防火墙和交换机直连(防火墙连接交换机)
第2层交换机简介:第二层交换机是指只能执行第二层转发,而不能执行第三层转发的交换机。也就是说只支持第二层功能,不支持路由等第三层功能的交换机。
通常,第2层交换机部署在接入层,不能用作用户的网关。
网络要求:
如下图所示,PC1和PC2位于不同的网段,各个部门都有接入互联网的需求。现在要求用户通过二层交换机和防火墙访问外部网络,要求防火墙作为用户的网关。
配置思路:
1.配置交换机根据接口划分VLAN,实现二层转发。
2.将防火墙配置为用户的网关,通过子接口或VLANIF接口实现跨网段的三层转发。
3.将防火墙配置为DHCP服务器,并将IP地址分配给用户PC。
4.打开防火墙域间安全策略,以便来自不同域的消息可以相互转发。
5.配置防火墙PAT功能,以便内部网用户可以访问外部网络。
操作步骤:
步骤1:配置交换机。
VLAN划分和上下行接口配置
系统
[华为]vlan批次2 3
【华为】接口千兆以太网0/0/2
[华为千兆以太网0/0/2]端口链路式接入
[华为千兆以太网0/0/2]端口默认vlan 2
[华为-千兆以太网0/0/2]退出
【华为】接口千兆以太网0/0/3
[华为千兆以太网0/0/3]端口链路式接入
[华为千兆以太网0/0/3]端口默认vlan 3
[华为-千兆以太网0/0/3]退出
【华为】接口千兆以太网0/0/1
[华为千兆以太网0/0/1]端口链路式中继
[华为千兆以太网0/0/1]端口中继允许通过vlan 2 3
[华为-千兆以太网0/0/1]退出
[华为]退出
救援
步骤2:配置防火墙
配置防火墙有两种方法,一种是配置子接口,另一种是配置VLANIF接口。
配置防火墙通过子接口端接VLAN,实现跨网段的三层转发。
系统
接口千兆以太网1/0/1.1
vlan类型dot1q 2
ip地址192.168.2.1 24
退出
接口千兆以太网1/0/1.2
vlan类型dot1q 3
ip地址192.168.3.1 24
退出
dhcp启用
接口千兆以太网1/0/1.1
DHCP选择接口
dhcp服务器DNS-列表114.114.114.114 223.5.5.5
退出
接口千兆以太网1/0/1.2
DHCP选择接口
dhcp服务器DNS-列表114.114.114.114 223.5.5.5
退出
接口千兆以太网1/0/2
ip地址200.0.0.2 24
退出
ip路由-静态0 . 0 . 0 . 0 0 . 0 200.0.0.1
防火墙区域信任
添加接口GigabitEthernet 1/0/1
添加接口GigabitEthernet 1/0/1.1
添加接口GigabitEthernet 1/0/1.2
退出
防火墙区域不可信
添加接口GigabitEthernet 1/0/2
退出
安全策略
规则名称策略1
目标区域不可信
源地址192.168.0.0掩码255.255.0.0
行动许可
退出
退出
nat地址-组地址组1
模式pat
路由启用
第0节200.0.0.2 200.0.0.2
退出
nat策略
规则名称policy_nat1
源区域信任
目标区域不可信
源地址192.168.0.0掩码255.255.0.0
操作源-NAT地址-组地址组1
退出
退出
退出
步骤3:配置路由器。
系统
sysname互联网
接口千兆以太网0/0/1
[互联网]ip地址200.0.0.1 255 . 255 . 255 . 0
[互联网]退出
页:
[1]