目录
(1)电脑终端与交换机之间的链接
1.1电脑终端连接电脑终端
1.1.1单网卡设备相连
1.1.2多网卡设备相连
1.2电脑连接交换机
1.2.1如是静态ip,则手动设置电脑ip、掩码、网关
1.2.2如是动态dhcp则电脑不需要设置ip,可以在三层交换机上设置dhcp服务(或者使用路由器的dhcp)
1.2.3划分vlan,设置交换机端口接入类型
`1.3多个交换机相连(接入层>>汇聚层>>核心层)
1.4交换机其他常见配置
1.4.1 mac静态地址绑定
1.4.2 vlan划分
1.4.3链路聚合与负载
1.4.4端口管理(端口组设置、端口隔离)
1.4.5其他常用命令
(2)交换机连接路由器
2.1交换机直接连接路由器
2.2两个交换机级联后,再连接路由器
2.3两个交换机级联后,再连接两个级联路由器
2.4路由器常见配置
2.4.1路由器静态路由配置
2.4.2路由器dhcp分配ip
2.4.3路由器动态路由
2.4.3.1动态路由ospf
2.4.4路由器acl控制
2.4.5路由器QOS流量控制
2.4.6生成树
2.4.7 网络地址转换nat转换
2.4.8 路由隔离
2.4.9给路由器配置dns
(3)路由器连接防火墙
3.1、本地电脑连接防火墙
3.2、防火墙连接配置示例(可连互联网)
3.3、防火墙常见配置
3.4、设备通讯规则
如是单网卡电脑设备,直接设置相同网络段ip 即可实现互联,(可以不设置网关地址)
如是多网卡设备,网卡不直接相连,则需要配置路由策略,可以设置静态路由,或者配置动态路由策略。(动态ip配置,需要dhcp服务,见路由器动态策略设置)
<Huawei>sys
[Huawei]vlan 30
[Huawei]int g0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 30
[Huawei-GigabitEthernet0/0/4]q
[Huawei]int Vlanif 30 #三层交换机,设置虚拟接口地址,进行联通性测试
[Huawei-Vlanif30]ip address 192.168.3.254 255.255.255.0
[Huawei-Vlanif30]ping 192.168.3.1
PING 192.168.3.1: 56 data bytes, press CTRL_C to break
Reply from 192.168.3.1: bytes=56 Sequence=1 ttl=128 time=60 ms
Reply from 192.168.3.1: bytes=56 Sequence=2 ttl=128 time=10 ms
.接入层交换机配置
sysname LSW1
undo info-center enable
vlan batch 10 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface Ethernet0/0/2
port link-type access
port default vlan 10
interface Ethernet0/0/3
port link-type access
port default vlan 20
sysname LSW2
undo info-center enable
vlan batch 10 20
dhcp enable
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
vlan 10
interface Ethernet0/0/2
port link-type access
port default vlan 10
vlan batch 10 20 30
[Huawei]vlan 10
[Huawei-vlan10]q
[Huawei]port-group 10
[Huawei-port-group-10]group-member e0/0/1 to e0/05 将所有成员组号加入到组中
[Huawei-port-group-10]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 10 设置vlan
注:
1、在同一个二层交换机,相同vlan,可以相互访问
2、两个二层交换机连接到汇聚同一个汇聚交换机上,分别在不同交换机上创建同一个vlan,实现相互访问
3、在同一个三层交换上,不同vlan,可以通过配置vlanif,实现互通。因为三层交互机有路由,不同子网间通过路由进行访问
1、如都是三层交换机,可以配置port link-type为access,创建vlan和对应vlanif,此时通过路由表,各个交换机可以进行交互访问。(注:需配置回程路由,要包含路由器的回程,和终端所在网络的回程。可以是静态的路由,或配置动态路由)
2、如都是三层交换机,也可以配置端口port link-type 为trunk,连接的端口,需要设置vlan、放行设置的vlan、并配置vlanif(注:需配置回程路由,要包含路由器的回程,和终端所在网络的回程。可以是静态的路由,或者动态路由)
具体配置见《交换机访问配置.topo》
[hexin]int g0/0/3
[hexin-GigabitEthernet0/0/3]port-security enable
[hexin-GigabitEthernet0/0/3]port-security protect-action shutdown
[hexin-GigabitEthernet0/0/3]port-security mac-address sticky
[hexin-GigabitEthernet0/0/3]q
将mac绑定到指定端口(ip 限制没有起到作用,联通后可以更换ip)
[hexin]user-bind static ip-address 192.168.60.2 mac-address 5489-98DB-09FF interface GigabitEthernet 0/0/3
注:
Mac地址,5489-98DB-09FF是原来是 54-89-98-DB-09-FF,配置在交换机上,需要做处理,去掉第1和最后一个横杆
批量vlan创建vlan batch 10 20
单个vlan 10
参见以太网链路聚合——ensp_ensp链路聚合_计网2班-冯志远的博客-CSDN博客
交换机1配置
[Huawei]sysname sw1
[sw1]int Eth-Trunk 1
[sw1-Eth-Trunk1]trunkport e 0/0/1 to 0/0/3
[sw1-Eth-Trunk1]q
[sw1]dis eth-trunk
交换机2配置
[Huawei]sysname sw2
[sw2]int Eth-Trunk 1
[sw2-Eth-Trunk1]trunkport e 0/0/1 to 0/0/3
测试,断开换机1和交换2中间其中一条链接,立马可能ping不通,但是过一会,再访问,发现可以访问。(链路恢复要1分钟左右?)
交换机3
[Huawei]sysname sw3
[sw3]int eth
[sw3]int Eth-Trunk 1
[sw3]mode lacp-static 设置lacp模式
[sw3-Eth-Trunk1]trunkport g 0/0/1 to 0/0/3
[sw2-Eth-Trunk1]least active-linknumber 2 最小活动连接数目
[sw2-Eth-Trunk1]max active-linknumber 2 最大活动连接数目
[sw3-Eth-Trunk1]lacp preempt enable 开启LACP抢占功能
[sw3-Eth-Trunk1]lacp preempt delay 10
[sw3] lacp priority 3000 将SW3作为LACP主动端
[sw3-Eth-Trunk1]int g0/0/1
[sw3-GigabitEthernet0/0/1]lacp priority 4000 将 g0/0/1作为备用端口
交换机4
[Huawei]sysname sw4
[sw4]int Eth-Trunk 1
[sw4]mode lacp-static 设置lacp模式
[sw4-Eth-Trunk1]trunkport g 0/0/1 to 0/0/3
[sw4-Eth-Trunk1]least active-linknumber 2
[sw4-Eth-Trunk1]max active-linknumber 2
[sw4-Eth-Trunk1]lacp preempt enable
[sw4-Eth-Trunk1]lacp preempt delay 10
[sw4-GigabitEthernet0/0/1]lacp priority 4000 将 g0/0/1作为备用端口
进入相应端口,关闭一个端口是,可以发现端口已切换,关闭两个端口是,不满足设定条件,则链路不通
Display eth-trunk 1查看聚合链路配置情况
创建端口组,设置组内隔离,隔离组内的成员不可以通讯
(但创建了vlan对应的vlanif,并设置组员后,则产生了路由表记录 ,同一个网段不可以通讯,不同网段通过路由可以通讯,可以通过设置port-isolate mode all隔离三层模式,进行所有隔离)
[Huawei]vlan 10
[Huawei-vlan10]q
[Huawei]port-group 10
[Huawei-port-group-10]group-member e0/0/1 to e0/05 将所有成员组号加入到组中
[Huawei-port-group-10]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 10 设置vlan
[Huawei-port-group-10]port-isolate enable group 50 设置组内隔离,各个组员将不可以访问
port-isolate mode all
display port-isolate group 50 查看设置的隔离组成员
sys
Int g0/0/0 进入端口
Undo shutdown 重启端口(如需关闭端口,直接执行shutdown)
Quit
Save 保存配置当前端口操作配置
Save all保存所有配置
需要在用户视图下执行reset saved-configuration命令
Reboot重启
undo info-center enable
clear configuration interface g0/0/1
这样可以重新设置port link-type,从access修改为trunk
int g0/0/1 重新进入端口
port link-type trunk
undo shutdown重启端口
将交换机直接连接路由器后,配置路由器接口ip地址,配置pc电脑ip地址在同一个网段,则路由器和电脑可以直接通讯。
即交换机上,无需配置,配置路由,电脑ip即可访问。
交换机级联后,再连接路由器,设置方法与单个交换机直接连接路由器相同。原理是交换机相当于一根网线,设置设备在同一个网络号段,设备间即可实现通讯。
即两个交换机都无需配置,配置路由器接口ip地址 电脑ip地址即可访问。
配置方式与与交换级联相同,不过需要在两个路由器间配置回程路由。
[Huawei]sysname r1
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip address 192.168.30.254 24
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[r1]ip route-static 192.168.10.0 24 192.168.30.10
[r1]ping 192.168.10.10
PING 192.168.10.10: 56 data bytes, press CTRL_C to break
Reply from 192.168.10.10: bytes=56 Sequence=1 ttl=127 time=50 ms
Reply from 192.168.10.10: bytes=56 Sequence=2 ttl=127 time=70 ms
[Huawei]sys r2
[r2]int g0/0/1
[r2-GigabitEthernet0/0/1]ip ad
[r2-GigabitEthernet0/0/1]ip address 192.168.10.254 24
[r2-GigabitEthernet0/0/1]q
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip ad
[r2-GigabitEthernet0/0/0]ip address 192.168.30.10 24
[r2]ip route-static 192.168.20.0 24 192.168.30.254 设置回程路由
[r2]ping 192.168.20.10
PING 192.168.20.10: 56 data bytes, press CTRL_C to break
Request time out
Reply from 192.168.20.10: bytes=56 Sequence=2 ttl=127 time=50 ms
[r1] display ip routing-table 查看路由器路由表的指令
[r1] ip route-static 192.168.3.0 24 192.168.2.2 目标网段 下一跳
[r1] display ip routing-table protocol static 查看路由表中通过静态写的路由
[r1] undo ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 —删除静态路由指令
参见:【ENSP配置】DHCP三种模式(全局地址池、接口地址池、中继)
https://blog.csdn.net/hongmo2020/article/details/131317342
1、配置dhcp服务(全局地址池方式)(路由器-交换-pc连接,使用全局地址池,根据接口网关地址和地址池自动关联接口进行分配)
[Huawei]int g0/0/0 进入要设置的接口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.10.1 24 设置网关地址
[Huawei-GigabitEthernet0/0/0]q
[Huawei]dhcp enable 开启dhcp服务
[Huawei]ip pool for10 创建dhcp 服务for10
[Huawei-ip-pool-for10]network 192.168.10.0 mask 255.255.255.0 设置地址段
[Huawei-ip-pool-for10]gateway-list 192.168.10.1
[Huawei-ip-pool-for10]dns-list 114.114.114.114 8.8.8.8
[Huawei-ip-pool-for10]q
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]dhcp select global
如需要配置多个子网络,也是同样的
查看ip pool
ip pool for10
display this
其他
excluded-ip-address 192.168.20.2 192.168.20.100 排除那些不需要分配的ip
lease day 0 hour 12 设定租期
[R2-ip-pool-GlobalPool]static-bind ip-address 10.0.23.3 mac-address 00e0-fc6f-6d1f 静态mac地址绑定
(2)dhcp配置--接口dhcp服务,(接口地址池方式)(路由器-交换-pc连接,使用接口分配dhcp)
<Huawei>system-view //进入系统视图
[Huawei]sysname R1 //修改名称为R1
[R1]undo info-center enable //关闭信息中心功能
[R1]dhcp enable //开启DHCP功能
[R1]interface Ethernet 0/0/0 //进入Ethernet 0/0/0接口
[R1-Ethernet0/0/0]ip address 192.168.10.254 255.255.255.0 //配置接口Ethernet 0/0/0地址
[R1-Ethernet0/0/0]dhcp select interface //DHCP接口地址池模式
[R1-Ethernet0/0/0]dhcp server dns-list 8.8.8.8 //配置DNS服务器
[R1-Ethernet0/0/0]dhcp server excluded-ip-address 192.168.10.1 192.168.10.200 //配置接口地址池中不参与自动分配的IP地址范围
[R1-Ethernet0/0/0]dhcp server lease day 0 hour 12 minute 0 //配置DHCP服务器接口地址池中IP地址的租用有效期限,缺省情况下,IP地址的租期为1天。
(4)刷新arp表
reset arp all
reset arp static
display arp 查看ARP表项
display arp network 192.168.50.0 24 查看指定网段ARP表项
arp expire-time 1800
[HUAWEI-Vlanif100] arp expire-time 1800
display current-configuration | include arp //查看设备上已配置的动态ARP表项的老化时间
(5)dhcp配置----核心交换机接口地址池配置(核心交换机-接入层交换机,使用核心交换分配dhcp)
5.1.接入层交换机LSW5配置
sysname LSW5
undo info-center enable
vlan batch 10 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface Ethernet0/0/2
port link-type access
port default vlan 10
interface Ethernet0/0/3
port link-type access
port default vlan 20
5.2.核心交换机LSW4配置
sysname LSW4
undo info-center enable
vlan batch 10 20
dhcp enable
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
6、DHCP中继配置
当DHCP服务器和客户端不在同一个网段的时候,就需要DHCP中继器,这个中继器起到一个转发的作用。
1.接入层交换机LSW9配置
sysname LSW9
undo info-center enable
vlan batch 100 200
interface Ethernet0/0/2
port link-type access
port default vlan 100
interface Ethernet0/0/3
port link-type access
port default vlan 200
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 200
1.核心交换机LSW8配置(DHCP中继器)
(1)三层交换机LSW8互联vlan配置:
sysname LSW8
undo info-center enable
vlan batch 100 200
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 200
interface Vlanif100
ip address 192.168.100.254 255.255.255.0
interface Vlanif200
ip address 192.168.200.254 255.255.255.0
(2)路由协议配置
vlan 60
interface Vlanif60
ip address 10.3.3.1 255.255.255.0
interface GigabitEthernet0/0/1
port link-type access
port default vlan 60
ospf 1 //OSPF协议,创建进程1
area 0.0.0.0 //区域0
network 192.168.100.0 0.0.0.255
network 192.168.200.0 0.0.0.255
network 10.3.3.0 0.0.0.255
(3)DHCP中继器配置:
dhcp enable
interface Vlanif100
dhcp select relay
dhcp relay server-ip 10.3.3.2
interface Vlanif200
dhcp select relay
dhcp relay server-ip 10.3.3.2
1.路由器R3配置(DHCP服务器)
sysname R3
undo info-center enable
dhcp enable
(1)路由协议配置:
interface GigabitEthernet0/0/1
ip address 10.3.3.2 255.255.255.0
ospf 1
area 0.0.0.0
network 10.3.3.0 0.0.0.255
(2)创建两个地址池
ip pool renshi
gateway-list 192.168.100.254
network 192.168.100.0 mask 255.255.255.0
dns-list 8.8.8.8
ip pool caiwu
gateway-list 192.168.200.254
network 192.168.200.0 mask 255.255.255.0
dns-list 8.8.8.8
interface GigabitEthernet0/0/1
dhcp select global
OSPF路由协议 OSPF :全称“开放式最短路径优先”协议,Open Shortest Path First。是一种链路状态路由协议,适用于中大型网络。它使用开销(Cost)作为度量参数,每台参与OSPF路由的路由器都会通过Dijkstra算法计算出去往各个远端网段的最优路径(最短径数)。计算出的结果保存在LSDB(Link State Database,链路状态数据库)中,在同一个OSPF域中,同一个区域中的LSDB都是相同的。在OSPF的区域(Area)概念中,每个OSPF域中都有一个骨干区域(Arera 0),并且其他区域都会与Area 0直接相连(否则需要额外配置)。
参见 https://blog.csdn.net/lu749477932/article/details/131231123
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad
[Huawei-GigabitEthernet0/0/0]ip address 192.168.10.254 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 10.10.10.1 24
[Huawei]ospf 1 router-id 0.0.0.1 建立ospf
[Huawei-ospf-1]area 0.0.0.0 设定骨干区域
[Huawei-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 宣告网络
[Huawei-ospf-1-area-0.0.0.0]network 10.10.10.0 0.0.0.255 宣告网络
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.10.10.254 24
[Huawei-GigabitEthernet0/0/1]ip address 10.10.20.1 24
[Huawei]ospf 2 router-id 0.0.0.2 设置ospf
[Huawei-ospf-2]area 0.0.0.0 进入区域0
[Huawei-ospf-2-area-0.0.0.0]network 10.10.10.254 0.0.0.255 宣告网络
[Huawei-ospf-2]area 0.0.0.2进入区域2
[Huawei-ospf-2-area-0.0.0.2]network 10.10.20.0 0.0.0.255 宣告网络
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.10.20.254 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[Huawei]ospf 2 router-id 0.0.0.3
[Huawei-ospf-2-area-0.0.0.2]network 10.10.20.254 0.0.0.255
[Huawei-ospf-2-area-0.0.0.2]network 192.168.20.254 0.0.0.255
ospf其他常用命令
1、查看邻居信息摘要 dis ospf peer bri
2、查看OSPF路由表 dis ip rout pro ospf
3、查看接口信息摘要 dis ip int bri
路由器上acl拦截:
[Huawei]acl 2000 设置acl
[Huawei-acl-basic-2000]rule deny source 192.168.1.10 0 拦截制定ip和服务器不能相互访问
Huawei-acl-basic-2000]q
[Huawei]int g0/0/0 指定拦截接口
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 调用拦截规则
注:也可以指定ip,如rule deny ip source 192.168.1.10 0 destination 192.168.4.1 0 //拒绝192.168.1.10到达192.168.4.1服务器
Huawei]acl 3001
[Huawei-acl-adv-3001]rule 5 deny icmp source 192.168.4.1 0 destination 192.168.1
.20 0 icmp-type echo-reply禁止服务器响应pc ping包
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
[Huawei]acl 3002
[Huawei-acl-adv-3002]rule deny tcp source 192.168.1.6 0.0.0.0 destination 192.168.4.1 0.0.0.0 拒绝tcp访问,但是ping icmp可以访问
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3002
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 172.16.10.1 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 192.168.10.0 24 172.16.10.254 设置静态路由
<Huawei>sys
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.254 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 172.16.10.254 24
[Huawei]acl number 2000 配置访问控制列表
[Huawei-acl-basic-2000]rule permit source 192.168.10.1 0.0.0.255
[Huawei-acl-basic-2000]q
[Huawei]traffic classifier cc 流量分类
[Huawei-classifier-cc]if-match acl 2000 #流量分类,绑定acl列表
[Huawei-classifier-cc]q
[Huawei]traffic behavior cc #配置相关动作behavior
[Huawei-behavior-cc]car cir 2000 #限制2M的带宽
[Huawei]traffic policy cc 配置策略policy
[Huawei-trafficpolicy-cc]classifier cc behavior cc #绑定分类流量和相关动作
[Huawei-trafficpolicy-cc]q
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-policy cc outbound #将策略cc应用到出接口上
[Huawei-GigabitEthernet0/0/0]q
[Huawei]display traffic-policy applied-record
整个设置过程:
建立访问控制表》
流量分类,绑定控制表》
建立流量行为,限制带宽》配置策略》
在策略上,进行流量分类绑定,流量行为》
将策略,应用到指定端口
不看
https://cloud.tencent.com/developer/article/2295654
eNSP模拟器网络实验:STP基本操作命令及交换实现RSTP实例 - 简书
https://blog.csdn.net/Sword_of_despair/article/details/131045506
华为s57300默认开启多生成树
访问外网时,我们一般不能在对方路由器上配置回程信息,因此内外ip因缺少回程路由,可能不能和外网互相访问 (可以配置缺省路由,让内外访问外网,但是却不能让外网访问内网)
参见 华为 eNSP 实验-静态NAT、动态NAT、NAT Server配置 - 知乎
配置说明:
在路由器AR1上,配置,将192.168网段地址,通过nat转换后,访问AR2
因为默认情况下,我们不能在AR2 isp供应商上配置回程路由,所以我们在AR1上进行转换配置,有以下方式:
这种方式,外网ip可以通过125.171.0.10与内外电脑互通。
注意需125.171.0.10,已在外网AR2配置。(适用于对方配合调试,如对方企业网管配合,在他的路由器上添加路由)
R1 的配置:
方式1:直接在接口下配置 nat
#
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.252
description Link_Internet
nat static global 125.171.0.10 inside 192.168.30.2 netmask 255.255.255.255
#
方式2:在全局下配置 nat
#
nat static global 125.171.0.10 inside 192.168.30.2 netmask 255.255.255.255
#
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.252
description Link_Internet
nat static enable
#
把 PC1、PC2、PC3 的内网 IP(192.168.10.2、192.168.20.2、192.168.30.2)动态 nat 映射到公网 IP(1.2.3.10-1.2.3.20)。
注意:1.2.3.10-1.2.3.20已在AR2上配置回程路由信息,所以5.5.5.5可以通过转换ip(适用于对方配合调试,如对方企业网管配合,在他的路由器上添加路由)
R1的配置:
#
【
ar2
】
acl number 2000
rule 10 permit source 192.168.10.0 0.0.0.255
rule 20 permit source 192.168.20.0 0.0.0.255
rule 30 permit source 192.168.30.0 0.0.0.255
#
【
ar2
】
nat address-group 1 1.2.3.10 1.2.3.20
#
【
ar2
】
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.252
description Link_Internet
nat outbound 2000 address-group 1
#
假设 R1 的 GigabitEthernet0/0/1 的地址不是固定IP地址(DHCP 动态获取或 PPPoE 拨号获取),此时需要配置Easy IP 。
注意,此种方式,没有使用固定ip 125.171.0.10所以只能内网访问外网,外网无法访问内网。
3.1 新增配置
修改 R1 的配置:
[R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1
[R1-GigabitEthernet0/0/1]nat outbound 2000
注意,此种方式可以指定ip 125.171.0.10
并指定访问端口,可以试下内外互相访问指定端口。
(适用于对方配合调试,如对方企业网管配合,在他的路由器上添加路由地址125.171.0.10
,有回程路由才可以互相访问
)
R1 的配置:
#
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.252
description Link_Internet
nat server protocol tcp global 125.171.0.10 www inside 192.168.30.100 www
#
指定开放端口方式的命令行,如下:
nat server protocol tcp global 125.171.0.10
8080 inside 192.168.30.10 80
1、在同一个路由表的路由,可以相互通讯
2、可以在路由器可以,新建路由表,与主路由表区分开,子路由表上的信息,如不在主路由表上,则不可以相互访问
单臂路由:(一个接口进行复用,创建多个逻辑子接口,只有物理接口可以开关,逻辑接口不能单独开关)
2.1 设置vlan 10(即对应交换机上的vlan 10)的配置信息,如下
int g0/0/0.10 设置子接口
ip address 100.1.1.254 24 配置接口路由ip
dot1q termination vid 10 剥离从交换机传过来的vlan 10标签
arp broadcast enable开启arp广播
2.2 设置vlan 20的配置信息,如下
[r1-GigabitEthernet0/0/0.10]int g0/0/0.20
[r1-GigabitEthernet0/0/0.20]dot1q termination vid 20
[r1-GigabitEthernet0/0/0.20]ip address 100.2.2.254 24
[r1-GigabitEthernet0/0/0.20]arp broadcast enable
2.3 路由隔离
[r1]ip vpn-instance server 创建子vpn路由表
[r1-vpn-instance-server]route-distinguisher 10:10 设置隔离vlan 10
[r1-vpn-instance-server]int g0/0/0.10 进入10接口
[r1-GigabitEthernet0/0/0.10]ip binding vpn-instance server 绑定vpn-instance
[r1-GigabitEthernet0/0/0.10]ip address 100.1.1.254 24 重新设定ip
[r1-GigabitEthernet0/0/0.10]display ip routing-table vpn-instance sever 查看配置的路由表
给路由器设置dns
[R1]dns resolve
[R1]dns server 114.114.114.114
设置NAT,使 PC1 可以上网
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.10.0 0.0.0.255
[R1-acl-basic-2000]int g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000
[R1-GigabitEthernet0/0/0]quit
设置默认静态路由
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.137.1
默认账户admin
默认密码 Admin@123 修改后,为huawei@123
<USG6000V1>sys #进入系统视图
[USG6000V1]sys NGFW #配置设备名称
[NGFW]dis ip int brief #显示虚拟接口对应的IP地址与使用状态
[NGFW]int g0/0/0 #进入端口GE0/0/0
[NGFW-GigabitEthernet0/0/0]ip add 192.168.1.53 24 #端口出配置IP地址
[NGFW-GigabitEthernet0/0/0]service-manage all permit #开启服务器管理员权限
[NGFW-GigabitEthernet0/0/0]dis ip int brief
参见https://codeantenna.com/a/Quv8z1PnqI
路由器上外网,参见 eNSP 桥接本地网卡连接外网_ensp怎么连接外网_Tom Ma.的博客-CSDN博客
[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 64.1.1.10 #配置去往外网的默认路由(缺省路由)。
配置安全域:
[FW1]firewall zone trust #进入信任域。
[FW1-zone-trust]add in g1/0/1 #添加内网接口。
[FW1]firewall zone untrust #进入非信任域。
[FW1-zone-untrust]add interface g1/0/3 #添加外网接口。
[FW1]firewall zone dmz #进入服务器区域。
[FW1-zone-dmz]add in g1/0/2 #添加接口。
配置安全策略:
[FW1]security-policy #进入安全策略的配置。
[FW1-policy-security]rule name shangwang #定义策略名称为shangwang。
[FW1-policy-security-rule-shangwang]source-zone trust #源区域为内网区域。
[FW1-policy-security-rule-shangwang]destination-zone untrust #目的区域为外网区域。
[FW1-policy-security-rule-shangwang]action permit #动作放行。
[FW1]security-policy #进入安全策略的配置。
[FW1-policy-security]rule name fwq #定义策略名称为fwq。
[FW1-policy-security-rule-fwq]source-zone trust #源区域为内网区域。
[FW1-policy-security-rule-fwq]destination-zone dmz #目的区域为服务器区域。
[FW1-policy-security-rule-fwq]action permit #动作放行。
Nat策略:
[FW1]nat-policy #进入nat配置。
[FW1-policy-nat]rule name shangwang #nat策略名称为shangwang。
[FW1-policy-nat-rule-shangwang]source-zone trust #源区域为内网。
[FW1-policy-nat-rule-shangwang]destination-zone untrust #目的区域为外网。
[FW1-policy-nat-rule-shangwang]action source-nat easy-ip #执行地址转换,源ip转换为出接口ip。
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
Acl 2000
rule 10 permit source 6.6.6.0 0.0.0.255
rule 20 permit source 64.1.1.0 0.0.0.255
rule 5 permit source 192.168.10.0 0.0.0.255 #无用,可以删除,因为地址已经被防火墙nat转化了,出口在64.1.1.0
interface GigabitEthernet0/0/2
ip address 192.168.1.80 255.255.255.0
nat outbound 2000
dns resolve
dns server 114.114.114.114
[USG6000V1]firewall zone trust 进入信任区域
[USG6000V1-zone-untrust]add int g1/0/1添加信任端口
将防火墙的GE1/0/1接口加入Untrust 区域
[USG6000V1]firewall zone untrust #进入untrust区域
[USG6000V1-zone-untrust]add int g1/0/1
[USG6000V1-zone-untrust]q
配置ip_deny的地址集
[USG6000V1]ip address-set ip_deny type object
将不允许通过防火墙的IP地址加入ip_deny的地址集
[USG6000V1-object-address-set-ip_deny]address 192.168.5.2 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.3 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.3 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.6 0
[USG6000V1-object-address-set-ip_deny]q
创建不允许通过防火墙IP转发策略
[USG6000V1]security-policy //安全策略
[USG6000V1-policy-security]rule name policy_deny
[USG6000V1-policy-security-rule-policy_deny]source-address address-set ip_deny
[USG6000V1-policy-security-rule-policy_deny]action deny
[USG6000V1-policy-security-rule-policy_deny]q
创建允许属于192.168.5.0/24这个网段的IP地址通过防火墙的转发策略
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name polity_permit
[USG6000V1-policy-security-rule-polity_permit]source-address 192.168.5.0 24
[USG6000V1-policy-security-rule-polity_permit]action permit
[USG6000V1-policy-security-rule-polity_permit]q
1、两台设备进行通讯,要么在同一个网络号,要么通过三层设备,如路由器、交换机进行转发,才能通讯。
子网汇总后,子网通过修改子网掩码,保持和母网段一致,则子网和母网络,就在同一个网络号,可以直接通讯。
2、路由器协议介绍
https://www.luyouqi.com/shezhi/12986.html
3、二层交换机内,不同vlan不能直接通讯,即使他们的网段号一致
版权说明:如非注明,本站文章均为 扬州驻场服务-网络设备调试-监控维修-南京泽同信息科技有限公司 原创,转载请注明出处和附带本文链接。
请在这里放置你的在线分享代码