交換機與防火墻如何配置上網(wǎng) 交換機與防火墻在網(wǎng)絡(luò)中起什么作用

幾乎稍有規(guī)模的網(wǎng)絡(luò)項目，都有交換機與防火墻，那么交換機與防火墻如何配置上網(wǎng)呢？各自在網(wǎng)絡(luò)中起什么作用呢？本期我們通過示例一起來詳細(xì)了解。

配置示例：三層交換機與防火墻對接上網(wǎng)

我們上面了解到了防火墻與交換機的區(qū)別與功能，那么防火墻與交換機又是如何配合使用在項目中呢？這里面我們以華為配置為例。

一、組網(wǎng)網(wǎng)要求

某公司擁有多個部門且位于不同網(wǎng)段，各部門均有訪問Internet的需求。現(xiàn)要求用戶通過三層交換機和防火墻訪問外部網(wǎng)絡(luò)，且要求三層交換機作為用戶的網(wǎng)關(guān)，使pc1與pc2都能夠訪問外網(wǎng)。

二、三層交換機與防火墻對接上網(wǎng)組網(wǎng)圖

三、配置思路

配置交換機作為用戶的網(wǎng)關(guān)，通過VLANIF接口，實現(xiàn)跨網(wǎng)段用戶互訪。

配置交換機作為DHCP服務(wù)器，為用戶分配IP地址。

開啟防火墻域間安全策略，使不同域的報文可以相互轉(zhuǎn)發(fā)。

配置防火墻PAT轉(zhuǎn)換功能，使用戶可以訪問外部網(wǎng)絡(luò)。

四、配置步驟

1、配置交換機

配置連接用戶的接口和對應(yīng)的VLANIF接口。

systemview
[HUAWEI]sysnameSwitch
[Switchlylanbatch23
[Switch]interfacegigabitethernet0/0/2
[Switch-GigabitEthernet0/0/2]portlink-typeaccess//配置接口接入類型為access
[Switch-GigabitEthernet0/0/2]portdefaultwlan2//配置接口加入VAN2
[Switch-GigabitEthernet0/0/2]quit
[Switch]interfacegigabitethernet0/0/3
[Switch-GigabitEthernet0/0/3]portlinktypeaccess
[Switch-GigabitEthernet0/0/3]]portdefaultylan3
[Switch-GigabitEthernet0/0/3]qwit
[Switch]interfacewlanif2
[Switch-vlanif2]ipaddress192.168.1.124
[Switch-Vlanif2]quit
[Switch]interfacewlanif3
[Switch-Vlanif3]ipaddress192.168.2124
[Switch-Vlanif3]quit

# 配置連接防火墻的接口和對應(yīng)的VLANIF接口。

# 配置缺省路由。

# 配置DHCP服務(wù)器。

現(xiàn)在交換機配置完全。

2、配置防火墻

# 配置連接交換機的接口對應(yīng)的IP地址。

# 配置連接公網(wǎng)的接口對應(yīng)的IP地址。

# 配置缺省路由和回程路由。

# 配置安全策略。

# 配置安全策略，允許域間互訪。

# 配置PAT地址池，開啟允許端口地址轉(zhuǎn)換。

# 配置源PAT策略，實現(xiàn)私網(wǎng)指定網(wǎng)段訪問公網(wǎng)時自動進行源地址轉(zhuǎn)換。

經(jīng)過配置后：

配置PC1的IP地址為192.168.1.2/24，網(wǎng)關(guān)為192.168.1.1；PC2的IP地址為192.168.2.2/24，網(wǎng)關(guān)為192.168.2.1。

配置外網(wǎng)PC的IP地址為200.0.0.1/24，網(wǎng)關(guān)為200.0.0.2。

配置完成后，PC1和PC2都可以Ping通外網(wǎng)的IP 200.0.0.1/24，PC1和PC2都可以訪問Internet。

審核編輯：湯梓紅