作者:重孙女俘虏 | 来源:互联网 | 2023-05-18 12:23
frompc˃4楼主机房机柜华为防火墙配置三条静态路由第一章先到这里,明天第二章是AC控制器和无线AP的配置,第三章是防火墙NAT策略及安全策略的讲解,感兴趣的朋友请点击一下关注,
首先,让我们来看看z公司的网络拓扑结构图。 制造中心和研发中心不在同一地址。 两家公司通过防火墙以IPSEC VPN的形式进行连接,以实现两家公司之间的内部网互联的目的
z公司的网络拓扑结构图
第2篇的内容比较多,只能分几章进行说明,但今天要先配置制造中心的内部网
一、客户诉求:
1、内部网分为(1)办公室网络、)2)生产网络、)3)访客网络三个网络段
2、AP发出三个无线信号。 (1)对office-- )生产网的访问,)2)对produce-- )生产网的连接,)3)对guest-- )访问者网的连接
3、网络接入规则: (1)生产网禁止接入互联网)访客网络禁止接入整个内部网,只能接入互联网
二、需求分析和网络计划
1、在核心交换机上创建3个VLAN。 VLAN127---办公室网络; vlan125--生产网; vlan126--来宾网络
2、AC控制器和AP访问VLAN127,在AC控制器上配置VLAN,不同的SSID绑定在不同的VLAN上;
3、内部网的访问规则使用核心交换机的ACL进行
4、外网的接入规则是用防火墙的策略来实现的
三、根据客户诉求和网络规则绘制拓扑图,然后根据拓扑图连接相关设备。 连接方式是用光纤连接3层和4层之间,在同一机壳内有光纤跳线连接和网络跳线连接
4楼主室柜
三楼生产车间机柜
四、核心交换机的构成
打开DHCP启用//DHCP
定义hcp服务器IP -池虚拟机125//DHCP地址池名称
网关列表192.168.125.1//网关IP的分配
网络192.168.125.0掩码255.255.255.0//声明网络掩码和子网掩码
分配DNS-list114.114.114.114//DNS服务器
设定expired day 0 hour 8 //要分配的IP的有效期限
hcpserverforbidden-IP 192.168.125.1192.168.125.50//设置保留的IP地址段
DHCP服务器forbidden-IP 192.168.125.151192.168.125.254//设置保留的IP地址段
进入接口局域网-接口125//局域网125配置
IP地址192.168.125.1255.255.255.0//配置VLAN125的IP地址
指定dcpserverapplyip -池虚拟机125//虚拟机125的IP地址池
其他两个网段的配置方法相同,保留的IP频段根据需要进行调整
进入接口千兆以太网1/0/23//千兆以太网1/0/23端口配置
port link-mode route //此接口连接到防火墙,因此设置为路由模式(3层模式)
IP地址192.168.124.254255.255.252.0//配置此接口的IP地址
通过执行以下命令,将连接到计算机或未进行网络管理的交换机的端口写入相应的VLAN
接口千兆以太网1/0/1//入口端口配置
port link-mode bridge //将此接口设置为桥接模式(双层模式)
端口访问vlan127设置端口属于vlan127
必须按照以下命令配置不同VLAN通过的端口。
接口千兆以太网1/0/17//入口配置
port link-mode bridge //将此接口设置为桥接模式(双层模式)
端口链路类型干线//配置此接口干线模式
端口干线权限VLAN全部//允许所有VLAN通过
设定默认路线很重要。 否则,内部网的所有计算机都将无法连接到外部网
IP路由静态0.0.0.0.0192.168.124.1//192.168.124.1是固态防火墙局域网端口IP
设置两个网段不能相互访问的ACL
ACL编号3003
规则1从属IP源192.168.127.0.0.0.255目的地192.168.126.0.0.0.255
规则2从属IP来源192.168.126.0.0.0.255目的地192.168.127.0.0.255
ACL建立后,也应适用于相关的VLAN
接口VLAN -接口126
包过滤器3003绑定
五、其他开关的配置,根据需要参照核心开关进行配置即可;
六、防火墙配置:防火墙的网站管理界面,配置三个静态路由,使各VLAN可以与防火墙进行通信,从而达到互联网的目的
华为构成三个静态路由
第一章先来这里,明天第二章是AC控制器和无线AP的配置,第三章是防火墙NAT战略和安全战略的讲解,有兴趣的朋友请点击关注,欢迎讨论,共同学习