华为二层交换机与防火墙配置上网示例

二层交换机与防火墙对接上网配置示例

组网图形

图1 二层交换机与防火墙对接上网组网图

  • 二层交换机简介
  • 配置注意事项
  • 组网需求
  • 配置思路
  • 操作步骤
  • 配置文件
  • 相关信息

二层交换机简介

二层交换机指的是仅能够进行二层转发,不能进行三层转发的交换机。也就是说仅支持二层特性,不支持路由等三层特性的交换机。

二层交换机一般部署在接入层,不能作为用户的网关。

配置注意事项

本举例中的交换机配置适用于S系列交换机所有产品的所有版本。

本举例中的防火墙配置以USG6650 V500R001C60为例,其他防火墙的配置方法请参见对应的文档指南。

组网需求

如图1所示,某公司拥有多个部门且位于不同网段,各部门均有访问Internet的需求。现要求用户通过二层交换机和防火墙访问外部网络,且要求防火墙作为用户的网关。

配置思路

采用如下思路进行配置:

  1. 配置交换机基于接口划分VLAN,实现二层转发。

  2. 配置防火墙作为用户的网关,通过子接口或VLANIF接口实现跨网段的三层转发。

  3. 配置防火墙作为DHCP服务器,为用户PC分配IP地址。

  4. 开启防火墙域间安全策略,使不同域的报文可以相互转发。

  5. 配置防火墙PAT功能,使内网用户可以访问外部网络。

操作步骤
  1. 配置交换机

    # 配置下行连接用户的接口。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch
    [Switch] vlan batch 2 3
    [Switch] interface gigabitethernet 0/0/2
    [Switch-GigabitEthernet0/0/2] port link-type access   //配置接口接入类型为access
    [Switch-GigabitEthernet0/0/2] port default vlan 2   //配置接口加入VLAN 2
    [Switch-GigabitEthernet0/0/2] quit
    [Switch] interface gigabitethernet 0/0/3
    [Switch-GigabitEthernet0/0/3] port link-type access
    [Switch-GigabitEthernet0/0/3] port default vlan 3   
    [Switch-GigabitEthernet0/0/3] quit

    # 配置上行连接防火墙的接口。

    [Switch] interface gigabitethernet 0/0/1
    [Switch-GigabitEthernet0/0/1] port link-type trunk
    [Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 3   //配置接口以trunk方式透传VLAN 2和VLAN 3
    [Switch-GigabitEthernet0/0/1] quit
  2. 配置防火墙

    防火墙的配置有两种方式,配置子接口或者配置VLANIF接口,两种方式选择其一即可。

    • 配置防火墙通过子接口终结VLAN,实现跨网段的三层转发。

      # 配置终结子接口。

      <USG6600> system-view
      [USG6600] interface gigabitethernet 1/0/1.1
      [USG6600-GigabitEthernet1/0/1.1] vlan-type dot1q 2   
      [USG6600-GigabitEthernet1/0/1.1] ip address 192.168.1.1 24   
      [USG6600-GigabitEthernet1/0/1.1] quit
      [USG6600] interface gigabitethernet 1/0/1.2
      [USG6600-GigabitEthernet1/0/1.2] vlan-type dot1q 3   
      [USG6600-GigabitEthernet1/0/1.2] ip address 192.168.2.1 24   
      [USG6600-GigabitEthernet1/0/1.2] quit

      # 配置DHCP功能,为内网用户分配IP地址并指定DNS服务器地址。

      [USG6600] dhcp enable
      [USG6600] interface gigabitethernet 1/0/1.1
      [USG6600-GigabitEthernet1/0/1.1] dhcp select interface   //开启接口采用接口地址池的DHCP Server功能
      [USG6600-GigabitEthernet1/0/1.1] dhcp server dns-list 114.114.114.114 223.5.5.5   //配置的DNS-List 114.114.114.114是公用的DNS服务器地址,是不区分运营商的。在实际应用中,请根据运营商分配的DNS进行配置
      [USG6600-GigabitEthernet1/0/1.1] quit
      [USG6600] interface gigabitethernet 1/0/1.2
      [USG6600-GigabitEthernet1/0/1.2] dhcp select interface   
      [USG6600-GigabitEthernet1/0/1.2] dhcp server dns-list 114.114.114.114 223.5.5.5   
      [USG6600-GigabitEthernet1/0/1.2] quit

      # 配置公网接口的IP地址和静态路由。

      [USG6600] interface gigabitethernet 1/0/2
      [USG6600-GigabitEthernet1/0/2] ip address 203.0.113.2 255.255.255.0   //配置连接公网的接口GE0/0/2的IP地址203.0.113.2
      [USG6600-GigabitEthernet1/0/2] quit
      [USG6600] ip route-static 0.0.0.0 0.0.0.0 203.0.113.1   //配置静态缺省路由的下一跳指向公网提供的IP地址203.0.113.1

      # 配置安全区域。

      [USG6600] firewall zone trust   //配置trust域
      [USG6600-zone-trust] add interface gigabitethernet 1/0/1
      [USG6600-zone-trust] add interface gigabitethernet 1/0/1.1
      [USG6600-zone-trust] add interface gigabitethernet 1/0/1.2
      [USG6600-zone-trust] quit
      [USG6600] firewall zone untrust   //配置untrust域
      [USG6600-zone-untrust] add interface gigabitethernet 1/0/2
      [USG6600-zone-untrust] quit
      # 配置安全策略,允许域间互访。
      [USG6600] security-policy
      [USG6600-policy-security] rule name policy1
      [USG6600-policy-security-rule-policy1] source-zone trust
      [USG6600-policy-security-rule-policy1] destination-zone untrust
      [USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0
      [USG6600-policy-security-rule-policy1] action permit
      [USG6600-policy-security-rule-policy1] quit
      [USG6600-policy-security] quit
      # 配置PAT地址池,开启允许端口地址转换。
      [USG6600] nat address-group addressgroup1    
      [USG6600-address-group-addressgroup1] mode pat
      [USG6600-address-group-addressgroup1] route enable
      [USG6600-address-group-addressgroup1] section 0 203.0.113.2 203.0.113.2    //转换的公网IP地址
      [USG6600-address-group-addressgroup1] quit
      # 配置源PAT策略,实现私网指定网段访问公网时自动进行源地址转换。
      [USG6600] nat-policy    
      [USG6600-policy-nat] rule name policy_nat1
      [USG6600-policy-nat-rule-policy_nat1] source-zone trust
      [USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
      [USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0   //允许进行PAT转换的源IP地址
      [USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
      [USG6600-policy-nat-rule-policy_nat1] quit
      [USG6600-policy-nat] quit
      [USG6600] quit
    • 配置防火墙通过配置VLANIF接口,实现跨网段的三层转发。

      # 配置VLANIF接口。

      <USG6600> system-view
      [USG6600] vlan batch 2 3
      [USG6600] interface gigabitethernet 1/0/1
      [USG6600-GigabitEthernet1/0/1] portswitch   //将以太网接口从三层模式切换到二层模式。如果接口已经是二层模式,跳过该步骤
      [USG6600-GigabitEthernet1/0/1] port link-type hybrid
      [USG6600-GigabitEthernet1/0/1] port hybrid tagged vlan 2 to 3
      [USG6600-GigabitEthernet1/0/1] quit
      [USG6600] interface vlanif 2
      [USG6600-Vlanif2] ip address 192.168.1.1 24   //配置VLANIF2的IP地址作为PC1的网关
      [USG6600-Vlanif2] quit
      [USG6600] interface vlanif 3
      [USG6600-Vlanif3] ip address 192.168.2.1 24   //配置VLANIF3的IP地址作为PC2的网关
      [USG6600-Vlanif3] quit

      # 配置DHCP功能。

      [USG6600] dhcp enable
      [USG6600] interface vlanif 2
      [USG6600-Vlanif2] dhcp select interface
      [USG6600-Vlanif2] dhcp server dns-list 114.114.114.114 223.5.5.5   //配置的DNS-List 114.114.114.114是公用的DNS服务器地址,是不区分运营商的。在实际应用中,请根据运营商分配的DNS进行配置
      [USG6600-Vlanif2] quit
      [USG6600] interface vlanif 3
      [USG6600-Vlanif3] dhcp select interface
      [USG6600-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5
      [USG6600-Vlanif3] quit

      # 配置公网接口的IP地址和静态路由。

      [USG6600] interface gigabitethernet 1/0/2
      [USG6600-GigabitEthernet1/0/2] ip address 203.0.113.2 255.255.255.0
      [USG6600-GigabitEthernet1/0/2] quit
      [USG6600] ip route-static 0.0.0.0 0.0.0.0 203.0.113.1   //配置静态缺省路由的下一跳指向公网提供的IP地址203.0.113.1

      # 配置安全区域。

      [USG6600] firewall zone trust
      [USG6600-zone-trust] add interface gigabitethernet 1/0/1
      [USG6600-zone-trust] add interface vlanif 2
      [USG6600-zone-trust] add interface vlanif 3
      [USG6600-zone-trust] quit
      [USG6600] firewall zone untrust
      [USG6600-zone-untrust] add interface gigabitethernet 1/0/2
      [USG6600-zone-untrust] quit
      # 配置安全策略,允许域间互访。
      [USG6600] security-policy
      [USG6600-policy-security] rule name policy1
      [USG6600-policy-security-rule-policy1] source-zone trust
      [USG6600-policy-security-rule-policy1] destination-zone untrust
      [USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0
      [USG6600-policy-security-rule-policy1] action permit
      [USG6600-policy-security-rule-policy1] quit
      [USG6600-policy-security] quit
      # 配置PAT地址池,开启允许端口地址转换。
      [USG6600] nat address-group addressgroup1    
      [USG6600-address-group-addressgroup1] mode pat
      [USG6600-address-group-addressgroup1] route enable
      [USG6600-address-group-addressgroup1] section 0 203.0.113.2 203.0.113.2    //转换的公网IP地址
      [USG6600-address-group-addressgroup1] quit
      # 配置源PAT策略,实现私网指定网段访问公网时自动进行源地址转换。
      [USG6600] nat-policy    
      [USG6600-policy-nat] rule name policy_nat1
      [USG6600-policy-nat-rule-policy_nat1] source-zone trust
      [USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
      [USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0   //允许进行PAT转换的源IP地址
      [USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
      [USG6600-policy-nat-rule-policy_nat1] quit
      [USG6600-policy-nat] quit
      [USG6600] quit
  3. 检查配置结果

    配置PC1的IP地址为192.168.1.2/24,网关为192.168.1.1;PC2的IP地址为192.168.2.2/24,网关为192.168.2.1。

    配置外网PC的IP地址为203.0.113.1/24,网关为203.0.113.2。

    配置完成后,PC1和PC2都可以Ping通外网的IP 203.0.113.1/24,PC1和PC2都可以访问Internet。

配置文件
  • Switch的配置文件
    #
    sysname Switch
    #
    vlan batch 2 to 3
    #
    interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2 to 3
    #
    interface GigabitEthernet0/0/2port link-type accessport default vlan 2
    #
    interface GigabitEthernet0/0/3port link-type accessport default vlan 3
    #
    return
    
  • USG的配置文件(防火墙通过子接口进行三层转发的配置文件)
    #
    interface GigabitEthernet1/0/1
    #
    interface GigabitEthernet1/0/1.1vlan-type dot1q 2 ip address 192.168.1.1 255.255.255.0dhcp select interfacedhcp server dns-list 114.114.114.114 223.5.5.5#
    interface GigabitEthernet1/0/1.2vlan-type dot1q 3ip address 192.168.2.1 255.255.255.0dhcp select interfacedhcp server dns-list 114.114.114.114 223.5.5.5
    #
    interface GigabitEthernet1/0/2ip address 203.0.113.2 255.255.255.0
    #
    firewall zone trustset priority 85add interface GigabitEthernet1/0/1add interface GigabitEthernet1/0/1.1add interface GigabitEthernet1/0/1.2
    #
    firewall zone untrustset priority 5add interface GigabitEthernet1/0/2
    #ip route-static 0.0.0.0 0.0.0.0 203.0.113.1
    #
    nat address-group addressgroup1 0 mode pat                                                                         route enable                                                                     section 0 203.0.113.2 203.0.113.2    
    #
    security-policy                                                                 rule name policy1                                                              source-zone trust                                                             destination-zone untrust                                                      source-address 192.168.0.0 mask 255.255.0.0                                   action permit   
    #
    nat-policy                                                                      rule name policy_nat1                                                          source-zone trust                                                             destination-zone untrust                                                      source-address 192.168.0.0 mask 255.255.0.0                                   action nat address-group addressgroup1                                 
    #  
    return
    
  • USG的配置文件(防火墙通过VLANIF接口进行三层转发的配置文件)
    #vlan batch 2 to 3
    #
    interface Vlanif2ip address 192.168.1.1 255.255.255.0                                           dhcp server dns-list 114.114.114.114 223.5.5.5 
    #
    interface Vlanif3ip address 192.168.2.1 255.255.255.0                                           dhcp select interface                                                          dhcp server dns-list 114.114.114.114 223.5.5.5
    #
    interface GigabitEthernet1/0/1portswitchport hybrid tagged vlan 2 to 3
    #
    interface GigabitEthernet1/0/2ip address 203.0.113.2 255.255.255.0
    #
    firewall zone trustset priority 85add interface GigabitEthernet1/0/1add interface Vlanif2add interface Vlanif3
    #
    firewall zone untrustset priority 5add interface GigabitEthernet1/0/2
    #ip route-static 0.0.0.0 0.0.0.0 203.0.113.1
    #
    nat address-group addressgroup1 0 mode pat                                                                       route enable                                                                   section 0 203.0.113.2 203.0.113.2    
    #
    security-policy                                                                 rule name policy1                                                              source-zone trust                                                             destination-zone untrust                                                      source-address 192.168.0.0 mask 255.255.0.0                                   action permit   
    #
    nat-policy                                                                      rule name policy_nat1                                                          source-zone trust                                                             destination-zone untrust                                                      source-address 192.168.0.0 mask 255.255.0.0                                   action nat address-group addressgroup1                                 
    # 
    return
    

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/247130.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

力扣日记1.27-【回溯算法篇】131. 分割回文串

力扣日记&#xff1a;【回溯算法篇】131. 分割回文串 日期&#xff1a;2023.1.27 参考&#xff1a;代码随想录、力扣 131. 分割回文串 题目描述 难度&#xff1a;中等 给你一个字符串 s&#xff0c;请你将 s 分割成一些子串&#xff0c;使每个子串都是 回文串 。返回 s 所有可…

常量和C预处理器

本文参考C Primer Plus第四章 文章目录 符号常量printf()函数和scanf()函数 printf()函数使用printf()printf()的转换说明修饰符 1.符号常量 C头文件limits.h和float.h分别提供了与整数类型和浮点类型大小限制相关的详细信息。头文件都定义了一系列供实现使用的符号常量。例如&…

腾讯云幻兽帕鲁4核16G14M服务器性能测评和价格

腾讯云幻兽帕鲁服务器4核16G14M配置&#xff0c;14M公网带宽&#xff0c;限制2500GB月流量&#xff0c;系统盘为220GB SSD盘&#xff0c;优惠价格66元1个月&#xff0c;277元3个月&#xff0c;支持4到8个玩家畅玩&#xff0c;地域可选择上海/北京/成都/南京/广州&#xff0c;腾…

网络安全02--负载均衡下的webshell连接

目录 一、环境准备 1.1ubentu虚拟机一台&#xff0c;docker环境&#xff0c;蚁剑 1.2环境压缩包&#xff08;文件已上传资源&#xff09;&#xff1a; 二、开始复原 2.1上传ubentu&#xff1a; 2.2解压缩 2.3版本20没有docker-compose手动下载&#xff0c;包已上传资源 …

uniapp复选框 实现排他选项

选择了排他选项之后 复选框其他选项不可以选择 <view class"reportData" v-for"(val, index) in obj" :key"index"> <view v-if"val.type 3" ><u-checkbox-group v-model"optionValue" placement"colu…

物联网协议Coap之C#基于Mozi的CoapClient调用解析

目录 前言 一、CoapClient相关类介绍 1、CoapClient类图 2、CoapClient的设计与实现 3、SendMessage解析 二、Client调用分析 1、创建CoapClient对象 2、实际发送请求 3、Server端请求响应 4、控制器寻址 总结 前言 在之前的博客内容中&#xff0c;关于在ASP.Net Co…

MongoDB实战

1.MongoDB介绍 1.1 什么是MongoDB MongoDB是一个文档数据库&#xff08;以JSON 为数据模型&#xff09;&#xff0c;由C语言编写&#xff0c;旨在为WEB应用提供可扩展的高性能数据存储解决方案。 文档来自于"JSON Document"&#xff0c;并非我们一般理解的 PDF&…

以太网交换基础VLAN原理与配置

目录 7.以太网交换基础 7.1.以太网协议 7.2.以太网帧介绍 7.3.以太网交换机 7.4.同网段数据通信全过程 8.VLAN原理与配置 8.1.VLAN的基本概念 8.2.VLAN的应用 7.以太网交换基础 7.1.以太网协议 以太网是当今现有局域网(Local Area Network,LAN)采用的最通用的通信协议…

数据结构排序小结

排序类型小结 &#x1f4a6; 插入排序直接插入排序希尔排序 &#x1f4a6; 选择排序直接选择排序堆排序 &#x1f4a6; 交换排序冒泡排序快速排序&#x1f43e;霍尔版本补坑位版本前后指针版本非递归版本 &#x1f4a6; 归并排序递归版本非递归版本 &#x1f4a6; 性能测试 &am…

DDPM的一点笔记

1 Title Denoising Diffusion Probabilistic Models&#xff08;Jonathan Ho、Ajay Jain、Pieter Abbeel&#xff09; 2 Conclusion This paper present high quality image synthesis results using diffusion probabilistic models, a class of latent variable models insp…

利用nginx宝塔免费防火墙实现禁止国外IP访问网站

本章教程&#xff0c;主要介绍&#xff0c;如何利用nginx宝塔面板中的插件免费防火墙&#xff0c;实现一键禁止国外IP访问网站。 目录 一、安装宝塔插件 二、 开启防火墙 一、安装宝塔插件 在宝塔面板中的软件商店&#xff0c;搜索防火墙关键词&#xff0c;找到Nginx免费防火…

java日志框架总结(三 、Log4j日志框架)

一、简介 Log4j ( Logger For Java ) , Java 日志的记录包。 官方网站 。Log4j 是 Apache 的一个开源项目&#xff0c; 为Java提供了日志记录功能。能够让程序员非常方便的记录日志&#xff0c; 并且提供了多种适配方式&#xff0c;能满足各种需求。 使用Log4j 只需要导入一个…

第四篇:怎么写express的路由(接口+请求)

&#x1f3ac; 江城开朗的豌豆&#xff1a;个人主页 &#x1f525; 个人专栏 :《 VUE 》 《 javaScript 》 &#x1f4dd; 个人网站 :《 江城开朗的豌豆&#x1fadb; 》 ⛺️ 生活的理想&#xff0c;就是为了理想的生活 ! 目录 &#x1f4d8; 引言&#xff1a; &#x1f4…

python在线聊天室(带聊天保存)

python Socket在线聊天室(带聊天保存) 需求功能 1.聊天信息保存功能(服务端会把信息保存到一个txt里面) 2.使用pyqt5框架作为一个可视化界面 3.具备一个服务端和多个客户端的功能 4.具备离线加入黑名单(离线踢出) 5.具备在线加入黑名单(在线加入黑名单被踢出) 6.具备群聊功能…

无际线复选框

效果演示 实现了一个网格布局&#xff0c;其中每个网格是一个复选框&#xff0c;可以选择是否显示。每个复选框都有一个漂浮的天花板&#xff0c;表示它是一个房间的天花板。每个房间的天花板都有一个不同的形状和颜色&#xff0c;分别对应不同的房间。整个页面的背景是一个由两…

0127-2-Vue深入学习5—Vue-Router路由模式

1、Vue-Router三种路由模式&#xff1a; hash&#xff1a;#️⃣使用URL hash 值来做路由&#xff0c;支持所有路由器&#xff1b;history:&#x1f4d6;依赖HTML5 History API和服务器配置&#xff1b;abstract:⛓支持所有JS运行环境&#xff0c;Node.js服务端&#xff1b; 1.1…

安全防御{第三次作业(在第二次作业上添加点需求)}

目录 需求&#xff1a; 拓扑图&#xff1a; 注意&#xff1a;先打开防火墙web界面&#xff0c;在此不做演示 1.要求一&#xff1a;&#xff0c;生产区在工作时间内可以访问服务器区&#xff0c;仅可以访问http服务器 2.要求二&#xff1a;办公区全天可以访问服务器区&#…

使用一个定时器(timer_fd)管理多个定时事件

使用一个定时器(timer_fd)管理多个定时事件 使用 timerfd_xxx 系列函数可以很方便的与 select、poll、epoll 等IO复用函数相结合&#xff0c;实现基于事件的定时器功能。大体上有两种实现思路&#xff1a; 为每个定时事件创建一个 timer_fd&#xff0c;绑定对应的定时回调函数…

考研C语言刷题基础篇之分支循环结构基础(二)

目录 第一题分数求和 第二题&#xff1a;求10 个整数中最大值 第三题&#xff1a;在屏幕上输出9*9乘法口诀表 第四题&#xff1a;写一个代码&#xff1a;打印100~200之间的素数 第五题&#xff1a;求斐波那契数的第N个数 斐波那契数的概念&#xff1a;前两个数相加等于第三…

Objective-C方法的声明实现及调用

1.无参数的方法 1)声明 a.位置&#xff1a;在interface括弧的外面 b.语法&#xff1a; - (返回值类型)方法名称; interface Person : NSObject -(void) run; end 2)实现 a.位置&#xff1a;在implementation中实现 b.语法&#xff1a;加大括弧将方法实现的代码写在大括孤之中 …