华为防火墙与二层交换机对接配置VLAN上网设置

已于 2023-01-06 12:35:16 修改
阅读量6k 收藏 45
点赞数 7
分类专栏: 数通技术 文章标签: 华为 网络 运维
于 2023-01-05 17:20:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mshxuyi/article/details/128566403
版权

拓扑图

 一、防火墙设置

1、G1/0/0接口设置IP,G1/0/1接口切换二层口设置VLAN,G1/0/0 桥接了本地无线网卡来模拟公网地址

<USG6000V1>sys
[USG6000V1]sys FW1
[FW1]un in en

# 设置公网IP
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip addr 192.168.137.10 24

# 开启所有服务
[FW1-GigabitEthernet1/0/0]service-manage all permit

# 切换二层口并加入VLAN
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]portswitch
[FW1-GigabitEthernet1/0/1]p l t
[FW1-GigabitEthernet1/0/1]p t a v a
[FW1-GigabitEthernet1/0/1]quit

2、VLANIF 配置 DHCP,开启PING服务

# 开启DHCP
[FW1]dhcp enable

# 创建VLAN
[FW1]vlan batch 16 17

# VLAN设置IP,基于接口开启DHCP
[FW1]int vlanif 16
[FW1-Vlanif16]ip addr 172.16.0.1 24
[FW1-Vlanif16]dhcp select int
[FW1-Vlanif16]dhcp server dns-list 114.114.114.114

# 单独开启PING服务
[FW1-Vlanif16]service-manage ping permit

[FW1-Vlanif16]int vlanif 17
[FW1-Vlanif17]ip addr 172.17.0.1 24
[FW1-Vlanif17]service-manage ping permit
[FW1-Vlanif17]dhcp select int
[FW1-Vlanif17]dhcp server dns-list 114.114.114.114
[FW1-Vlanif17]service-manage ping permit
[FW1-Vlanif17]quit

 3、配置安全区域

# 配置安全区域
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]firewall zone trust
[FW1-zone-trust]add int g1/0/1
[FW1-zone-trust]add int vlanif 16
[FW1-zone-trust]add int vlanif 17
[FW1-zone-trust]quit

4、创建地址列表

[FW1]ip address-set 172.16.0.0/24 type object
[FW1-object-address-set-172.16.0.0/24]address 0 172.16.0.0 mask 24
[FW1-object-address-set-172.16.0.0/24]ip address-set 172.17.0.0/24 type object
[FW1-object-address-set-172.17.0.0/24]address 0 172.17.0.0 mask 24
[FW1-object-address-set-172.17.0.0/24]quit

5、配置安全策略

[FW1]security-policy
[FW1-policy-security]rule name "untrust to local"
[FW1-policy-security-rule-untrust to local]source-zone untrust
[FW1-policy-security-rule-untrust to local]destination-zone local
[FW1-policy-security-rule-untrust to local]action permit

[FW1-policy-security-rule-untrust to local]rule name "local to untrust"
[FW1-policy-security-rule-local to untrust]source-zone local
[FW1-policy-security-rule-local to untrust]destination-zone untrust
[FW1-policy-security-rule-local to untrust]action permit

[FW1-policy-security-rule-local to untrust]rule name "trust to untrust"
[FW1-policy-security-rule-trust to untrust]source-zone trust
[FW1-policy-security-rule-trust to untrust]destination-zone untrust
[FW1-policy-security-rule-trust to untrust]source-address address-set 172.16.0.0/24
[FW1-policy-security-rule-trust to untrust]source-address address-set 172.17.0.0/24
[FW1-policy-security-rule-trust to untrust]action permit
[FW1-policy-security-rule-trust to untrust]quit

6、配置NAT策略

[FW1-policy-security]nat-policy
[FW1-policy-nat]rule name snat
[FW1-policy-nat-rule-snat]source-zone trust
[FW1-policy-nat-rule-snat]destination-zone untrust
[FW1-policy-nat-rule-snat]source-address address-set 172.16.0.0/24
[FW1-policy-nat-rule-snat]source-address address-set 172.17.0.0/24
[FW1-policy-nat-rule-snat]action source-nat easy-ip

7、设置默认路由

[FW1]ip route-static 0.0.0.0 0.0.0.0 192.168.137.1

8、配置DNS

[FW1]dns resolve
[FW1]dns server 114.114.114.114

二、交换机设置

1、配置

[Huawei]sys
[Huawei]sys sw1
[sw1]un in en

# 创建VLAN
[sw1]vlan batch 16 17

# 接口设置VLAN
[sw1]int e0/0/16
[sw1-Ethernet0/0/16]p l a
[sw1-Ethernet0/0/16]p d v 16

[sw1-Ethernet0/0/16]int e0/0/17
[sw1-Ethernet0/0/17]p l a
[sw1-Ethernet0/0/17]p d v 17

[sw1-Ethernet0/0/17]int e0/0/1
[sw1-Ethernet0/0/1]p l t
[sw1-Ethernet0/0/1]p t a v a

三、CLOUD 云设置

1、设置如下

2、以太网3--IP:192.168.137.1是本地添加的一张环回网卡

3、无线网卡共享给这张环回网卡,以实现上网,共享后环回网卡IP会自动变成 192.168.137.1,这里系统默认设置的IP

四、测试验证

1、首先查看防火墙能不能上网

# 外网网关
[FW1]ping 192.168.137.1
  PING 192.168.137.1: 56  data bytes, press CTRL_C to break
    Reply from 192.168.137.1: bytes=56 Sequence=1 ttl=128 time=3 ms
    Reply from 192.168.137.1: bytes=56 Sequence=2 ttl=128 time=3 ms
    Reply from 192.168.137.1: bytes=56 Sequence=3 ttl=128 time=2 ms
    Reply from 192.168.137.1: bytes=56 Sequence=4 ttl=128 time=2 ms
    Reply from 192.168.137.1: bytes=56 Sequence=5 ttl=128 time=1 ms

  --- 192.168.137.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 1/2/3 ms

# 正常访问外网
[FW1]ping 114.114.114.114
  PING 114.114.114.114: 56  data bytes, press CTRL_C to break
    Reply from 114.114.114.114: bytes=56 Sequence=1 ttl=78 time=35 ms
    Reply from 114.114.114.114: bytes=56 Sequence=2 ttl=63 time=32 ms
    Reply from 114.114.114.114: bytes=56 Sequence=3 ttl=64 time=46 ms
    Reply from 114.114.114.114: bytes=56 Sequence=4 ttl=62 time=42 ms
    Reply from 114.114.114.114: bytes=56 Sequence=5 ttl=82 time=39 ms

  --- 114.114.114.114 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 32/38/46 ms

2、PC1

# 成功获取IP
PC1>ipconfig

Link local IPv6 address...........: fe80::5689:98ff:fe42:4c93
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 172.16.0.218
Subnet mask.......................: 255.255.255.0
Gateway...........................: 172.16.0.1
Physical address..................: 54-89-98-42-4C-93
DNS server........................: 114.114.114.114

3、PC2

PC2>ipconfig

Link local IPv6 address...........: fe80::5689:98ff:fe9c:4e3c
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 172.17.0.102
Subnet mask.......................: 255.255.255.0
Gateway...........................: 172.17.0.1
Physical address..................: 54-89-98-9C-4E-3C
DNS server........................: 114.114.114.114

4、验证PC1 PC2能否上网

PC1>ping www.baidu.com

www.baidu.com -> www.a.shifen.com

Ping www.a.shifen.com [110.242.68.3]: 32 data bytes, Press Ctrl_C to break
From 110.242.68.3: bytes=32 seq=1 ttl=47 time=63 ms
From 110.242.68.3: bytes=32 seq=2 ttl=47 time=46 ms
From 110.242.68.3: bytes=32 seq=3 ttl=47 time=94 ms
From 110.242.68.3: bytes=32 seq=4 ttl=47 time=78 ms
From 110.242.68.3: bytes=32 seq=5 ttl=47 time=47 ms

--- 110.242.68.3 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 46/65/94 ms

5、验证PC1 PC2互通

PC1>ping 172.17.0.102

Ping 172.17.0.102: 32 data bytes, Press Ctrl_C to break
From 172.17.0.102: bytes=32 seq=1 ttl=127 time=62 ms
From 172.17.0.102: bytes=32 seq=2 ttl=127 time=63 ms
From 172.17.0.102: bytes=32 seq=3 ttl=127 time=47 ms
From 172.17.0.102: bytes=32 seq=4 ttl=127 time=47 ms
From 172.17.0.102: bytes=32 seq=5 ttl=127 time=62 ms

--- 172.17.0.102 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 47/56/63 ms

五、进入WEB管理界面

1、接口管理

int g1/0/0 接口 

int g1/0/1 接口,已经转成二层接口

VLAN 16 接口 

VLAN 17 接口 

 2、DHCP管理

3、安全策略

4、NAT策略

5、地址

6、静态路由

7、DNS管理

Tom Ma.
关注
  • 7
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ENSP中二层交换机防火墙USG6000对接上网配置示例(DHCP,Vlan,NAT)
Liu_xiaoxing的博客
03-01 1万+
网络拓扑 配置交换机基于接口划分VLAN,实现二层转发。 配置防火墙作为用户的网关,通过子接口或VLANIF接口实现跨网段的三层转发。 配置防火墙作为DHCP服务器,为用户PC分配IP地址。 开启防火墙域间安全策略,使不同域的报文可以相互转发。 配置防火墙PAT功能,使内网用户可以访问外部网络。 交换机配置防火墙配置: 端口和DH...
华为设备配置基于VLAN二层协议透明传输
Tony_long7483的博客
01-25 1987
华为设备配置基于VLAN二层协议透明传输
二层交换机与路由器连通上网实验
最新发布
weixin_42185241的博客
05-05 850
华为二层交换机与路由器连通上网实验
华为二层交换机防火墙配置上网示例
专研计算机网络,数据通信,网络安全,系统集成
01-27 1459
二层交换机指的是仅能够进行二层转发,不能进行三层转发的交换机。也就是说仅支持二层特性,不支持路由等三层特性的交换机。二层交换机一般部署在接入层,不能作为用户的网关。
华为交换机入门(六):VLAN配置
晓风残月淡的博客
01-02 7783
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术VLAN内的主机间可以直接通信,而VLAN间不能直接互通,从而将广播报文限制在一个VLAN内。VLAN 主要用来解决如何将大型网络划分为多个小网络,隔离原本在同一个物理LAN中的不同主机间的二层通信,以使广播流量不会占据更多带宽资源,同时也提高网段间的安全性,因为广播域缩小了,广播风暴产生的可能性也大大降低了。
网络防御--防火墙接口配置
m0_70638961的博客
01-25 554
(这里IP地址是你设置的IP地址,后缀为8443端口),输入admin用户名,密码为修改后的密码。注意:1.默认用户名为admin,密码为Admin@123,进入防火墙后需要自行修改密码。2.g0/0/0接口的IP地址要跟网卡的IP地址在同一网段内。1.防火墙向下使用子接口分别对应生产区和办公区。2.所有分区设备可以ping通网关。1.划分总公司的vlan。3.配置各接口和设备ip。打开浏览器,在导航栏输入。配置DMZ区域接口IP。2.web访问防火墙
华为三层交换机与防火墙对接上网配置示例
qwm06211337的博客
11-23 998
配置完成后,PC1和PC2都可以Ping通外网的IP 203.0.113.1/24,PC1和PC2都可以访问Internet。配置外网PC的IP地址为203.0.113.1/24,网关为203.0.113.2。1、配置交换机作为用户的网关,通过VLANIF接口,实现跨网段用户互访。# 配置连接防火墙的接口和对应的VLANIF接口。# 配置连接用户的接口和对应的VLANIF接口。# 配置连接交换机的接口对应的IP地址。# 配置连接公网的接口对应的IP地址。# 配置安全策略,允许域间互访。
华为三层交换机和防火墙对接上网
08-11
华为三层交换和防火墙对接上网VLAN划分,NAT,静态路由。
华为三层交换和路由器对接上网
08-11
华为三层交换和路由器对接上网VLAN划分,NAT,静态路由。
由浅入深玩转华为WLAN----5 AP上线与对接交换机接口配置注意事项1
08-03
本文将深入探讨华为WLAN中AP上线与对接交换机接口配置的关键点,这对于构建稳定且高效的企业级无线网络至关重要。首先,WLAN业务配置通常涉及一个管理VLAN和一个或多个业务VLAN。管理VLAN用于AP与AC之间的通信,而...
2950交换机vlan trunk配置实例
02-20
在这个配置实例中,我们将探讨如何在2950交换机上设置VLAN Trunk,以实现不同VLAN间的通信。 首先,理解VLAN的基本概念是至关重要的。VLAN是一种将物理网络划分成逻辑网络技术,它可以在同一物理网络中创建多个...
H3C-S1526 vlan 配置
07-24
标题 "H3C-S1526 vlan 配置" 提到的是针对H3C S1526这款交换机进行虚拟局域网(VLAN)的设置。H3C S1526是一款由华为旗下的H3C公司推出的交换机,它在企业网络环境中被广泛使用,尤其在需要划分不同网络区域或者提高...
华为USG防火墙入门基础07_通过VLAN Trunk实现跨设备VLAN通信
IT_zhangsan
06-15 635
VLAN跨越设备实现时,需要配置设备的互连接口为Trunk接口。互连的Trunk接口组成Trunk链路,这条链路上能够同时承载多个VLAN的数据,这些数据通过各自携带的VLAN标识(802.1Q tag)进行区分。,显示接口GigabitEthernet 1/0/1、GigabitEthernet 1/0/2和GigabitEthernet 1/0/3的信息,检查三个接口的物理状态是否均为Up。所示,某公司的财务部门和市场部门分布在不同的楼宇中,通过两台FW相连。配置VLAN Trunk组网图。
网络入门-VLAN间路由
不定期分享一些自己的学习笔记
10-19 939
网络入门-VLAN间路由
山石网科Hillstone防火墙VLAN接口配置方案(官新版)
路与肥的博客
04-28 3497
山石网科Hillstone安全网关防火墙VLAN接口配置方案(最新版)
网络概念- VLAN技术详解
鬼刺
02-27 1097
引言:工作中一直用VLAN和VXLAN,但是没有形成知识体系,百度一下大神们的文章,在此整理成学习笔记。感谢大神们的无私分享,参照的主要文章链接如下: http://network.51cto.com/art/201902/592347.htm https://blog.csdn.net/dylloveyou/article/details/80107792 https://blog.51c...
华为防火墙二层HRP主备注意事项
qq_39372262的博客
07-12 1430
华为防火墙二层HRP主备注意事项 华为防火墙没有STP协议并且透传BPDU报文以至于不能阻断端口,造成防火墙与交换机形成广播风暴,可以参考此种模式解决防火墙热备形成环路问题 !
华为设备二层协议透明传输命令
Tony_long7483的博客
01-25 1329
华为设备二层协议透明传输命令
5-华为防火墙二层和三层接入的安全策略配置差异
weixin_33712987的博客
07-07 5475
一、实验拓扑: 二、实验要求:1、内网:连接R2接口G0/0/2是三层接口,其它接口都是二层接口;R1、R2、R3部署默认路由到USG;2、USG上创建VLAN 10、202,并将G0/0/0划分到VLAN 202,G0/0/1划分到VLAN 10;3、部署Policy 0:允许Trust到Untrust的ICMP流量出去;部署Policy 1:允许DMZ到Untrust Outbound的ICM...
华为交换机配置vlan上网方式
10-23
华为交换机配置VLAN上网方式有以下几步: 1. 连接华为交换机。首先,将计算机与华为交换机通过网线连接起来。确保连接的网线是正常的。 2. 登录华为交换机。打开浏览器,在地址栏中输入默认的管理IP地址(例如192.168.1.1),回车。 3. 输入用户名和密码。在登录界面中输入正确的用户名和密码,点击登录按钮。 4. 创建VLAN。在交换机配置界面中,找到VLAN创建选项,并点击新建VLAN。根据需要,输入VLAN的ID和名称,并点击确认按钮。 5. 配置端口。在交换机配置界面中,找到端口配置选项,并选择需要加入到新建的VLAN中的端口。点击确认按钮保存配置。 6. 配置VLAN接口。在交换机配置界面中,找到VLAN接口配置选项,并选择新建的VLAN接口进行配置配置VLAN接口的IP地址和子网掩码。 7. 开启VLAN。在交换机配置界面中,找到开启VLAN选项,并选择需要开启的VLAN。点击确认按钮保存配置。 8. 完成配置。确认所有配置都已保存后,重启交换机。 通过以上步骤,就可以成功配置华为交换机的VLAN上网方式。用户可以根据实际需求创建不同的VLAN,并将需要上网的设备连接到相应的端口上,实现不同VLAN的互相隔离和独立上网

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值