实验背景：

一、trust区域：G1/0/0、G1/0/1接口下的设备划分到此区域

1、SW1与SW2做lacp链路聚合；

2、公司trust区域划分两个VLAN分别在交换层做MSTP，实现流量负载分担；

3、trust区域核心路由器层做双DHCP服务器做双备份，运行VRRP实现网关备份；

二、DMZ区域：G1/0/2接口下的设备划分到此区域

1、服务器做目的NAT允许untrust区域访问；

2、允许trust区域→DMZ区域的流量访问；

三、untrust区域：G1/0/3接口下的设备划分到此区域

1、允许trust区域→UNtrust区域的流量访问；

四、local区域：

1、出口做源NAT，类型为easy ip

配置开始：

一、首先搞定trust区域路由交换网络配置

1、交换网络配置

1、搞定LACP链路聚合：

SW1/SW2上：两台设备配置相同

lacp priority 100 // //此条配置仅在SW1配置，用于指定LACP主动端

interface eth-trunk 1

mode lacp-static // //模式为静态LACP模式

max actuve-linknumber 2

least active-linknumber 2

lacp preempt enable

lacp preempt delay 20

load-balance src-dst-ip // //设置流量负载模式为源目IP

port link-type trunk // //配置ETH-trunk 1链路类型为trunk

port trunk allow-pass vlan 2 3

trunkport G0/0/4 // //相应接口加入ETH-trunk 1中

trunkport G0/0/5

trunkport G0/0/6

验证是否成功：

display eth-trunk 1

2、接下来把MSTP给配置上：

思路为SW1为实例1根桥让VLAN2流量走SW1，SW2为实例2根桥让VLAN3走SW2，SW1与SW2互为备份根。

SW1/SW2上：

vlan batch vlan 2 3

port-group group-member G0/0/1 to G0/0/3 // //把各交换接口放行

port link-type trunk

port trunk allow-pass vlan 2 3

stp region-configuration // //开始配置MSTP

region-name m1

instance 1 vlan 2

instance 2 vlan 3

action region-configuration

SW1上：

stp instance 1 root primary // //设置SW1在实例1中为根桥在实例2中为备份根

stp instance 2 root secondary

SW2上：

stp instance 1 root secondary // //设置SW2在实例1中为备份根在实例2中为根桥

stp instance 2 root primary

SW3/SW4上：

vlan batch vlan 2 3

port-group group-member G0/0/1 to G0/0/2 // //把各交换接口放行

port link-type trunk

port trunk allow-pass vlan 2 3

stp region-configuration // //开始配置MSTP

region-name m1

instance 1 vlan 2

instance 2 vlan 3

action region-configuration

SW3上：

intface e0/0/1 // //划分VLAN

port link-trpe access

port default vlan 2

intface e0/0/2

port link-trpe access

port default vlan 3

SW4上：

intface e0/0/1 // //划分VLAN

port link-trpe access

port default vlan 2

验证配置是否成功：

SW3/SW4上：

display stp brief

3、双DHCP配置：

AR1上：

dhcp enable

ip pool vlan2 // //创建地址池名称为vlan2,为vlan2分配地址

network 172.16.2.0 mask 24

gateway-list 172.16.2.254

excluded-ip-address 172.16.2.100 172.16.2.253

// //摘除100-253地址，留出来给DHCP server2和VLANIF分配

ip pool vlan3 // //创建地址池名称为vlan2,为vlan2分配地址

network 172.16.3.0 mask 24

gateway-list 172.16.3.254

exculded-ip-address 172.16.3.100 172.16.2.253

// //摘除100-253地址，留出来给DHCP server2和VLANIF分配

interface g0/0/1

ip add 10.0.0.1 24

dhcp select global

ip route-static 172.16.2.0 24 10.0.0.2

ip route-static 172.16.3.0 24 10.0.0.2

AR2上：

dhcp enable

ip pool vlan2

network 172.16.2.0 mask 24

gateway-list 172.16.2.254

exculded-ip-address 172.16.2.1 172.16.2.105

// //摘除1-105地址，其中1-99为DHCP server1分配的动态地址，100-105为保留下来手动分配给设备的地址

ip pool vlan3

network 172.16.3.0 mask 24

gateway-list 172.16.3.254

exculded-ip-address 172.16.3.1 172.16.3.105

// //摘除1-105地址，其中1-99为DHCP server1分配的动态地址，100-105为保留下来手动分配给设备的地址

interface g0/0/1

ip address 10.0.1.1 24

dhcp select global

ip route-static 172.16.2.0 24 10.0.1.2

ip route-static 172.16.3.0 24 10.0.1.2

SW1上：

interface vlanif 1

ip add 10.0.0.2 24

dhcp enable

dhcp server group ar1 // //创建DHCP server组，组名为ar1

dhcp-server 10.0.0.1 // //指定DHCP server接口地址

interface vlanif 2 // //配置VLANIF2

ip add 172.16.2.100 24

dhcp select relay

dhcp relay server-select ar1

interface vlanif 3 // //配置VLANIF3

ip add 172.16.3.100 24

dhcp select relay

dhcp relay server-select ar1

SW2上：

interface vlanif 1

ip add 10.0.1.2 24

dhcp enable

dhcp server group ar1 // //创建DHCP server组，组名为ar1

dhcp-server 10.0.1.1 // //指定DHCP server接口地址

interface vlanif 2 // //配置VLANIF 2

ip add 172.16.2.101 24

dhcp select relay

dhcp relay server-select ar1

interface vlanif 3 // //配置VLANIF3

ip add 172.16.3.101 24

dhcp select relay

dhcp relay server-select ar1

验证配置是否正确

PC上输入命令IPCONFIG查看自动获取的地址

4、最后一步做VRRP配置

思路：使用AR1/AR2下的子接口做VRRP ，AR1做VLAN2主设备，ARP做VLAN3主设备，实现负载分担。

AR1/AR2上：

interface g0/0/1.2 // //进入子接口1.2开始配置VLAN2的VRRP功能

dot1q termination vid 2 // //剥离VLAN2的标签

arp broadcast enable // //开启接口ARP广播功能

ip address 172.16.2.102 24

vrrp vrid 2 virtual-ip 172.16.2.254

vrrp vrid 2 priority 130 // //设定优先值，选为主设备，AR2上不敲此条做为备

vrrp vrid 2 track interface G0/0/0 reduced 50 // //开启VRRP联动功能，AR2上不敲此条做为备

vrrp vrid 2 preempt-mode timer delay 20 // //配置抢占延时避免频繁切换

interface g0/0/1.3 // //进入子接口1.3开始配置VLAN3的VRRP功能

dot1q termination vid 3 // //剥离VLAN3的标签

arp broadcast enable // //开启接口ARP广播功能

ip address 172.16.3.102 24

vrrp vrid 3 virtual-ip 172.16.3.254

vrrp vrid 3 priority 130 // //设定优先值，选为主设备，AR1上不敲此条做为备

vrrp vrid 3 track interface G0/0/0 reduced 50 // //开启VRRP联动功能，AR1上不敲此条做为备

vrrp vrid 3 preempt-mode timer delay 20 // //配置抢占延时避免频繁切换

测试配置是否成功

display vrrp brief

至此我们trust区域内trust区域路由交换网络配置完成了

二、防火墙上的配置：

防火墙配置思路：

1、接口划分到各区域

2、配置接口IP，写通路由

3、安全策略做好

4、配置源目NAT

1、接口划分到各区域

FW1上：

firewall zone trust // //进入信任区域，添加相应接口（注意防火墙是将接口下的设备加入到区域内，并不是接口加入到区域，防火墙上所有接口都属于local区域）

add interface g1/0/1

add interface g1/0/0

firewall zone untrust

add interface g1/0/3

firewall zone dmz

add interface g1/0/2

2、配置接口IP，写通路由

FW1上：

interface g1/0/0

ip address 10.0.2.2 24

interface g1/0/1

ip address 10.0.3.2 24

interface g1/0/2

ip address 10.0.4.254

interface g1/0/3

ip address 221.1.1.1 24 // //此处模拟的是静态公网地址上网，掩码用的24位，实际上掩码大多是30位

ip route-static 0.0.0.0 0 221.1.1.2

ip route-static 172.16.2.0 255.255.255.0 10.0.2.1 // //写通回路路由
ip route-static 172.16.2.0 255.255.255.0 10.0.3.1
ip route-static 172.16.3.0 255.255.255.0 10.0.2.1
ip route-static 172.16.3.0 255.255.255.0 10.0.3.1

AR1上：

interface g0/0/0

ip address 10.0.2.1 24

ip route-static 0.0.0.0 0 10.0.2.2 // // 虽然AR1与FW1是直连线路，但是也需要写上静态路由，否则不通

AR2上：

interface g0/0/0

ip address 10.0.3.1 24

ip route-static 0.0.0.0 0 10.0.3.2 // // 虽然AR1与FW1是直连线路，但是也需要写上静态路由，否则不通

3、安全策略做好

首先我们需要可以通过内网访问DMZ区域服务器，但是服务器不可以主动访问trust区域，且只允许VLAN2访问。

配置思路：命名、源区域、目的区域、源地址（范围默认为any）、动作允许/禁止

FW1上：

security-policy

rule name trust_dmz

source-zone trust

destination-zone dmz

source-address 172.16.2.0 24

action permit

测试是否成功

PC上PING服务器内网地址

初此PING1-2个丢包为正常现象，此两个丢的报文为ARP广播寻址报文时间。

4、配置源目NAT

思路：首先配通安全策略再做NAT配置

源NAT配置trust→UNtrust

FW1上：

security-policy // //配置安全策略放通

rule name trust_untrust

source-zone trust

destination-zone untrust

action permit

nat-policy // //配置NAT策略

rule name trust_untrust

source-zone trust

destination-zone untrust

action nat easy ip

测试源NAT配置是否成功：

使用内网终端PING 外网设备，查看防火墙上会话表

也可以通过抓防火墙出口包查看：

可以看到地址是转换后的地址访问的

源NAT配置UNtrust→dmz

FW1：

security-policy // //配置安全策略允许外网访问服务器

rule name untrust_dmz

source-zone untrust

destination-zone dmz

action permit

FW1：

nat srver server1 0 global 221.1.1.1 inside 10.0.4.4 no-reverse

将出口公网静态地址映射为服务器私网地址（此为简写版，不通服务协议需要写上协议或者端口）

测试目的NAT配置是否成功

外网设备PING防火墙出口公网地址，在防火墙查看会话表

外网设备PING防火墙出口公网地址，在防火墙上G1/0/2服务器端抓包

外网设备PING防火墙出口公网地址，在防火墙上G1/0/3出口端抓包

所有配置完成

华为防火墙基本配置实例相关推荐

华为防火墙NAT配置及简介
华为防火墙NAT策略一.NAT概述 NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术. 二.华为防火墙NAT分类 1.NAT No-PAT:类似于Cisco的 ...
华为防火墙ftp_华为防火墙如何配置ftp服务器映射到外网
华为防火墙如何配置ftp服务器映射到外网一. 要求: 公司搭建一台ftp服务器,需要映射到外网,供供应商上传文件. 但公司出口线路只有一条ADSL,IP地址是自动获取,随时会变化. 因此,需要申请一 ...
华为交换机vlan配置举例_华为S5700系列配置实例
原标题:华为S5700系列配置实例华为S5700系列配置一.#telnet远程登录步骤一:创建VLAN,并配置交换机VLAN的管理IP # 创建vlan system-view [Quidway ...
华为防火墙如何配置双出口，特定IP段流量走指定出接口地址上网
环境: 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091 电信宽带:拨号 ...
华为防火墙，配置双链路接入和IP-LINK，即线路互备模式的配置
之前有粉丝提到,双链路接入没有配置线路互备,是最大的失败,其实笔者是有安排的,循序渐进而已,今天就来讲一下,如何配置两条外网链路的互备,即IP-LINK的配置. 先来看一下拓扑图,根据粉丝建议,把IP ...
华三防火墙h3cf100配置双宽带_华三F100系列、华为USG6300系列防火墙策略路由配置实例...
acl advanced 3860 ----配置ACL ,用户源IP地址的匹配 rule 5 permit ip source 10.*.*.* 0 rule 10 permit ip sour ...
华为防火墙Edumon1000E配置
华为防火墙Edumon1000E,配置有四个光电互斥接口,为千兆状态防火墙.默认情况下所有区域之间不允许有流量经过. 本文为Edumon1000E的基本配置,该基本配置适用一般企业级单机接入情况. 配 ...
华为防火墙实战配置教程，太全了
防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出.防火墙是系统的第一道防线,其作用是防止非法用户的进入. 本期我们一起来总结下防火墙的配置,非常全面,以华为为例 ...
华为[ENSP]ACL配置实例(访问控制列表配置实例)
ACL配置实验一(高级ACL)(简单)的拓扑图如下: 一.配置PC1.PC2和Server 二.配置Router(运用高级ACL配置) 相关命令解析: [Router]acl 3000(进入高级A ...

华为防火墙基本配置实例

实验背景：

配置开始：

一、首先搞定trust区域路由交换网络配置

1、交换网络配置

1、搞定LACP链路聚合：

2、接下来把MSTP给配置上：

3、双DHCP配置：

4、最后一步做VRRP配置

二、防火墙上的配置：

1、接口划分到各区域

2、配置接口IP，写通路由

3、安全策略做好

4、配置源目NAT

源NAT配置trust→UNtrust

源NAT配置UNtrust→dmz

所有配置完成

华为防火墙基本配置实例相关推荐

最新文章

热门文章

华为防火墙基本配置实例

实验背景 ：

配置开始：

一、首先搞定trust区域路由交换网络配置

1、交换网络配置

1、搞定LACP链路聚合：

2、接下来把MSTP给配置上：

3、双DHCP配置：

4、最后一步做VRRP配置

二、防火墙上的配置：

1、接口划分到各区域

2、配置接口IP，写通路由

3、安全策略做好

4、配置源目NAT

源NAT配置trust→UNtrust

源NAT配置UNtrust→dmz

所有配置完成

华为防火墙基本配置实例相关推荐

最新文章

热门文章

实验背景：