华为二层交换机对接防火墙

华为二层交换机对接防火墙

Scroll Down

华为二层交换机对接防火墙,基本上不常用,大多都是使用的三层交换机进行对接的,而且应为是二层交换机,因此不能开启DHCP,所以需要在防火墙上开启DHCP,这个基本也是不常用的。其中的防火墙需要采用采用网关模式进行对接。

之前讲过路由器和二三层交换机对接,但是路由器和防火墙两个的区别在于:

  1. 路由器默认所有的数据都是允许通过
  2. 防火墙默认所有的数据都是禁止通过

1.jpg

上面实验:

  1. 实在华为ensp模拟器进行的实验,交换采用S3700、防火墙用的USG6000V。
  2. AR2路由只是配置了GE0/0/0DE地址10.0.0.2充当外网,和一条回到内网络的路由。
  3. LSW1交换机建立VLAN10、20,同时连接电脑端口配置为ACCESS,和防火墙对接的为trunk,并且允许所有VLAN通过。
  4. 电脑都配置为DHCP自动获取。

现在我们来主要配置防火墙:

1.基础配置

<USG6000V1>sys

[USG6000V1]sys name F1

2.配置外网接口


[F1]interface GigabitEthernet1/0/0

[F1-GigabitEthernet1/0/0]ip address 10.0.0.1 255.255.255.0

配置出去默认路由


[F1]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2

3.内网接口对接交换机


[F1]int g 1/0/1

[F1-GigabitEthernet1/0/1]portswitch

[F1-GigabitEthernet1/0/1]port lin trunk

[F1-GigabitEthernet1/0/1]port trunk allow-pass vlan all

4.配置VLAN DHCP池


[F1]dhcp enable

[F1]ip pool vlan10

[F1-ip-pool-vlan10]network 192.168.10.1 mask 26

[F1-ip-pool-vlan10]gateway-list 192.168.10.1

[F1-ip-pool-vlan10]dns-list 8.8.8.8

[F1]ip pool vlan20

[F1-ip-pool-vlan20]network 192.168.20.1 m 26

[F1-ip-pool-vlan20]gat 192.168.20.1

[F1-ip-pool-vlan20]dns 8.8.8.8

5.配置VLAN接口


[F1]vlan b 10 20

[F1]int vlan 10

[F1-Vlanif10]ip add 192.168.10.1 26

[F1-Vlanif10]dhcp select global

[F1]int vlan20

[F1-Vlanif20]ip add 192.168.20.1 26

[F1-Vlanif20]dhcp select global

验证DHCP:

2.jpg

PC1

3.jpg

PC2

6.将接口添加进各个区域


[F1] firewall zone trust

[F1-zone-trust]add interface GigabitEthernet 1/0/1

[F1-zone-trust]add interface Vlanif10

[F1-zone-trust]add interface Vlanif20

[F1]firewall zone untrust

[F1-zone-untrust]add interface GigabitEthernet 1/0/0

7.配置出外网的安全策略


[F1] security-policy

[F1-policy-security]rule name out1

[F1-policy-security-rule-out1]source-zone trust

[F1-policy-security-rule-out1]destination-zone untrust

[F1-policy-security-rule-out1]source-address 192.168.0.0 mask 255.255.0.0

[F1-policy-security-rule-out1]action permit

8.配置PAT地址池,开启允许端口地址转换。


[F1]nat address-group outdizhi

[F1-address-group-outdizhi]mode pat

[F1-address-group-outdizhi]route enable

[F1-address-group-outdizhi]section 0 10.0.0.1 10.0.0.1

9.配置地址转换策略

[F1]nat-policy

[F1-policy-nat]rule name natout

[F1-policy-nat-rule-natout]source-zone trust

[F1-policy-nat-rule-natout]destination-zone untrust

[F1-policy-nat-rule-natout]source-address 192.168.0.0 m 255.255.0.0

[F1-policy-nat-rule-natout]action nat address-group outdizhi

这样我们就配置完成了,使用PC ping外网10.0.0.2

4.jpg

pc2