38 IRF+链路聚合+ACL+NAT组网架构
参考文献
34 IRF的实例-CSDN博客
35 解决单条链路故障问题-华三链路聚合-CSDN博客
36 最经典的ACL控制-CSDN博客
37 公私网转换技术-NAT基础-CSDN博客
32 华三vlan案例+STP-CSDN博客
一 网络架构
二 采用的技术
1 vlan
2 ip
3 stp
4 链路聚合
5 IRF
6 静态路由
7 防火墙 区域 ip地址
8 acl
9 NAT
三 配置思路
1 配置IRF 对核心的两台设备做IRF技术。
33 IRF配置思路-CSDN博客
测试
irf mac-address persistent timer
irf auto-update enable
undo irf link-delay
irf member 1 priority 31
irf member 2 priority 1
#
lacp system-priority 500
vlan 1
#
vlan 10
#
vlan 20
#
vlan 100
#
irf-port 1/1
port group interface Ten-GigabitEthernet1/0/49
port group interface Ten-GigabitEthernet1/0/50
#
irf-port 2/2
port group interface Ten-GigabitEthernet2/0/49
port group interface Ten-GigabitEthernet2/0/50
#
stp global enable
#
interface Bridge-Aggregation1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10 20 100
link-aggregation mode dynamic
#
interface Bridge-Aggregation2
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10 20 100
link-aggregation mode dynamic
#
interface NULL0
#
interface Vlan-interface10
ip address 192.168.10.254 255.255.255.0
#
interface Vlan-interface20
ip address 192.168.20.254 255.255.255.0
#
interface Vlan-interface100
ip address 192.168.100.254 255.255.255.0
#
interface FortyGigE1/0/53
port link-mode bridge
#
interface FortyGigE1/0/54
port link-mode bridge
#
interface FortyGigE2/0/53
port link-mode bridge
#
interface FortyGigE2/0/54
port link-mode bridge
#
interface GigabitEthernet1/0/3
port link-mode route
combo enable fiber
ip address 192.168.6.2 255.255.255.0
#
interface GigabitEthernet2/0/3
port link-mode route
combo enable fiber
ip address 192.168.5.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10 20 100
combo enable fiber
port link-aggregation group 1
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10 20 100
combo enable fiber
port link-aggregation group 2
interface GigabitEthernet2/0/1
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10 20 100
combo enable fiber
port link-aggregation group 1
#
interface GigabitEthernet2/0/2
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10 20 100
combo enable fiber
port link-aggregation group 2
#
scheduler logfile size 16
ip route-static 0.0.0.0 0 10.1.2.1 preference 65
ip route-static 0.0.0.0 0 192.168.6.1
ip route-static 0.0.0.0 0 192.168.5.1 preference 70
#
radius scheme system
user-name-format without-domain
#
domain name system
return
2 配置二层动态链路聚合。
35 解决单条链路故障问题-华三链路聚合-CSDN博客
3 配置 服务器接入交换机ACL的访问控制。
Acl 做的是访问控制流量
1 制定规则
2 调用规则 方向是 in 还是 out
3 匹配规则
36 最经典的ACL控制-CSDN博客
检测
4 配置 在接入层交换机创建不同的vlan 创建三层vlan接口配置配置。
创建vlan 三层通信
#
interface NULL0
#
interface Vlan-interface10
ip address 192.168.10.254 255.255.255.0
#
interface Vlan-interface20
ip address 192.168.20.254 255.255.255.0
#
interface Vlan-interface100
ip address 192.168.100.254 255.255.255.0
#
5 配置 防护墙的IP地址 。
29 H3C SecPath F1000 系统(概述)_华三f1000特征库-CSDN博客
28 H3C SecPath F1000 概览(主要功能是总 观看全局)_h3csecpathf1000t200功能-CSDN博客
27 防火墙不同区域之间是如何通信_不同网段如何在防火墙连接-CSDN博客
11 防火墙配置信息的认识_f1000-ak1242-CSDN博客
6 将不同的接口加入到不同的区域中去。
7 在防火墙上配置去往核心交换机的静态路由,同理在配置核心到防火墙的静态路由。
- Local 到 Any:从Local区域到Any区域的流量将应用3000号过滤器。
- Trust 到 Local:从Trust区域到Local区域的流量将应用3000号过滤器。
- Trust 到 Untrust:从Trust区域到Untrust区域的流量将应用3000号过滤器。
- Untrust 到 Local:从Untrust区域到Local区域的流量将应用3000号过滤器。
- Untrust 到 Trust:从Untrust区域到Trust区域的流量将应用3000号过滤器。
8 在防火墙的出口做easyNat转换 创建匹配规则默认能转换的私网地址。
测试 内网
测试外网
