USG6600-policy-security] quit
      # 配置PAT地址池,开启允许端口地址转换。
      [USG6600] nat address-group addressgroup1    
      [USG6600-address-group-addressgroup1] mode pat
      [USG6600-address-group-addressgroup1] route enable
      [USG6600-address-group-addressgroup1] section 0 203.0.113.2 203.0.113.2    //转换的公网IP地址
      [USG6600-address-group-addressgroup1] quit
      # 配置源PAT策略,实现私网指定网段访问公网时自动进行源地址转换。
      [USG6600] nat-policy    
      [USG6600-policy-nat] rule name policy_nat1
      [USG6600-policy-nat-rule-policy_nat1] source-zone trust
      [USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
      [USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0   //允许进行PAT转换的源IP地址
      [USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
      [USG6600-policy-nat-rule-policy_nat1] quit
      [USG6600-policy-nat] quit
      [USG6600] quit
  3. 检查配置结果

    配置PC1的IP地址为192.168.1.2/24,网关为192.168.1.1;PC2的IP地址为192.168.2.2/24,网关为192.168.2.1。

    配置外网PC的IP地址为203.0.113.1/24,网关为203.0.113.2。

    配置完成后,PC1和PC2都可以Ping通外网的IP 203.0.113.1/24,PC1和PC2都可以访问Internet。

配置文件
  • Switch的配置文件
    #
    sysname Switch
    #
    vlan batch 2 to 3
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 2 to 3
    #
    interface GigabitEthernet0/0/2
     port link-type access
     port default vlan 2
    #
    interface GigabitEthernet0/0/3
     port link-type access
     port default vlan 3
    #
    return
    
  • USG的配置文件(防火墙通过子接口进行三层转发的配置文件)
    #
    interface GigabitEthernet1/0/1
    #
    interface GigabitEthernet1/0/1.1
     vlan-type dot1q 2 
     ip address 192.168.1.1 255.255.255.0
     dhcp select interface
     dhcp server dns-list 114.114.114.114 223.5.5.5
     #
    interface GigabitEthernet1/0/1.2
     vlan-type dot1q 3
     ip address 192.168.2.1 255.255.255.0
     dhcp select interface
     dhcp server dns-list 114.114.114.114 223.5.5.5
    #
    interface GigabitEthernet1/0/2
     ip address 203.0.113.2 255.255.255.0
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet1/0/1
     add interface GigabitEthernet1/0/1.1
     add interface GigabitEthernet1/0/1.2
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet1/0/2
    #
     ip route-static 0.0.0.0 0.0.0.0 203.0.113.1
    #
    nat address-group addressgroup1 0 
     mode pat                                                                         route enable                                                                     section 0 203.0.113.2 203.0.113.2    
    #
    security-policy                                                                 
     rule name policy1                                                              
      source-zone trust                                                             
      destination-zone untrust                                                      
      source-address 192.168.0.0 mask 255.255.0.0                                   
      action permit   
    #
    nat-policy                                                                      
     rule name policy_nat1                                                          
      source-zone trust                                                             
      destination-zone untrust                                                      
      source-address 192.168.0.0 mask 255.255.0.0                                   
      action nat address-group addressgroup1                                 
    #  
    return
    
  • USG的配置文件(防火墙通过VLANIF接口进行三层转发的配置文件)
    #
     vlan batch 2 to 3
    #
    interface Vlanif2
     ip address 192.168.1.1 255.255.255.0                                           
     dhcp server dns-list 114.114.114.114 223.5.5.5 
    #
    interface Vlanif3
     ip address 192.168.2.1 255.255.255.0                                           
     dhcp select interface                                                          
     dhcp server dns-list 114.114.114.114 223.5.5.5
    #
    interface GigabitEthernet1/0/1
     portswitch
     port hybrid tagged vlan 2 to 3
    #
    interface GigabitEthernet1/0/2
     ip address 203.0.113.2 255.255.255.0
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet1/0/1
     add interface Vlanif2
     add interface Vlanif3
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet1/0/2
    #
     ip route-static 0.0.0.0 0.0.0.0 203.0.113.1
    #
    nat address-group addressgroup1 0 
     mode pat                                                                       
     route enable                                                                   
     section 0 203.0.113.2 203.0.113.2    
    #
    security-policy                                                                 
     rule name policy1                                                              
      source-zone trust                                                             
      destination-zone untrust                                                      
      source-address 192.168.0.0 mask 255.255.0.0                                   
      action permit   
    #
    nat-policy                                                                      
     rule name policy_nat1                                                          
      source-zone trust                                                             
      destination-zone untrust                                                      
      source-address 192.168.0.0 mask 255.255.0.0                                   
      action nat address-group addressgroup1                                 
    # 
    return
    

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/353506.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

HCIA真机实验:三层交换机实现vlan之间的通信(内含配置命令)

基础实验示例&#xff1a; 最上面那个交换机作为三层交换机。 下面的两个交换机的配置与之前单臂路由实现vlan之间的通信的配置相同。在这个基础上开启三层交换机 在三层交换机上的配置&#xff1a; 1、创建vlan&#xff08;底下的交换机有多少个vlan&#xff0c;则三层交换…

Redis数据类型及底层实现

文章目录 1.3.1 5种基本数据类型1.3.1.1 总结篇1.3.1.2 底层源码引入篇1.3.1.2.1 redis是字典数据库KV键值对到底是什么1.3.1.2.2 数据类型视角1.3.1.2.3 数据模型解析&#xff08;重点&#xff09;1.3.1.2.4 redisObjec1.3.1.2.5 SDS 1.3.1.3 String1.3.1.3.1 底层分析1.3.1.3…

Python环境下基于机器学习的NASA涡轮风扇发动机剩余使用寿命RUL预测

本例所用的数据集为C-MAPSS数据集&#xff0c;C-MAPSS数据集是美国NASA发布的涡轮风扇发动机数据集&#xff0c;其中包含不同工作条件和故障模式下涡轮风扇发动机多源性能的退化数据&#xff0c;共有 4 个子数据集&#xff0c;每个子集又可分为训练集、 测试集和RUL标签。其中&…

【Midjourney】内容展示风格关键词

1.几何排列(Geometric) "Geometric" 是一个与几何有关的词汇&#xff0c;通常用于描述与形状、结构或空间几何特征相关的事物。这个词可以涉及数学、艺术、工程、计算机图形学等多个领域。 使用该关键词后&#xff0c;图片中的内容会以平面图形拼接的方式展示&#…

计算机网络——虚拟局域网+交换机基本配置实验

1.实验题目 虚拟局域网交换机基本配置实验 2.实验目的 1.了解交换机的作用 2.熟悉交换机的基本配置方法 3.熟悉Packet Tracer 7.0交换机模拟软件的使用 4.掌握在交换机上划分局域网&#xff0c;并且使用局域网与端口连接&#xff0c;检测信号传输 3.实验任务 1.了解交换…

springboot项目开发,使用thymeleaf前端框架的简单案例

springboot项目开发,使用thymeleaf前端框架的简单案例&#xff01;我们看一下&#xff0c;如何在springboot项目里面简单的构建一个thymeleaf的前端页面。来完成动态数据的渲染效果。 第一步&#xff0c;我们在上一小节&#xff0c;已经提前预下载了对应的组件了。 如图&#x…

phar反序列化漏洞

基础&#xff1a; Phar是一种PHP文件归档格式&#xff0c;它类似于ZIP或JAR文件格式&#xff0c;可以将多个PHP文件打包成一个单独的文件&#xff08;即Phar文件&#xff09;。 打包后的Phar文件可以像普通的PHP文件一样执行&#xff0c;可以包含PHP代码、文本文件、图像等各…

什么叫高斯分布?

高斯分布&#xff0c;也称为正态分布&#xff0c;是统计学中最常见的概率分布之一。它具有钟形曲线的形态&#xff0c;对称分布在均值周围&#xff0c;且由均值和标准差两个参数完全描述。 高斯分布的概率密度函数&#xff08;Probability Density Function, PDF&#xff09;可…

【C++修炼秘籍】Stack和Queue

【C修炼秘籍】STL-Stack和Queue ☀️心有所向&#xff0c;日复一日&#xff0c;必有精进 ☀️专栏《C修炼秘籍》 ☀️作者&#xff1a;早凉 ☀️如果有错误&#xff0c;烦请指正&#xff0c;如有疑问可私信联系&#xff1b; 目录 【C修炼秘籍】STL-Stack和Queue 前言 一、st…

dnSpy调试工具二次开发2-输出日志到控制台

本文在上一篇文章的基础上继续操作&#xff1a; dnSpy调试工具二次开发1-新增菜单-CSDN博客 经过阅读dnSpy的源码&#xff0c;发现dnSpy使用到的依赖注入用了MEF框架&#xff0c;所以在源码中可以看到接口服务类的上面都打上了Export的特性或在构造方法上面打上ImportingConst…

尚无忧球馆助教系统源码,助教小程序源码,助教源码,陪练系统源码

特色功能&#xff1a; 不同助教服务类型选择 助教申请&#xff0c;接单&#xff0c;陪练师入住&#xff0c;赚取外快 线下场馆入住 设置自己服务 城市代理 分销商入住 优惠券 技术栈&#xff1a;前端uniapp后端thinkphp 独立全开源

翻译: GPT-4 with Vision 升级 Streamlit 应用程序的 7 种方式一

随着 OpenAI 在多模态方面的最新进展&#xff0c;想象一下将这种能力与视觉理解相结合。 现在&#xff0c;您可以在 Streamlit 应用程序中使用 GPT-4 和 Vision&#xff0c;以&#xff1a; 从草图和静态图像构建 Streamlit 应用程序。帮助你优化应用的用户体验&#xff0c;包…

NoSQL基本内容

第一章 NoSQL 1.1 什么是NoSQL NoSQL&#xff08;Not Only SQL&#xff09;即不仅仅是SQL&#xff0c;泛指非关系型的数据库&#xff0c;它可以作为关系型数据库的良好补充。随着互联网web2.0网站的兴起&#xff0c;非关系型的数据库现在成了一个极其热门的新领域&#xff0c;…

vulnhub靶场之Five86-2

一.环境搭建 1.靶场描述 Five86-2 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing. The ultimate goal of this challenge is to get root and to read the one and only flag. Linux skills and fa…

2024年阿里云幻兽帕鲁Palworld游戏服务器优惠价格表

自建幻兽帕鲁服务器租用价格表&#xff0c;2024阿里云推出专属幻兽帕鲁Palworld游戏优惠服务器&#xff0c;配置分为4核16G和4核32G服务器&#xff0c;4核16G配置32.25元/1个月、10M带宽66.30元/1个月、4核32G配置113.24元/1个月&#xff0c;4核32G配置3个月339.72元。ECS云服务…

Java项目实战--瑞吉外卖DAY03

目录 P22新增员工_编写全局异常处理器 P23新增员工_完善全局异常处理器并测试 p24新增员工_小结 P27员工分页查询_代码开发1 P28员工分页查询_代码开发2 P22新增员工_编写全局异常处理器 在COMMON新增全局异常捕获的类&#xff0c;其实就是代理我们这些controlle。通过aop把…

【C语言】深入理解指针(3)数组名与函数传参

正文开始——数组与指针是紧密联系的 &#xff08;一&#xff09;数组名的理解 &#xff08;1&#xff09;数组名是数组首元素的地址 int arr[10] {1,2,3,4,5,6,7,8,9,10}; int *parr &arr[0]; 上述代码通过&arr[0] 的方式得到了数组第一个元素的地址&#xff0c;…

基于DataKit迁移MySQL到openGauss

&#x1f4e2;&#x1f4e2;&#x1f4e2;&#x1f4e3;&#x1f4e3;&#x1f4e3; 哈喽&#xff01;大家好&#xff0c;我是【IT邦德】&#xff0c;江湖人称jeames007&#xff0c;10余年DBA及大数据工作经验 一位上进心十足的【大数据领域博主】&#xff01;&#x1f61c;&am…

RTP工具改进(五)--使用qt

前篇 第四篇 RTP工具改进(四) - rtmp协议推送 前面使用的工具一直为mfc&#xff0c;今天将使用qt 来做界面&#xff0c;使用qt 来进行程序和协议的编写&#xff0c;qt部分目前还不包括rtp ps流和rtmp&#xff0c;暂时只有rtp 直接传输&#xff0c;关于rtmp协议和ps流协议&…

MySQL--创建数据表(5)

创建 MySQL 数据表需要以下信息&#xff1a; 表名表字段名定义每个表字段的数据类型 语法 以下为创建 MySQL 数据表的 SQL 通用语法&#xff1a; CREATE TABLE table_name (column1 datatype,column2 datatype,... );参数说明&#xff1a; table_name 是你要创建的表的名称…