问题描述:
组网及组网描述:
公司网络拓扑如图,防火墙H3C SecPath F1000-AI 接入2条宽带, 核心交换机s5560 要求Vlan10 20 单独走电信宽带上网,Vlan50 60 走联通宽带上网 ,公司的防火墙和核心交换机如何配置,求详细配置指导,感谢~
- 2026-04-11提问
- 举报
-
(0)
第一部分:H3C SecPath F1000-AI 防火墙配置
防火墙的主要任务是作为网关,并为两个WAN口配置正确的路由。
# --- 进入系统视图 ---
system-view
sysname FW-H3C
# --- 1. 配置与核心交换机互联的接口 (GE_0/2) ---
interface GigabitEthernet 0/2
description Link_to_Core_Switch
ip address 192.168.100.254 255.255.255.0
# 将接口加入Trust区域
security-zone name Trust
import interface GigabitEthernet 0/2
quit
# --- 2. 配置电信WAN口 (假设使用 GE_0/1) ---
interface GigabitEthernet 0/1
description WAN_Engineering
ip address 10.0.0.2 255.255.255.252
# 将接口加入Untrust区域
security-zone name Untrust
import interface GigabitEthernet 0/1
quit
# --- 3. 配置联通WAN口 (假设使用 GE_0/3) ---
interface GigabitEthernet 0/3
description WAN_Unicom
ip address 20.0.0.2 255.255.255.252
# 将接口加入Untrust区域
security-zone name Untrust
import interface GigabitEthernet 0/3
quit
# --- 4. 配置到内网的静态路由 ---
# 告诉防火墙,所有内网网段的数据包,都发给核心交换机(192.168.100.253)
ip route-static 192.168.10.0 255.255.255.0 192.168.100.253
ip route-static 192.168.20.0 255.255.255.0 192.168.100.253
ip route-static 192.168.50.0 255.255.255.0 192.168.100.253
ip route-static 192.168.60.0 255.255.255.0 192.168.100.253
# --- 5. 配置默认路由 (关键步骤) ---
# 这两条默认路由优先级相同,如果没有更具体的路由,它们会形成负载分担。
# 但我们的PBR会覆盖这个行为。
ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 preference 60 # 电信默认路由,设置一个较低的preference值
ip route-static 0.0.0.0 0.0.0.0 20.0.0.1 preference 60 # 联通默认路由
# --- 6. 配置NAT (上网必备) ---
# 配置地址组,包含所有内网用户网段
nat address-group 0
section 0
mode pat
easy-ip
quit
quit
# 配置安全策略,允许Trust区域访问Untrust区域
security-policy
rule name Allow_Internal_To_Internet
source-zone trust
destination-zone untrust
action permit
quit
# 配置NAT策略,对允许访问互联网的流量进行SNAT
nat-policy
rule name NAT_Allow_Internal
source-zone trust
destination-zone untrust
source-address 192.168.10.0 24
source-address 192.168.20.0 24
source-address 192.168.50.0 24
source-address 192.168.60.0 24
action source-nat address-group 0
quit
# --- 7. 保存配置 ---
save force
第二部分:H3C S5560 核心交换机配置
交换机的核心任务是配置VLAN、SVI接口,并实施策略路由。
# --- 进入系统视图 ---
system-view
sysname SW-Core
# --- 1. 配置与防火墙互联的接口 (GE_0/1) ---
# 此接口需要承载多个VLAN,因此配置为Trunk端口
interface GigabitEthernet 0/1
port link-type trunk
port trunk permit vlan all
# 可选:关闭生成树以防止环路问题,如果网络简单无其他交换机
undo stp enable
quit
# --- 2. 配置下联PC的Access端口 ---
interface GigabitEthernet 0/2
port link-type access
port access vlan 10
undo stp enable
quit
interface GigabitEthernet 0/3
port link-type access
port access vlan 20
undo stp enable
quit
interface GigabitEthernet 0/4
port link-type access
port access vlan 50
undo stp enable
quit
interface GigabitEthernet 0/5
port link-type access
port access vlan 60
undo stp enable
quit
# --- 3. 创建VLAN并配置对应的SVI接口 (作为PC的网关) ---
vlan 10
quit
interface Vlan-interface 10
ip address 192.168.10.253 255.255.255.0
quit
vlan 20
quit
interface Vlan-interface 20
ip address 192.168.20.253 255.255.255.0
quit
vlan 50
quit
interface Vlan-interface 50
ip address 192.168.50.253 255.255.255.0
quit
vlan 60
quit
interface Vlan-interface 60
ip address 192.168.60.253 255.255.255.0
quit
# --- 4. 配置策略路由 (PBR) - 核心步骤 ---
# 第一步:定义ACL,匹配需要特殊处理的源IP地址
acl advanced 3000
rule 0 permit ip source 192.168.10.0 0.0.0.255 # 匹配VLAN10
rule 5 permit ip source 192.168.20.0 0.0.0.255 # 匹配VLAN20
rule 10 deny ip source 192.168.50.0 0.0.0.255 # 拒绝VLAN50 (用于下面的策略)
rule 15 deny ip source 192.168.60.0 0.0.0.255 # 拒绝VLAN60 (用于下面的策略)
quit
acl advanced 3001
rule 0 permit ip source 192.168.50.0 0.0.0.255 # 匹配VLAN50
rule 5 permit ip source 192.168.60.0 0.0.0.255 # 匹配VLAN60
quit
# 第二步:创建流分类 (Traffic Classifier),关联ACL
traffic classifier c_class_telecom operator or
if-match acl 3000
quit
traffic classifier c_class_unicom operator or
if-match acl 3001
quit
# 第三步:创建流行为 (Traffic Behavior),定义动作
# 对于电信(Vlan10/20),动作为重定向到电信网关
traffic behavior b_behavior_telecom
redirect ip-nexthop 10.0.0.1
quit
# 对于联通(Vlan50/60),动作为重定向到联通网关
traffic behavior b_behavior_unicom
redirect ip-nexthop 20.0.0.1
quit
# 第四步:创建流策略 (Traffic Policy),将分类和行为绑定
traffic policy p_policy_pbr
classifier c_class_telecom behavior b_behavior_telecom
classifier c_class_unicom behavior b_behavior_unicom
quit
# 第五步:在VLAN接口的入方向应用流策略
# 这是最关键的一步,它告诉交换机:“当这些VLAN的用户发送数据包进来时,请先检查这个策略!”
interface Vlan-interface 10
traffic-policy p_policy_pbr inbound
quit
interface Vlan-interface 20
traffic-policy p_policy_pbr inbound
quit
interface Vlan-interface 50
traffic-policy p_policy_pbr inbound
quit
interface Vlan-interface 60
traffic-policy p_policy_pbr inbound
quit
# --- 5. 配置默认路由 ---
# 交换机只需要一条指向防火墙的默认路由即可,因为PBR已经决定了数据包的出口
ip route-static 0.0.0.0 0.0.0.0 192.168.100.253
# --- 6. 保存配置 ---
save force- 2026-04-11回答
- 评论(0)
- 举报
-
(0)
使用策略路由实现
以下是策略路由的配置举例:
1.6.4 基于报文源地址的转发策略路由配置举例
1. 组网需求
Router A分别与Router B和Router C直连(保证Router B和Router C之间路由完全不可达)。通过策略路由控制从Router A的以太网接口GigabitEthernet1/0/1接收的报文:
· 源地址为192.168.10.2的报文以4.1.1.2/24作为下一跳IP地址;
· 其它源地址的报文以5.1.1.2/24作为下一跳IP地址。
2. 组网图
图1-4 基于报文源地址的转发策略路由的配置举例组网图
3. 配置步骤
配置前请确保Router B和Host A/Host B,Router C和Host A/Host B之间路由可达。
(1) 配置Router A
# 配置接口GigabitEthernet1/0/2和GigabitEthernet1/0/3的IP地址。
<RouterA> system-view
[RouterA] interface gigabitethernet 1/0/2
[RouterA-GigabitEthernet1/0/2] ip address 4.1.1.1 24
[RouterA-GigabitEthernet1/0/2] quit
[RouterA] interface gigabitethernet 1/0/3
[RouterA-GigabitEthernet1/0/3] ip address 5.1.1.1 24
[RouterA-GigabitEthernet1/0/3] quit
# 定义访问控制列表ACL 2000,用来匹配源地址为192.168.10.2的报文。
[RouterA] acl basic 2000
[RouterA-acl-ipv4-basic-2000] rule 10 permit source 192.168.10.2 0
[RouterA-acl-ipv4-basic-2000] quit
# 定义0号节点,指定所有源地址为192.168.10.2的报文的下一跳为4.1.1.2。
[RouterA] policy-based-route aaa permit node 0
[RouterA-pbr-aaa-0] if-match acl 2000
[RouterA-pbr-aaa-0] apply next-hop 4.1.1.2
[RouterA-pbr-aaa-0] quit
[RouterA] policy-based-route aaa permit node 1
[RouterA-pbr-aaa-1] apply next-hop 5.1.1.2
[RouterA-pbr-aaa-1] quit
# 在以太网接口GigabitEthernet1/0/1上应用转发策略路由,处理此接口接收的报文。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip address 192.168.10.1 24
[RouterA-GigabitEthernet1/0/1] ip policy-based-route aaa
[RouterA-GigabitEthernet1/0/1] quit
4. 验证配置
从Host A上ping Router B,结果成功。
从Host B上ping Router B,结果失败。
从Host A上ping Router C,结果失败。
从Host B上ping Router C,结果成功。
以上结果可证明:从Router A的以太网接口GigabitEthernet1/0/1接收的源地址为192.168.10.2的报文的下一跳为4.1.1.2,所以Host A能ping通Router B,源地址为192.168.10.3的下一跳5.1.1.2,所以Host B能ping通Router C,由此表明策略路由设置成功。
- 2026-04-12回答
- 评论(0)
- 举报
-
(0)
暂无评论
---
一、核心S5560配置
1. 基础配置
vlan 10 20 50 60 100
dhcp enable
各业务VLAN配置网关、DHCP,以VLAN10为例,其余同理
interface Vlan-interface10
ip address 192.168.10.254 255.255.255.0
dhcp select interface
dhcp server dns-list 223.5.5.5 114.114.114.114
互联防火墙的三层VLAN
interface Vlan-interface100
ip address 192.168.100.2 255.255.255.0
2. 接口配置:下联端口放通对应业务VLAN,连防火墙的端口设为access加入VLAN100
3. 默认路由:ip route-static 0.0.0.0 0 192.168.100.1
---
二、SecPath F1000-AI配置
1.
- 2026-04-12回答
- 评论(0)
- 举报
-
(0)
暂无评论
根据提供的拓扑信息,网络结构如下:
防火墙连接两条宽带:电信(10.0.0.1/30)、联通(20.0.0.1/30)
防火墙 GE_0/2 连接核心交换机,网段为 192.168.100.0/24,防火墙侧 IP 为 192.168.100.254,交换机侧 IP 为 192.168.100.253
核心交换机 S5560 划分多个 VLAN,作为各网段网关:VLAN 10(192.168.10.0/24)、VLAN 20(192.168.20.0/24)、VLAN 50(192.168.50.0/24)、VLAN 60(192.168.60.0/24)
设计思路:
方案一(推荐):策略路由(PBR)部署在核心交换机上,交换机根据源 IP 直接将流量重定向到对应运营商网关(10.0.0.1 或 20.0.0.1),防火墙仅做 NAT 转换。该方案效率更高,且不占用防火墙的策略路由资源。
方案二:PBR 部署在防火墙上,所有流量先经过防火墙处理,再按策略路由转发。该方案更灵活,但防火墙需承载更多流量。
- 2026-04-12回答
- 评论(0)
- 举报
-
(0)
暂无评论
- 2026-04-12回答
- 评论(0)
- 举报
-
(0)
暂无评论
一、方案总览
核心思路:策略路由(PBR)+ 静态路由 + 源 NAT,实现不同 VLAN 按指定运营商出口上网,同时保证回程路由正确、不出现路由环路。
防火墙 F1000-AI:配置双出口、策略路由(按源网段分流)、双 NAT、回程静态路由
核心交换机 S5560:配置 VLAN、默认路由指向防火墙,无需复杂策略
二、SecPath F1000-AI 防火墙详细配置(Comware V7)
1. 基础接口与 IP 配置
bash
运行
system-view
sysname F1000-AI
# 1. 电信出口(GE_0/0,对应拓扑10.0.0.2/30)
interface GigabitEthernet 0/0
port link-mode route
ip address 10.0.0.2 255.255.255.252
description to_DX_Broadband
quit
# 2. 联通出口(GE_0/1,对应拓扑20.0.0.2/30)
interface GigabitEthernet 0/1
port link-mode route
ip address 20.0.0.2 255.255.255.252
description to_LT_Broadband
quit
# 3. 内网接口(GE_0/2,192.168.100.254/24,接S5560)
interface GigabitEthernet 0/2
port link-mode route
ip address 192.168.100.254 255.255.255.0
description to_S5560
quit
2. 静态路由配置(运营商默认路由 + 回程路由)
bash
运行
# 1. 电信默认路由(下一跳为电信网关10.0.0.1)
ip route-static 0.0.0.0 0 10.0.0.1 preference 70 # preference 70 作为电信默认路由,仅用于电信网段回程
# 2. 联通默认路由(下一跳为联通网关20.0.0.1)
ip route-static 0.0.0.0 0 20.0.0.1 preference 60 # preference 60 作为联通默认路由,仅用于联通网段回程
# 3. 内网回程路由(确保运营商回包能到内网,可选,若防火墙直连则自动生成)
ip route-static 192.168.10.0 255.255.255.0 192.168.100.253
ip route-static 192.168.20.0 255.255.255.0 192.168.100.253
ip route-static 192.168.50.0 255.255.255.0 192.168.100.253
ip route-static 192.168.60.0 255.255.255.0 192.168.100.253
3. 策略路由(PBR)配置(核心分流逻辑)
3.1 定义 ACL(匹配需要分流的源网段)
bash
运行
# ACL 3000:匹配VLAN10、VLAN20(走电信)
acl number 3000
rule 0 permit ip source 192.168.10.0 0.0.0.255
rule 5 permit ip source 192.168.20.0 0.0.0.255
quit
# ACL 3001:匹配VLAN50、VLAN60(走联通)
acl number 3001
rule 0 permit ip source 192.168.50.0 0.0.0.255
rule 5 permit ip source 192.168.60.0 0.0.0.255
quit
3.2 配置策略路由
bash
运行
# 1. 电信策略路由(下一跳10.0.0.1)
policy-based-route DX_PBR permit node 10
if-match acl 3000
apply next-hop 10.0.0.1
quit
# 2. 联通策略路由(下一跳20.0.0.1)
policy-based-route LT_PBR permit node 10
if-match acl 3001
apply next-hop 20.0.0.1
quit
# 3. 在内网接口GE_0/2应用策略路由(关键!)
interface GigabitEthernet 0/2
ip policy-based-route DX_PBR LT_PBR # 两个策略同时应用,按顺序匹配
quit
4. 源 NAT 配置(双出口 NAT,确保不同网段对应出口转换)
4.1 定义 NAT ACL
bash
运行
# ACL 2000:电信网段(V10/V20)
acl number 2000
rule 0 permit source 192.168.10.0 0.0.0.255
rule 5 permit source 192.168.20.0 0.0.0.255
quit
# ACL 2001:联通网段(V50/V60)
acl number 2001
rule 0 permit source 192.168.50.0 0.0.0.255
rule 5 permit source 192.168.60.0 0.0.0.255
quit
4.2 在出口接口配置 NAT
bash
运行
# 电信出口GE_0/0:仅转换电信网段
interface GigabitEthernet 0/0
nat outbound 2000
quit
# 联通出口GE_0/1:仅转换联通网段
interface GigabitEthernet 0/1
nat outbound 2001
quit
三、核心交换机 S5560 详细配置
1. VLAN 与接口配置
bash
运行
system-view
sysname S5560
# 1. 创建业务VLAN
vlan 10
name VLAN10
vlan 20
name VLAN20
vlan 50
name VLAN50
vlan 60
name VLAN60
vlan 100
name VLAN100_to_FW
quit
# 2. 配置各PC接入接口(Access模式)
# VLAN10(PC_5,GE_0/1)
interface GigabitEthernet 0/1
port link-type access
port access vlan 10
quit
# VLAN20(PC_6,GE_0/3)
interface GigabitEthernet 0/3
port link-type access
port access vlan 20
quit
# VLAN50(PC_7,GE_0/4)
interface GigabitEthernet 0/4
port link-type access
port access vlan 50
quit
# VLAN60(PC_8,GE_0/5)
interface GigabitEthernet 0/5
port link-type access
port access vlan 60
quit
# 3. 配置到防火墙的接口(GE_0/1,Access模式,属于VLAN100)
interface GigabitEthernet 0/1
port link-type access
port access vlan 100
quit
# 4. 配置VLANIF接口(三层网关)
interface Vlan-interface 10
ip address 192.168.10.254 255.255.255.0
quit
interface Vlan-interface 20
ip address 192.168.20.254 255.255.255.0
quit
interface Vlan-interface 50
ip address 192.168.50.254 255.255.255.0
quit
interface Vlan-interface 60
ip address 192.168.60.254 255.255.255.0
quit
interface Vlan-interface 100
ip address 192.168.100.253 255.255.255.0
quit
2. 静态路由配置(默认路由指向防火墙)
bash
运行
# 所有内网流量默认转发到防火墙,由防火墙做策略路由分流
ip route-static 0.0.0.0 0 192.168.100.254
3. 保存配置
bash
运行
save force
四、关键原理与排障要点
1. 分流逻辑说明
交换机:所有内网流量统一发给防火墙,不做分流,简化配置
防火墙:通过策略路由(PBR) 按源网段匹配,强制 V10/V20 走电信下一跳,V50/V60 走联通下一跳
NAT:在对应出口仅转换对应网段,避免跨运营商 NAT 导致的路由黑洞
回程路由:防火墙配置两条默认路由,通过优先级区分,确保对应运营商回包走正确路径
2. 常见问题排查
问题 1:V10/V20 走了联通,V50/V60 走了电信
排查:防火墙 GE_0/2 接口是否正确应用了 PBR,ACL 3000/3001 是否匹配正确网段
验证:display policy-based-route interface GigabitEthernet 0/2 查看策略应用状态
问题 2:能上网但无法访问内网
排查:防火墙是否配置了内网回程路由,交换机 VLANIF 接口是否正常 UP
验证:display ip routing-table 查看防火墙是否有内网网段路由
问题 3:NAT 不生效,无法上网
排查:出口接口是否正确绑定了对应 NAT ACL,ACL 是否放通了对应网段
验证:display nat outbound 查看 NAT 配置,display nat session 查看会话是否生成
问题 4:策略路由不生效,流量走默认路由
排查:PBR 是否应用在入方向(内网接口 GE_0/2),下一跳是否可达
验证:display policy-based-route statistics 查看策略命中次数
五、优化建议(可选)
NAT 地址池:若运营商分配了多个公网 IP,可配置 NAT 地址池,替代接口地址转换
链路健康检测:配置静态路由联动 BFD,检测运营商链路状态,故障时自动切换
带宽限速:在防火墙配置 QoS,限制各 VLAN 出口带宽,避免单网段占满带宽
日志审计:开启防火墙 NAT 日志,方便排查上网问题
六、最终验证步骤
登录防火墙,执行 display policy-based-route 确认策略路由配置正确
执行 display nat outbound 确认双出口 NAT 配置正确
用 V10/V20 的 PC 访问外网,查看 IP 是否为电信公网 IP
用 V50/V60 的 PC 访问外网,查看 IP 是否为联通公网 IP
验证内网 PC 之间互访正常,无断网情况
- 2026-04-13回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论