news 2026/7/1 14:39:34

详解 三层交换机与防火墙对接上网配置示例

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
详解 三层交换机与防火墙对接上网配置示例

组网要求:

如所示,某公司拥有多个部门且位于不同网段,各部门均有访问Internet的需求。现要求用户通过三层交换机和防火墙访问外部网络,且要求三层交换机作为用户的网关。

IP设置:

1、Switch:vlanif2:192.168.1.1/24,vlanif3:192.168.2.1/24,vlanif100:192.168.100.2/24

2、FW1:GE1/0/1:192.168.100.1/24,GE1/0/2:200.0.0.2/24

AR1:GE0/0/0:200.0.0.1/24,loopback0:3.3.3.3/32

配置思路

1.配置交换机作为用户的网关,通过VLANIF接口,实现跨网段用户互访。

2.配置交换机作为DHCP服务器,为用户分配IP地址。

3.开启防火墙域间安全策略,使不同域的报文可以相互转发。

4.配置防火墙PAT转换功能,使用户可以访问外部网络。

配置步骤:

步骤1配置交换机

#配置连接用户的接口和对应的VLANIF接口。

配置连接防火墙的接口和对应的 VLANIF 接口。

配置缺省路由。

//缺省路由的下一跳是防火墙接口的 IP 地址192.168.100.1

ip route-static 0.0.0.0 0.0.0.0 192.168.100.1

配置 DHCP 服务器。

[Switch] dhcp enable[Switch] interface vlanif 2[Switch-Vlanif2] dhcp select interface //DHCP 使用接口地址池的方式为用户分配 IP 地址[Switch-Vlanif2] dhcp server dns-list 8.8.8.8

配置的 DNS-List 114.114.114.114 是公用的 DNS 服务器地址,是不区分运营商的。在实际应用中,请根据运营商分配的 DNS 进行配置

[Switch-Vlanif2] quit[Switch] interface vlanif 3[Switch-Vlanif3] dhcp select interface[Switch-Vlanif3] dhcp server dns-list 8.8.8.8[Switch-Vlanif3] quit

2 配置防火墙

配置连接交换机的接口对应的 IP 地址。

<USG6600> system-view[USG6600] interface gigabitethernet 1/0/1[USG6600-GigabitEthernet1/0/1] ip address 192.168.100.1 255.255.255.0[USG6600-GigabitEthernet1/0/1] quit

配置连接公网的接口对应的 IP 地址。

[USG6600] interface gigabitethernet 1/0/2[USG6600-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0

配置连接公网接口的 IP 地址和公网的 IP地址在同一网段

[USG6600-GigabitEthernet1/0/2] quit

配置缺省路由和回程路由。

[USG6600] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1

//配置静态缺省路由的下一跳指向公网提供的 IP 地址200.0.0.1

[USG6600] ip route-static 192.168.0.0 255.255.0.0 192.168.100.2

//配置回程路由的下一跳就指向交换机上行接口的 IP 地址 192.168.100.2

配置安全策略。

配置安全策略,允许域间互访。

配置 PAT 地址池,开启允许端口地址转换。

配置源 PAT 策略,实现私网指定网段访问公网时自动进行源地址转换。

[USG6600] nat-policy[USG6600-policy-nat] rule name policy_nat1[USG6600-policy-nat-rule-policy_nat1] source-zone trust[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0 //允许进行 PAT 转换的源 IP 地址[USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1[USG6600-policy-nat-rule-policy_nat1] quit[USG6600-policy-nat] quit[USG6600] quit

检查配置结果

配置 PC1 的 IP 地址为 192.168.1.2/24,网关为 192.168.1.1;PC2 的 IP 地址为192.168.2.2/24,网关为 192.168.2.1。配置完成后,PC1 和 PC2 都可以 Ping 通外网的 IP3.3.3.3,PC1 和 PC2 都可以访问 Internet。

Switch 的主要配置文件:

sysname Switch

#

undo info-center enable

#

vlan batch 2 to 3 100

#

dhcp enable

#

interface Vlanif2

ip address 192.168.1.1 255.255.255.0

dhcp select interface

dhcp server dns-list 8.8.8.8

#

interface Vlanif3

ip address 192.168.2.1 255.255.255.0

dhcp select interface

dhcp server dns-list 8.8.8.8

#

interface Vlanif100

ip address 192.168.100.2 255.255.255.0

#

#

interface MEth0/0/1

interface GigabitEthernet0/0/1

port link-type access

port default vlan 100

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 2

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 3#

#

return

ip route-static 0.0.0.0 0.0.0.0 192.168.100.1

五、FW1 的主要配置文件:

undo info-center enable

#

#

#

sysname FW1

interface GigabitEthernet1/0/1

undo shutdown

ip address 192.168.100.1 255.255.255.0

#

interface GigabitEthernet1/0/2

undo shutdown

ip address 200.0.0.2 255.255.255.0

#

firewall zone local

set priority 100

#

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/0

add interface GigabitEthernet1/0/1

#

firewall zone untrust

set priority 5

add interface GigabitEthernet1/0/2

#

firewall zone dmz

set priority 50

#

#

ip route-static 0.0.0.0 0.0.0.0 200.0.0.1

ip route-static 192.168.0.0 255.255.0.0 192.168.100.2

security-policy

rule name policy1

source-zone trust

destination-zone untrust

source-address 192.168.0.0 mask 255.255.0.0

action permit

#nat-policy

rule name policy_nat1

source-zone trust

destination-zone untrust

source-address 192.168.0.0 mask 255.255.0.0

action source-nat easy-ip

#

return

六、AR1 的主要配置文件:

#

sysname AR1

#

interface GigabitEthernet0/0/0

ip address 200.0.0.1 255.255.255.0

#

interface LoopBack0

ip address 3.3.3.3 255.255.255.255

#

return

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/1 14:34:07

三年Java开发面试经验:从基础到框架

“三年Java开发&#xff0c;面试了二十多家公司&#xff0c;最后发现考的根本不是框架用得多熟&#xff0c;而是你到底有没有理解底层。”——这是我从一个刚跳槽成功的前同事口中听到的原话。我深以为然。三年的经验&#xff0c;正处于一个尴尬的“进阶期”&#xff1a;你说自…

作者头像 李华
网站建设 2026/7/1 14:29:22

通义千问悄悄升级了RAG2.0架构,而ChatGPT仍卡在1.5版本?——来自阿里云M6实验室未公开技术简报(内部解密版)

更多请点击&#xff1a; https://intelliparadigm.com 第一章&#xff1a;通义千问RAG2.0架构升级的全局意义 通义千问RAG2.0并非简单的能力叠加&#xff0c;而是面向企业级知识服务场景的一次范式重构。其核心突破在于将传统检索-生成解耦流程升级为语义对齐驱动的闭环增强系…

作者头像 李华
网站建设 2026/7/1 14:29:23

怎样高效配置Zotero Reference:一站式PDF参考文献智能解析工具

怎样高效配置Zotero Reference&#xff1a;一站式PDF参考文献智能解析工具 【免费下载链接】zotero-reference PDF references add-on for Zotero. 项目地址: https://gitcode.com/gh_mirrors/zo/zotero-reference Zotero Reference是一款专为Zotero用户设计的PDF参考文…

作者头像 李华
网站建设 2026/7/1 14:26:16

2026年常德种植牙靠谱诊所大揭秘,哪家才是你的最佳之选?

在常德&#xff0c;牙齿缺失是不少人面临的困扰&#xff0c;而种植牙作为一种理想的修复方式&#xff0c;受到越来越多人的关注。那么在2026年的常德&#xff0c;哪些种植牙诊所比较靠谱呢&#xff1f;今天就为大家详细揭秘&#xff0c;重点推荐兰鑫口腔&#xff0c;并与常德地…

作者头像 李华