华为防火墙与二层交换机对接配置VLAN上网设置
拓扑图
一、防火墙设置
1、G1/0/0接口设置IP,G1/0/1接口切换二层口设置VLAN,G1/0/0 桥接了本地无线网卡来模拟公网地址
<USG6000V1>sys
[USG6000V1]sys FW1
[FW1]un in en# 设置公网IP
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip addr 192.168.137.10 24# 开启所有服务
[FW1-GigabitEthernet1/0/0]service-manage all permit# 切换二层口并加入VLAN
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]portswitch
[FW1-GigabitEthernet1/0/1]p l t
[FW1-GigabitEthernet1/0/1]p t a v a
[FW1-GigabitEthernet1/0/1]quit
2、VLANIF 配置 DHCP,开启PING服务
# 开启DHCP
[FW1]dhcp enable# 创建VLAN
[FW1]vlan batch 16 17# VLAN设置IP,基于接口开启DHCP
[FW1]int vlanif 16
[FW1-Vlanif16]ip addr 172.16.0.1 24
[FW1-Vlanif16]dhcp select int
[FW1-Vlanif16]dhcp server dns-list 114.114.114.114# 单独开启PING服务
[FW1-Vlanif16]service-manage ping permit[FW1-Vlanif16]int vlanif 17
[FW1-Vlanif17]ip addr 172.17.0.1 24
[FW1-Vlanif17]service-manage ping permit
[FW1-Vlanif17]dhcp select int
[FW1-Vlanif17]dhcp server dns-list 114.114.114.114
[FW1-Vlanif17]service-manage ping permit
[FW1-Vlanif17]quit
3、配置安全区域
# 配置安全区域
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]firewall zone trust
[FW1-zone-trust]add int g1/0/1
[FW1-zone-trust]add int vlanif 16
[FW1-zone-trust]add int vlanif 17
[FW1-zone-trust]quit
4、创建地址列表
[FW1]ip address-set 172.16.0.0/24 type object
[FW1-object-address-set-172.16.0.0/24]address 0 172.16.0.0 mask 24
[FW1-object-address-set-172.16.0.0/24]ip address-set 172.17.0.0/24 type object
[FW1-object-address-set-172.17.0.0/24]address 0 172.17.0.0 mask 24
[FW1-object-address-set-172.17.0.0/24]quit
5、配置安全策略
[FW1]security-policy
[FW1-policy-security]rule name "untrust to local"
[FW1-policy-security-rule-untrust to local]source-zone untrust
[FW1-policy-security-rule-untrust to local]destination-zone local
[FW1-policy-security-rule-untrust to local]action permit[FW1-policy-security-rule-untrust to local]rule name "local to untrust"
[FW1-policy-security-rule-local to untrust]source-zone local
[FW1-policy-security-rule-local to untrust]destination-zone untrust
[FW1-policy-security-rule-local to untrust]action permit[FW1-policy-security-rule-local to untrust]rule name "trust to untrust"
[FW1-policy-security-rule-trust to untrust]source-zone trust
[FW1-policy-security-rule-trust to untrust]destination-zone untrust
[FW1-policy-security-rule-trust to untrust]source-address address-set 172.16.0.0/24
[FW1-policy-security-rule-trust to untrust]source-address address-set 172.17.0.0/24
[FW1-policy-security-rule-trust to untrust]action permit
[FW1-policy-security-rule-trust to untrust]quit
6、配置NAT策略
[FW1-policy-security]nat-policy
[FW1-policy-nat]rule name snat
[FW1-policy-nat-rule-snat]source-zone trust
[FW1-policy-nat-rule-snat]destination-zone untrust
[FW1-policy-nat-rule-snat]source-address address-set 172.16.0.0/24
[FW1-policy-nat-rule-snat]source-address address-set 172.17.0.0/24
[FW1-policy-nat-rule-snat]action source-nat easy-ip
7、设置默认路由
[FW1]ip route-static 0.0.0.0 0.0.0.0 192.168.137.1
8、配置DNS
[FW1]dns resolve
[FW1]dns server 114.114.114.114
二、交换机设置
1、配置
[Huawei]sys
[Huawei]sys sw1
[sw1]un in en# 创建VLAN
[sw1]vlan batch 16 17# 接口设置VLAN
[sw1]int e0/0/16
[sw1-Ethernet0/0/16]p l a
[sw1-Ethernet0/0/16]p d v 16[sw1-Ethernet0/0/16]int e0/0/17
[sw1-Ethernet0/0/17]p l a
[sw1-Ethernet0/0/17]p d v 17[sw1-Ethernet0/0/17]int e0/0/1
[sw1-Ethernet0/0/1]p l t
[sw1-Ethernet0/0/1]p t a v a
三、CLOUD 云设置
1、设置如下
2、以太网3--IP:192.168.137.1是本地添加的一张环回网卡
3、无线网卡共享给这张环回网卡,以实现上网,共享后环回网卡IP会自动变成 192.168.137.1,这里系统默认设置的IP
四、测试验证
1、首先查看防火墙能不能上网
# 外网网关
[FW1]ping 192.168.137.1PING 192.168.137.1: 56 data bytes, press CTRL_C to breakReply from 192.168.137.1: bytes=56 Sequence=1 ttl=128 time=3 msReply from 192.168.137.1: bytes=56 Sequence=2 ttl=128 time=3 msReply from 192.168.137.1: bytes=56 Sequence=3 ttl=128 time=2 msReply from 192.168.137.1: bytes=56 Sequence=4 ttl=128 time=2 msReply from 192.168.137.1: bytes=56 Sequence=5 ttl=128 time=1 ms--- 192.168.137.1 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 1/2/3 ms# 正常访问外网
[FW1]ping 114.114.114.114PING 114.114.114.114: 56 data bytes, press CTRL_C to breakReply from 114.114.114.114: bytes=56 Sequence=1 ttl=78 time=35 msReply from 114.114.114.114: bytes=56 Sequence=2 ttl=63 time=32 msReply from 114.114.114.114: bytes=56 Sequence=3 ttl=64 time=46 msReply from 114.114.114.114: bytes=56 Sequence=4 ttl=62 time=42 msReply from 114.114.114.114: bytes=56 Sequence=5 ttl=82 time=39 ms--- 114.114.114.114 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 32/38/46 ms
2、PC1
# 成功获取IP
PC1>ipconfigLink local IPv6 address...........: fe80::5689:98ff:fe42:4c93
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 172.16.0.218
Subnet mask.......................: 255.255.255.0
Gateway...........................: 172.16.0.1
Physical address..................: 54-89-98-42-4C-93
DNS server........................: 114.114.114.114
3、PC2
PC2>ipconfigLink local IPv6 address...........: fe80::5689:98ff:fe9c:4e3c
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 172.17.0.102
Subnet mask.......................: 255.255.255.0
Gateway...........................: 172.17.0.1
Physical address..................: 54-89-98-9C-4E-3C
DNS server........................: 114.114.114.114
4、验证PC1 PC2能否上网
PC1>ping www.baidu.comwww.baidu.com -> www.a.shifen.comPing www.a.shifen.com [110.242.68.3]: 32 data bytes, Press Ctrl_C to break
From 110.242.68.3: bytes=32 seq=1 ttl=47 time=63 ms
From 110.242.68.3: bytes=32 seq=2 ttl=47 time=46 ms
From 110.242.68.3: bytes=32 seq=3 ttl=47 time=94 ms
From 110.242.68.3: bytes=32 seq=4 ttl=47 time=78 ms
From 110.242.68.3: bytes=32 seq=5 ttl=47 time=47 ms--- 110.242.68.3 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 46/65/94 ms
5、验证PC1 PC2互通
PC1>ping 172.17.0.102Ping 172.17.0.102: 32 data bytes, Press Ctrl_C to break
From 172.17.0.102: bytes=32 seq=1 ttl=127 time=62 ms
From 172.17.0.102: bytes=32 seq=2 ttl=127 time=63 ms
From 172.17.0.102: bytes=32 seq=3 ttl=127 time=47 ms
From 172.17.0.102: bytes=32 seq=4 ttl=127 time=47 ms
From 172.17.0.102: bytes=32 seq=5 ttl=127 time=62 ms--- 172.17.0.102 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 47/56/63 ms
五、进入WEB管理界面
1、接口管理
int g1/0/0 接口
int g1/0/1 接口,已经转成二层接口
VLAN 16 接口
VLAN 17 接口
2、DHCP管理
3、安全策略
4、NAT策略
5、地址
6、静态路由
7、DNS管理
华为防火墙与二层交换机对接配置VLAN上网设置相关推荐
- 华为交换机网页配置vlan
华为交换机网页配置vlan 一.华为交换机vlan介绍 交换机支持4094个VLAN,编号为1-4094. 通过划分VLAN,将没有互通需求的主机进行二层隔离,限制广播域同时增强了网络的安全性. 二. ...
- Cisco二层交换机协议配置详细步骤和作用
Cisco二层交换机协议配置详细步骤和作用 以下是常见的Cisco二层交换机协议配置详细步骤和作用: 配置VLAN • 进入全局配置模式:config terminal • 创建VLAN:vlan & ...
- 华三S1824G、S1850V2-28P二层交换机简单配置步骤
交换机Vlan中 tagged和untagged的区别(引用知乎问答): 先说VLAN,一个VLAN就是一个广播域.一个设备连接到一个VLAN,如果这个设备往这个VLAN里发送帧,交换机会把这个帧群发 ...
- 华为防火墙实现双机热备配置详解
一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路.防火墙承载了非常多的功能,比如:安全规则.IPS.文件类型过滤.内容过滤.应用层过滤等.也正是因为防火墙如此的重要,如果防火墙一 ...
- H3C交换机与cisco交换机对接配置案例和注意事项
7506E与CISCO交换机MSTP协议对接配置 一. 组网需求: 安徽某客户要求我司75E交换机与CISCO交换机MSTP协议对接,并具备防环和链路备份功能. 二. 组网图: 客户网络架构如下图,两 ...
- 华为防火墙跨三层mac识别配置
防火墙配置安全策略后,一些应用从网络禁用,但是个别人需要访问这些被禁用的应用程序,该怎么办? 做允许策略,配置允许地址,将IP加到允许地址中,此IP就可以访问被禁用的应用程序. 但是,局域网如果是开启 ...
- 二层交换机可以划分vlan吗_二层交换机上,属于不同VLAN的PC该如何通信
前几日,在群里看见了有人问这样的问题,小朱觉得这个问题考察了我们对VLAN理论知识的理解,是一个很不错的问题,决定把这个问题做一次解答.VLAN是Virtual LAN的缩写,所以一个VLAN就是一个 ...
- 华为防火墙的NAT介绍及配置详解
一.华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少. NAPT ...
- Boson Netsim 思科交换机仿真 配置VLAN和TRUNK
目录 内容和步骤 1. 绘制实验拓扑图 2. 配置交换机基本参数 3. 配置交换机VLAN和TRUNK 问题讨论 总结 内容和步骤 1. 绘制实验拓扑图 绘图时,遵循"够用为度"的 ...
最新文章
- Python3 的urllib实例
- C# SQLite数据库 访问封装类
- matlab-高数 polar 极坐标系 绘制阿基米德线,心形线
- 智能推荐:“相关性搜索”只给你最想要的
- go语言json字符串解析为结构体数组,结构体指针的数组
- Unity 游戏用XLua的HotFix实现热更原理揭秘
- .NET Standard 2.0:整齐划一的目标
- 一个天才程序员的黑帮大佬人生
- css display: inline-block 去间隙
- abp+dapper+mysql_ABP公共结构 – 时间与时区设置 - ABP 中文文档
- iphonex如何关机_iPhoneX怎么关机 iPhoneX如何强制重启【详细步骤】
- 【总结】最短路径条数问题
- oracle gENT,Oracle 11g r2 新建空表不分配semgent
- 爬取豆瓣电影top250
- dzz云桌面1.2部分主要功能图文介绍
- 使用ScanShadowsFilter过滤激光雷达拖尾
- r5 5600H 怎么样 相当于什么水平
- 头像采集,学生照片信息采集器
- 面试小技巧分享,这几个能让面试官刮目相看
- Ubuntu18.04运行校园网客户端
热门文章
- java驾校管理系统计算机毕业设计MyBatis+系统+LW文档+源码+调试部署
- 成功的项目管理工具拥有的五大功能
- 游侠原创:关于发展360企业级安全产品的一点看法
- Easypack: Ansible方式部署工具中增加Metrics Server支持
- Java虚拟机 之 内存区域
- 07_JavaScript数据结构与算法(七)双向链表
- 【Linux】 解压tar.xz文件
- OpenCV迭代求椭圆与直线交点(C++实现)
- 一个老程序员写给毕业生们的一些话
- 阿里云学生服务器、续费价格、购买条件、等相关问题汇总和解答