h3c防火墙开启ping(h3c防火墙忘记密码)

首先，让我们来看看z公司的网络拓扑结构图。 制造中心和研发中心不在同一地址。 两家公司通过防火墙以IPSEC VPN的形式进行连接，以实现两家公司之间的内部网互联的目的

z公司的网络拓扑结构图

第2篇的内容比较多，只能分几章进行说明，但今天要先配置制造中心的内部网

一、客户诉求：

1、内部网分为(1)办公室网络、)2)生产网络、)3)访客网络三个网络段

2、AP发出三个无线信号。 (1)对office-- )生产网的访问，)2)对produce-- )生产网的连接，)3)对guest-- )访问者网的连接

3、网络接入规则： (1)生产网禁止接入互联网)访客网络禁止接入整个内部网，只能接入互联网

二、需求分析和网络计划

1、在核心交换机上创建3个VLAN。 VLAN127---办公室网络； vlan125--生产网； vlan126--来宾网络

2、AC控制器和AP访问VLAN127，在AC控制器上配置VLAN，不同的SSID绑定在不同的VLAN上；

3、内部网的访问规则使用核心交换机的ACL进行

4、外网的接入规则是用防火墙的策略来实现的

三、根据客户诉求和网络规则绘制拓扑图，然后根据拓扑图连接相关设备。 连接方式是用光纤连接3层和4层之间，在同一机壳内有光纤跳线连接和网络跳线连接

4楼主室柜

三楼生产车间机柜

四、核心交换机的构成

打开DHCP启用//DHCP

定义hcp服务器IP -池虚拟机125//DHCP地址池名称

网关列表192.168.125.1//网关IP的分配

网络192.168.125.0掩码255.255.255.0//声明网络掩码和子网掩码

分配DNS-list114.114.114.114//DNS服务器

设定expired day 0 hour 8 //要分配的IP的有效期限

hcpserverforbidden-IP 192.168.125.1192.168.125.50//设置保留的IP地址段

DHCP服务器forbidden-IP 192.168.125.151192.168.125.254//设置保留的IP地址段

进入接口局域网-接口125//局域网125配置

IP地址192.168.125.1255.255.255.0//配置VLAN125的IP地址

指定dcpserverapplyip -池虚拟机125//虚拟机125的IP地址池

其他两个网段的配置方法相同，保留的IP频段根据需要进行调整

进入接口千兆以太网1/0/23//千兆以太网1/0/23端口配置

port link-mode route //此接口连接到防火墙，因此设置为路由模式(3层模式)

IP地址192.168.124.254255.255.252.0//配置此接口的IP地址

通过执行以下命令，将连接到计算机或未进行网络管理的交换机的端口写入相应的VLAN

接口千兆以太网1/0/1//入口端口配置

port link-mode bridge //将此接口设置为桥接模式(双层模式)

端口访问vlan127设置端口属于vlan127

必须按照以下命令配置不同VLAN通过的端口。

接口千兆以太网1/0/17//入口配置

port link-mode bridge //将此接口设置为桥接模式(双层模式)

端口链路类型干线//配置此接口干线模式

端口干线权限VLAN全部//允许所有VLAN通过

设定默认路线很重要。 否则，内部网的所有计算机都将无法连接到外部网

IP路由静态0.0.0.0.0192.168.124.1//192.168.124.1是固态防火墙局域网端口IP

设置两个网段不能相互访问的ACL

ACL编号3003

规则1从属IP源192.168.127.0.0.0.255目的地192.168.126.0.0.0.255

规则2从属IP来源192.168.126.0.0.0.255目的地192.168.127.0.0.255

ACL建立后，也应适用于相关的VLAN

接口VLAN -接口126

包过滤器3003绑定

五、其他开关的配置，根据需要参照核心开关进行配置即可；

六、防火墙配置：防火墙的网站管理界面，配置三个静态路由，使各VLAN可以与防火墙进行通信，从而达到互联网的目的

华为构成三个静态路由

第一章先来这里，明天第二章是AC控制器和无线AP的配置，第三章是防火墙NAT战略和安全战略的讲解，有兴趣的朋友请点击关注，欢迎讨论，共同学习