您現在的位置是:首頁 > 運動
企業網路組建實戰第二篇之第一章華為防火牆、H3C三層交換機組網
華為手機防火牆在哪裡設定方法
先來看一下Z公司網路拓樸圖:製造中心和研發中心不在同一地址,兩地將用華為USG6330防火牆以IPSEC VPN的形式連線,以達到兩地內網互連的目的
Z公司網路拓樸圖
第二篇內容比較多,只能拆分為幾章來講解,今天先來配置製造中心的內網
一、客戶訴求:
1、內網劃分為3個網段:(1)辦公網、(2)生產網、(3)訪客網
2、AP發出三個無線訊號:(1)office——接入生產網、(2)produce——連線生產網、(3)guest——連線訪客網
3、網路訪問規則:(1)生產網禁止連線internet;(2)訪客網禁止訪問整個內網,只能連線internet
二、需求分析及網路規劃
1、核心交換機上建立3個VLAN:vlan127——辦公網;vlan125——生產網;vlan126——訪客網
2、AC控制器及AP接入VLAN127,在AC控制器中配置VLAN,並且不同的SSID繫結到不同的VLAN
3、內網的訪問規則,利用核心交換機的ACL來做
4、外網的訪問規則,用華為防火牆的策略來實現
三、根據客戶訴求及網路規則,先畫出現拓樸圖,然後按照拓樸圖連線相關裝置,連線方式:3樓與4樓之間以光纖連線、同一機櫃內有光纖跳線連線也有網路跳線連線
4樓主機房機櫃
3樓生產車間機櫃
四、核心交換機配置
dhcp enable //開啟DHCP
dhcp server ip-pool vlan125 //定義DHCP地址池名稱
gateway-list 192。168。125。1 //分配閘道器IP
network 192。168。125。0 mask 255。255。255。0 //宣告網路及子網掩碼
dns-list 114。114。114。114 //分配DNS伺服器
expired day 0 hour 8 //設定所分配IP的有效時限
dhcp server forbidden-ip 192。168。125。1 192。168。125。50 //設定保留的IP地址段
dhcp server forbidden-ip 192。168。125。151 192。168。125。254 //設定保留的IP地址段
interface Vlan-interface125 //進入vlan125配置
ip address 192。168。125。1 255。255。255。0 //配置VLAN125的IP地址
dhcp server apply ip-pool vlan125 //為VLAN125指定IP地址池
另外兩個網段,配置方法相同,保留的IP段根據需要調整
interface GigabitEthernet1/0/23 //進入GigabitEthernet1/0/23埠配置
port link-mode route //配置此介面為路由模式(三層模式),因為此介面上聯華為防火牆
ip address 192。168。124。254 255。255。252。0 //配置此介面的IP地址
連線電腦或者非網管交換機的埠,只要執行以下命令,劃入相應的VLAN
interface GigabitEthernet1/0/1 //進入埠配置
port link-mode bridge //配置此介面為橋接模式(二層模式)
port access vlan 127 //設定埠屬於vlan127
需要讓不同VLAN經過的埠按照以下命令配置:
interface GigabitEthernet1/0/17 //進入埠配置
port link-mode bridge //配置此介面為橋接模式(二層模式)
port link-type trunk //配置此介面trunk模式
port trunk permit vlan all //允許所有VLAN透過
配置預設路由,這步很關鍵,不然內網所有電腦不能上外網了
ip route-static 0。0。0。0 0 192。168。124。1 //192。168。124。1是華為防火牆LAN口IP
設定兩個網段不能互訪的ACL
acl number 3003
rule 1 deny ip source 192。168。127。0 0。0。0。255 destination 192。168。126。0 0。0。0。255
rule 2 deny ip source 192。168。126。0 0。0。0。255 destination 192。168。127。0 0。0。0。255
ACL建立之後,還要在相關VLAN應用一下
interface Vlan-interface126
packet-filter 3003 inbound
五、其他交換機的配置,根據要求,參照核心交換機進行配置即可;
六、防火牆配置:在華為防火牆WEB管理介面,配置三條靜態路由,才能使每個VLAN都能夠與防火牆通訊,從而達到上網的目的
華為防火牆配置三條靜態路由
第一章先到這裡,明天第二章是AC控制器和無線AP的配置,第三章是防火牆NAT策略及安全策略的講解,感興趣的朋友請點選一下關注,歡迎討論,共同學習
推薦文章
- “巴掌大”的肉包子製作,下午蒸一籠,全家都夠吃,皮薄肉餡足!
不管是從包子的體型,還是餡料方面,都和普通的包子不太一樣,體型是比較巨大的,餡料也要更加的鮮美,所以下午花時間蒸一籠,晚上一家人都完全夠吃,所以想要學習這種“巴掌大”包子做法的話,下面就由譚媽媽來為大家分享一下它的詳細做法吧,喜歡包子的朋友...
- 蔚來回應換電站是否有輻射:低於一部手機發射的輻射量的十分之一
此外,針對如何保障換到的電池安全可靠的問題,蔚來表示,首先,每一塊電池進入換電站後,會經過數一項檢測以確保它的健康,相當幹給它做全面的體檢...
- 何必東奔西走,家門口的小公園也有湖光山色
地點:南翠屏公園(天津市南開區水上公園西路與紅旗南路交匯西)門票:免費收費專案:裡面有兩處大型遊樂設施,滑圈(冬季有滑雪):兩大一小120元/小時...