企業網路組建實戰第二篇之第一章華為防火牆、H3C三層交換機組網

先來看一下Z公司網路拓樸圖：製造中心和研發中心不在同一地址，兩地將用華為USG6330防火牆以IPSEC VPN的形式連線，以達到兩地內網互連的目的

Z公司網路拓樸圖

第二篇內容比較多，只能拆分為幾章來講解，今天先來配置製造中心的內網

一、客戶訴求：

1、內網劃分為3個網段：（1）辦公網、（2）生產網、（3）訪客網

2、AP發出三個無線訊號：（1）office——接入生產網、（2）produce——連線生產網、（3）guest——連線訪客網

3、網路訪問規則：（1）生產網禁止連線internet；（2）訪客網禁止訪問整個內網，只能連線internet

二、需求分析及網路規劃

1、核心交換機上建立3個VLAN：vlan127——辦公網；vlan125——生產網；vlan126——訪客網

2、AC控制器及AP接入VLAN127，在AC控制器中配置VLAN，並且不同的SSID繫結到不同的VLAN

3、內網的訪問規則，利用核心交換機的ACL來做

4、外網的訪問規則，用華為防火牆的策略來實現

三、根據客戶訴求及網路規則，先畫出現拓樸圖，然後按照拓樸圖連線相關裝置，連線方式：3樓與4樓之間以光纖連線、同一機櫃內有光纖跳線連線也有網路跳線連線

4樓主機房機櫃

3樓生產車間機櫃

四、核心交換機配置

dhcp enable //開啟DHCP

dhcp server ip-pool vlan125 //定義DHCP地址池名稱

gateway-list 192。168。125。1 //分配閘道器IP

network 192。168。125。0 mask 255。255。255。0 //宣告網路及子網掩碼

dns-list 114。114。114。114 //分配DNS伺服器

expired day 0 hour 8 //設定所分配IP的有效時限

dhcp server forbidden-ip 192。168。125。1 192。168。125。50 //設定保留的IP地址段

dhcp server forbidden-ip 192。168。125。151 192。168。125。254 //設定保留的IP地址段

interface Vlan-interface125 //進入vlan125配置

ip address 192。168。125。1 255。255。255。0 //配置VLAN125的IP地址

dhcp server apply ip-pool vlan125 //為VLAN125指定IP地址池

另外兩個網段，配置方法相同，保留的IP段根據需要調整

interface GigabitEthernet1/0/23 //進入GigabitEthernet1/0/23埠配置

port link-mode route //配置此介面為路由模式（三層模式），因為此介面上聯華為防火牆

ip address 192。168。124。254 255。255。252。0 //配置此介面的IP地址

連線電腦或者非網管交換機的埠，只要執行以下命令，劃入相應的VLAN

interface GigabitEthernet1/0/1 //進入埠配置

port link-mode bridge //配置此介面為橋接模式（二層模式）

port access vlan 127 //設定埠屬於vlan127

需要讓不同VLAN經過的埠按照以下命令配置：

interface GigabitEthernet1/0/17 //進入埠配置

port link-mode bridge //配置此介面為橋接模式（二層模式）

port link-type trunk //配置此介面trunk模式

port trunk permit vlan all //允許所有VLAN透過

配置預設路由，這步很關鍵，不然內網所有電腦不能上外網了

ip route-static 0。0。0。0 0 192。168。124。1 //192。168。124。1是華為防火牆LAN口IP

設定兩個網段不能互訪的ACL

acl number 3003

rule 1 deny ip source 192。168。127。0 0。0。0。255 destination 192。168。126。0 0。0。0。255

rule 2 deny ip source 192。168。126。0 0。0。0。255 destination 192。168。127。0 0。0。0。255

ACL建立之後，還要在相關VLAN應用一下

interface Vlan-interface126

packet-filter 3003 inbound

五、其他交換機的配置，根據要求，參照核心交換機進行配置即可；

六、防火牆配置：在華為防火牆WEB管理介面，配置三條靜態路由，才能使每個VLAN都能夠與防火牆通訊，從而達到上網的目的

華為防火牆配置三條靜態路由

第一章先到這裡，明天第二章是AC控制器和無線AP的配置，第三章是防火牆NAT策略及安全策略的講解，感興趣的朋友請點選一下關注，歡迎討論，共同學習